信息来源：安全内参

在一个不知名的人劫持了他们的暗网支付门户和数据泄露博客之后，REvil勒索软件团队再次关闭网站。其暗网站点昨天早些时候下线，一名隶属于REvil行动的黑客在某知名黑客论坛上发帖称，有人劫持了该团伙的域名。

该事件由外部安全研究人员首先发现，指出一个不知名的人使用与REvil的暗网站点相同的私钥劫持了Tor隐藏服务(洋葱域)，并且可能拥有这些站点的备份。

“但自从今天莫斯科时间10月17日12点，有人祭出了登陆和博客的隐藏服务，使用与我们相同的密钥，我的担忧得到了证实。第三方有洋葱服务密钥的备份”一个名为‘0_neday’的黑客在黑客论坛上发帖。

该黑客继续说，他们没有发现服务器受到威胁的迹象，但将关闭该操作。

然后，威胁行为者告诉附属机构通过Tox与他联系以获取解密密钥，这样附属机构可能会继续勒索受害者并在支付赎金时提供解密器。

要启动Tor隐藏服务(.onion 域)，您需要生成一个私钥和公钥对，用于初始化服务。私钥必须是安全的，并且只有受信任的管理员才能访问，因为任何有权访问此密钥的人都可以使用它在自己的服务器上启动相同的.onion服务。由于第三方能够劫持域，这意味着他们也可以访问隐藏服务的私钥。

昨天晚上，0_neday再次在黑客论坛主题上发帖，但这次说他们的服务器被入侵了，无论是谁做的，都是针对REvil团队的。

论坛帖子指出REvil服务器已被入侵

目前，尚不清楚是谁破坏了他们的服务器。

由于Bitdefender和执法部门获得了主REvil解密密钥的访问权并发布了免费的解密器，一些威胁行为者认为FBI或其他执法部门自重新启动以来就可以访问服务器。由于没有人知道Unknown(REvil公开代表)发生了什么，REvil团队也有可能试图重新控制操作。

REvil可能会永久关闭

在REvil通过Kaseya MSP平台中的零日漏洞对公司进行大规模攻击后 ，REvil后续操作突然关闭，其面向公众的代表Unknown消失了。

在Unknown没有回来之后，其余的REvil运营商在9月使用备份再次启动了操作和网站。（延伸阅读：REvil正式同名复出，消失内幕曝光）从那以后，勒索软件业务一直在努力招募用户，甚至将附属公司的佣金提高到90%， 以吸引其他威胁行为者与他们合作。

由于这次最新的事故，其当前REvil品牌可能会永远消失。然而，对于勒索软件来说，没有什么事会永远持续下去，很可能很快就会将重新更名再次上线。