在一个不明身份的人劫持了他们的Tor支付门户网站和数据泄露博客后，REvil勒索软件可能再次关闭。

17日早些时候, Tor网站下线了，一名与REvil勒索软件有关的威胁行为者在XSS黑客论坛上发帖称有人劫持了REvil团伙的域名。

这个帖子更先是被Recorded Future的Dmitry Smilyanets发现的，并声称一个未知的人劫持了Tor隐藏服务(洋葱域)，他们使用的私钥与REvil的Tor网站相同，并且很可能有这些网站的备份。

“今天莫斯科时间中午12点10分，有人使用与我们相同的密钥，打开了隐藏的着陆服务和一个博客，我的担心得到了证实——第三方有洋葱服务密钥备份。一个名为“0_neday”的威胁行为者在黑客论坛上发帖。

此人还说，他们没有发现他们的服务器受到威胁的迹象，但仍将关闭操作。

然后，此人让组织通过Tox联系他，获取活动解密密钥，可能是为了让组织继续勒索受害者，并继续沿用赎金换取解密器的模式。

XSS论坛话题：关于REvil网站被劫持

要启动Tor隐藏服务(一个洋葱域)，需要生成一个私有和公共密钥对，用于初始化服务。

私钥必须是安全的，并且只有受信任的管理员可以访问，因为任何访问此私钥的人都可以使用它在自己的服务器上启动相同的洋葱服务。

由于第三方能够劫持域名，这意味着他们也可以访问隐藏服务的私钥。

17日晚上，0_neday再次发布了黑客论坛的话题，但这次说他们的服务器被入侵了，做这件事的人的目标是REvil组织。

论坛上的帖子说REvil服务器遭到破坏

目前还不知道是谁泄露了他们的服务器。

由于Bitdefender和执法部门获得了REvil主解密密钥的访问权，并发布了一个免费的解密器，一些威胁行为者认为，自从这些服务器重新启动以来，FBI或其他执法部门已经可以访问这些服务器。

由于没有人知道Unknown（REvil公开代表）身上发生了什么，有可能是威胁行为者试图重新控制操作。

在REvil通过Kaseya MSP平台上的一个零日漏洞对企业进行大规模攻击后，REvil的业务突然关闭，其面向公众的代表Unknown也消失了。

之后，Unknown没有再次出现，其余的REvil运营商使用备份在9月再次启动了该操作和网站。

从那时起，勒索软件就一直在努力招募用户，甚至将附属公司的佣金提高到90%，以吸引其他威胁行为者与他们合作。

由于这次最新的不幸事件，该论坛的运作可能会永远消失。

然而，对于勒索软件而言，它可能并不会如人们所愿，我们可能很快就会看到它们套上新马甲再次登场。

消息来源：BleepingComputer，译者：Zoeppo；

本文由 HackerNews.cc 翻译整理，封面来源于 *** ；

转载请注明“转自 HackerNews.cc ” 并附上原文链接