美特勤局顾问宣称死灰复燃的REvil勒索软件集团，已被多国联手歼灭

今年7月2日攻击美国托管软件供应商Kaseya的REvil勒索集团，于7月13日忽然完全消失在网络上，所有于明网或暗网中的基础设施在一夕之间无影无踪，但它在9月7日再度于暗网中再现踪迹，并于9月11日重新进入全面攻击模式。不过，《路透社》于本周报导，美国与其它国家联手，借由渗透REvil的基础设施，已于上周摧毁了REvil。

REvil先是入侵了Kaseya的远端监控与管理软件Kaseya VSA，有近60家Kaseya VSA客户直接遭到波及，并牵连接近1,500家的下游厂商，REvil骇客提出高达7,000万美元的赎金要求，以换取通用解密金钥；Kaseya在7月22日宣布已向可靠的第三方取得解密金钥，并提供给受害的组织。

后来FBI坦承是他们把解密金钥交给Kaseya，而且是在取得金钥之后接近3周的时间才交出去。这意味着FBI应该是在意外发生的第一时间就取得了解密金钥，却未优先选择协助Kaseya的客户，此事让美国国会要求FBI局长Christopher Wray出面说明。

根据《华盛顿邮报》（Washington Post）的报导，FBI是借由存取REvil的服务器才获得解密金钥，之所以没有立刻提供给Kaseya有两个原因，一是相关攻击所造成的损害并没有想像中的严重，二则是FBI打算在不惊动REvil勒索集团的情况下摧毁它们，然而，REvil勒索集团却在FBI还未展开行动之前就消失了。

尽管REvil第一次消失的原因不明，但《路透社》指出，这次REvil再度消失就是美国与其它盟友合作的成果。根据《Bleeping Computer》的报导，REvil勒索软件再度消失发生在10月17日，有人劫持了REvil的Tor支付网站与其资料外泄部落格，而且此一消息是由代号为0_neday的REvil负责人于骇客论坛上所发布。

0_neday说，这名骇客似乎是透过REvil所拥有的金钥劫持了这两个网站，他担心的事情发生了，有第三方备份了REvil各种暗网服务的金钥。

《路透社》则间接证实了这次是由多国联手摧毁了REvil，该通讯社的消息来源是3家与各国合作的资安业者。身为美国特勤局网络犯罪调查顾问的VMWare网络安全策略主管Tom Kellermann向路透社透露，FBI、美国网战司令部（Cyber Command）、美国特勤局与其它志同道合的国家，为了避免有更多的组织受害，联手对抗勒索软件集团，而REvil就位居制裁名单之首。

俄罗斯资安业者Group-IB的鉴识实验室主管Oleg Skulkin则说，REvil骇客从备份中复原了该勒索软件的基础设施，却不知道该基础设施早已被渗透。

不过，包括FBI在内的美国官方机构都未回应《路透社》的询问，亦未证实该通讯社的报导。