一个未知初始访问代理被揭露为三个不同的攻击者提供入口点，攻击活动包括利益驱动的勒索软件攻击和网络钓鱼活动。 黑莓的研究和情报团队将这个实体命名为“Zebra2104”，该组织负责为MountLocker和Phobos等勒索软件集团，以及名为StrongPity(又名Promethium)的高级持续威胁(APT)跟踪提供技术手段。 据我们所知，网络威胁领域越来越多地被一类被称为初始访问代理(IABs)的玩家所控制，他们为其他网络犯罪集团提供服务，包括勒索软件附属公司，通过持续进入受害者网络的后门，在不同地区和行业的众多潜在组织中立足，成功地建立了远程访问的定价模型。 黑莓研究人员在上周发表的一份技术报告中指出:“通常IAB先进入受害者的网络，然后在暗网的地下论坛上把这一访问权限卖给出价最高的买家。”“后来，中标者通常会在受害者的设备里部署勒索软件或其他经济利益相关的恶意软件，这取决于他们活动的目标。” 2021年8月，一份超过1000访问列表的分析文件在暗网地下上论坛上售卖，该文件发现,从2020年7月到2021年6月网络访问的平均费用为5400美元的,其中最有价值的信息可以提供包括企业系统域管理员权限。 这家加拿大网络安全公司的调查始于一个名为“trashborting[.]”的域名，发现时它正在传送Cobalt Strike 信标，用于把更广泛的基础设施与一些恶意垃圾邮件活动联系起来，这会引起勒索软件有效载荷的传输。有一些勒索软件于2020年9月攻击澳大利亚房地产公司和州政府部门。 最重要的是，“supercombination[.com]”，trashborting[.]另一个姐妹域名，被发现与恶意软件MountLocker和病毒Phobos有关，即使域名解析为IP地址“91.92.109[.]174”，在去年4月至11月，它也被用来托管第三个域名“mentiononecommon[.]com”并在2020年6月与StrongPity相关的攻击中作为C2服务器使用。 IAB的反复出现和广泛的攻击目标让研究人员觉得，运营商“要么有大量的人力，要么在互联网上设置了大量“陷阱”，使MountLocker、Phobos和StrongPity能够访问目标网络。 研究人员说:“这项研究中看到的恶意攻击技术和工具联结关系表明，网络犯罪集团在某些情况下的运作方式与跨国组织没有什么不同，这在某种程度上反映了一个合法商业世界。”他们建立伙伴关系和联盟来帮助推进他们的目标。如果有什么不同的话，可以肯定的是，这些威胁组织的‘商业伙伴关系’将在未来变得更加普遍。”   消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国政府把矛头指向勒索软件Darkside，悬赏高达1000万美元，以获取能够识别或逮捕行动成员的信息。 美国国务院4日宣布，他们现在将悬赏千万美元，用于奖励任何能够提供黑客组织“DarkSide”领导者信息的线人。 此外，警方还悬赏500万美元，用于获取信息，逮捕任何企图参与黑客攻击的人。 国务院宣布：“此外，国务院还提供高达500万美元的悬赏，用于寻找参与“DarkSide”勒索软件攻击的犯罪个人信息。” 可以通过以下方式向FBI提交线索：https://tips.fbi.gov或者通过WhatsApps、Telegram和Signal。 正如公告中所说的“DarkSide变体勒索软件”，这一悬赏也将适用于DarkSide的马甲组织，比如勒索软件团伙BlackMatter。 当勒索软件运营商在攻击高度敏感的组织并受到执法的压力时，他们通常会改名换姓。 在攻击殖民地输油管道并受到国际执法机构的全面监督后，DarkSide更名为BlackMatter。 3号，BleepingComputer报道称，BlackMatter在受到“来自当局的压力”和组织成员失踪后，也关闭了其运营。[详细可点击] 今天国务院针对DarkSide的悬赏案清楚地表明，换一个不同的勒索软件名称并不会阻止执法部门追查他们。 该奖励是国务院跨国有组织犯罪奖励计划（TOCRP）的一部分。 “该计划赋予国务卿法定权力，可支配高达2500万美元的奖励，用于帮助执法，包括在任何国家逮捕和/或定罪任何参与或共谋参与跨国有组织犯罪的个人；扰乱跨国有组织犯罪集团的内部金融机制；以及查明或确定跨国有组织犯罪集团中担任关键领导职务的个人的身份”，该计划的描述如是说。 美国政府还悬赏1000万美元，目标是那些获取国家资助的攻击美国关键基础设施的黑客信息。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

一个新的多级网络钓鱼攻击伪造了亚马逊的订单通知页面，上面有一个虚假的客户服务语音号码，攻击者利用该号码，要求受害者的信用卡详细信息以更正错误的“订单” 周四，Avanan的最新研究强调了这种攻击，称网络钓鱼攻击通过结合使用电子邮件和语音诱饵，并利用亚马逊等流行品牌来欺骗潜在受害者，这种攻击正变得越来越复杂。 Avanan（现被Check Point收购）的首席执行官Gil Friedrich说，从10月份开始，Avanan观察到了一次新的攻击，攻击者在其中伪造了一个典型的亚马逊订单通知页面。 攻击是这样进行的：受害者收到一封电子邮件，显示他们有总额超过300美元的亚马逊订单需要支付。受害者知道到他们并没有下订单，点击电子邮件中的一个链接查证，这个链接只会跳转到亚马逊网站，但网络钓鱼邮件中有一个客户服务号码，它有南卡罗来纳州的区号，当受害者试图打电话时，该号码并不会应答。 几小时后，攻击者从印度打来电话，假冒的客户服务代表告诉受害者，他们需要提供信用卡和CVV号码才能取消费用单。 Friedrich解释说：“这不仅为黑客带来了金钱上的收益，还为攻击者提供了一种获取电话号码的方式，使他们能够在未来几周内通过语音邮件或短信进行进一步的攻击。”。 在Armorblox报道的另一个品牌仿冒骗局中，一个凭证钓鱼攻击模仿了Proofpoint，并试图窃取潜在受害者的Microsoft和Google电子邮件凭证。这封电子邮件声称包含一个由Proofpoint作为链接发送的安全文件，一旦受害者点击，它就会将他们带到一个splash页面，该页面伪造了Proofpoint的品牌，并有专门针对Microsoft和Google的欺骗性登录页面。 Armorblox公司的研究人员说，这场骗局的全部目的是为了抹黑一个受信赖的安全品牌，如Proofpoint，和知名品牌，如微软和谷歌。 虽然两个攻击略有不同，但这表明攻击者变得更聪明，他们更知道如何掠夺人们对知名品牌的信任。 零风险 KnowBe4的数据驱动防御推广者Roger Grimes指出，在亚马逊的案例中，这种多级网络钓鱼攻击的好处在于，当由潜在受害者打电话时，攻击者成功的可能性要大得多。他补充说，这封电子邮件几乎不需要任何设置和发送成本——还是零风险的。他说，所有网络钓鱼电子邮件和攻击也是如此。 Grimes说：“但这里的区别在于，当有人不厌其烦地给网络钓鱼者打电话时，网络钓鱼者知道他们很有可能上钩了。”“受害者已经在心理上接受了这个骗局，哪怕他们曾经有过任何怀疑的话，但因为这个假冒品牌组织现在正在跨多种媒介工作，受害者会进一步确信这个骗局是真实的。受害者可能不认为骗子具备获取真实电话号码和现场接听电话的能力，而事实上在网络钓鱼诈骗中这种操作经常会发生。” 这种骗局的另一个流行版本是一封假装来自受害者当地电力公司的电子邮件。这封电子邮件声称受害者向电力公司的付款被拒绝，他们的电力很快就会被切断。受害人被指示到当地商店购买付款凭单。 Grimes说：“你可能会问自己，‘谁会相信他们的电力公司要求他们用现金券付款？’。“根据我的工作经验，大约10%的受害者会上当。”   消息来源：DarkReading，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

一场在全球范围性欺诈行为被发现，它利用151个恶意Android应用程序，下载量达1050万次，在未经用户同意和知情的情况下将用户拉入付费订阅服务。 名为“Ultimams”的付费短信诈骗活动据信于2021年5月开始，涉及的应用程序涵盖范围广泛，包括输入法、二维码扫描仪、视频和照片编辑器、垃圾邮件拦截程序、摄像头过滤器和游戏，下载了欺诈性应用程序的用户大多来自埃及、沙特阿拉伯、巴基斯坦、巴基斯坦、阿联酋、土耳其、阿曼、卡塔尔、科威特、美国和波兰。 尽管有很大一部分有问题的应用程序已经从Google Play商店中删除，但截至2021年10月19日，其中82个应用程序仍然可以在在线市场上使用。 首先，这些应用程序会提示用户输入自己的电话号码和电子邮件地址，以便使用宣传的功能，然后诱使受害者订阅付费短信服务，根据国家和移动运营商的不同，这些服务每月收费40美元。 Avast研究人员Jakub Vávra说：“这些应用不会解锁用户可能认为应该出现的宣传功能，而是会显示更多的短信订阅选项，或者完全无法使用。”。 Ultimams广告软件骗局还值得注意的是，它通过流行社交媒体网站（如Facebook、Instagram和TikTok）上的广告渠道传播，用“吸引人的视频广告”吸引毫无戒心的用户。 除了卸载上述应用程序外，建议用户与运营商禁用付费短信选项，以防止用户滥用订阅。Vávra说：“根据一些用户留下的差评，似乎儿童是受害者之一，这使得这一步骤在儿童手机上尤为重要，因为他们可能更容易受到这类骗局的影响。”   消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

伊朗国家石油产品分销公司（NIOPDC）的加油站26日停工，原因是网络攻击波及了整个分销网络。 NIOPDC网络在全国拥有3500多个加油站，80多年来一直供应石油产品。 调查机构正在查找造成破坏的原因，目前还没有公开说明幕后黑手的信息，但伊朗正在指责一个敌对国家。 并非全无线索，ISNA 通讯社首先将此次事件称为网络攻击，并表示看到那些试图通过机器使用政府发行的卡购买燃料的人收到一条消息，上面写着“网络攻击 64411”，但该线索真实性待考证。 这条信息使人联想到7月份的一次网络攻击，该次攻击扰乱了伊朗的火车服务。攻击者者还修改了铁路留言板，称是黑客导致列车晚点或取消，并显示了最高领袖阿里·哈梅内伊办公室的电话号码。 网络安全公司SentinelOne的研究显示，伊朗的火车站系统被专门用来删除数据（文件雨刷）的恶意软件攻击，这个软件被称为Meteor，以前从未见过。 26日的黑客攻击让一些伊朗人等了几个小时才打开加油站，结果却没有燃料。 据媒体报道，客户试图使用政府发行的卡以每升5美分或每加仑20美分的价格获得补贴燃油，然后收到了“cyberattack 64411”的消息。 随着NIOPDC分销网络遭到攻击的消息传播，伊朗多个城市的数字广告牌开始显示“哈梅内伊！我们的燃料在哪里？”和“贾马兰加油站的免费燃料”的信息。 一些当地媒体最初报道说，加油站中断是由技术故障造成的，后来指出问题是由网络攻击造成的。 据英国广播公司记者沙扬·萨尔达里扎德（Shayan Sardarizadeh）和基安·谢里菲（Kian Sharifi）报道，伊朗国家电视台证实了加油站遭受网络攻击的报道，伊朗网络空间最高委员会认为这起事件是由国家支持的，尽管并没有指明哪个国家。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

在今天的一条短推文中，漏洞悬赏公司Zerodium表示，他们正在征集零日漏洞，针对市场上三家流行的虚拟专用网(VPN)服务提供商。 VPN服务通过提供商的服务器运行连接，允许用户隐藏其IP地址访问互联网上的资源， 这种路径使第三方更难跟踪用户的在线活动，保护了互联网上的隐私。 针对Windows的VPN客户端 Zerodium目前关注的是影响Windows客户端NordVPN、ExpressVPN和SurfShark VPN服务的漏洞。它们共同服务着数百万用户，据报道，前两家公司声称全球至少有1700万用户。 根据这三家公司网站上的数据，它们管理着分布在数十个国家的1.1万多台服务器。 Zerodium今天发布的公告呼吁找出可能泄露用户信息、IP地址和可用于实现远程代码执行的漏洞。Zerodium不想要的是本地权限升级漏洞。 BleepingComputer联系了这三家VPN服务提供商，希望就Zerodium的声明发表评论，但在发布时没有收到回复。 Zerodium的客户群体由政府机构组成，主要来自欧洲和北美，这些机构需要先进的零日漏洞和网络安全能力。 Zerodium声明背后的原因尚不清楚，但其中一个动机可能是，政府客户需要一种方法来识别隐藏在VPN服务背后的网络犯罪活动。 NordVPN和Surfshark过去曾被攻击者使用。 去年，美国联邦调查局(FBI)警告说，伊朗黑客利用NordVPN服务进行虚假的骄傲男孩（ProudBoy）行动。 最近的一个例子是美国国家安全局(NSA)今年警告说，俄罗斯黑客通过TOR和VPN服务(其中包括Surfshark和NordVPN)对Kubernetes服务器发起了暴力破解攻击。 Zerodium公司表示，其业务遵循道德规范，根据严格的标准和审查程序选择客户;而且只有一小部分政府客户能够获得已有的零日研究。 今年早些时候，Zerodium宣布暂时增加对Chrome漏洞的悬赏。Zerodium提供了100万美元，用在可将RCE与SBX链接起来的漏洞。 在Chrome有关的漏洞中，RCE和SBX的奖金分别增加到40万美元。在撰写本文时，这些悬赏仍在进行中。 Zerodium为移动端和电脑端的任何操作系统都提供付费服务。最主要适用于Windows、macOS、LinuxBSD、iOS和Android。 BleepingComputer联系了Zerodium公司，希望获得更多关于Windows的VPN客户端开发的信息，但在发布时没有得到回复。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国政府的一份报告发现，攻击者越来越频繁地使用先进的战术来模糊和清洗他们的非法所得。 根据美国财政部金融犯罪执法网络（FinCEN）的一份报告，价值高达52亿美元的比特币交易可能与勒索软件支付挂钩，涉及最常见的10种勒索软件变体。 该报告还研究了今年上半年与勒索软件有关的可疑活动报告（SARs），即金融机构制作的关于可疑勒索软件付款的报告。该机构表示：“上述报告显示，2021年上半年，可疑活动涉及总价值为5.9亿美元，超过了2020年全年报告的总值（4.16亿美元）。”毫不奇怪，机构分析后发现勒索软件对政府、企业和公众的威胁越来越大。 与勒索软件有关的可疑交易的平均总额为每月6600万美元；与此同时，中位平均数为每月4500万美元。根据从这些交易中获得的数据，比特币是网络犯罪分子的首选支付方式。然而，这并不是唯一的一种，因为FinCEN指出，犯罪分子越来越多地要求用门罗币（Monero）支付赎金（Monero是一种匿名加密货币）。 总共有17起与勒索软件有关的SARs涉及勒索要求使用门罗币。在某些情况下，网络罪犯同时提供比特币和门罗币地址，但是，如果使用比特币付款，他们要求额外付费。在其他情况下，攻击者最初只会要求Monero支付赎金，但经过协商后也接受比特币。 网络犯罪分子利用各种洗钱策略，包括越来越多地要求以注重隐私的加密货币付款，避免将钱包地址用于新的攻击，或单独清洗每次勒索软件攻击的收益。报告还发现，外国中央CVC交易所是攻击者兑现非法所得的首选方式。 为了掩盖数字硬币的出处，网络犯罪分子还使用了“跳链”，这一过程包括将收入转移到其他服务之前，将一个CVC与另一个CVC至少交换一次。2021年，混合服务的使用也有所增加，这些平台用于隐藏或掩盖CVC的来源或所有者。有趣的是，FinCEN观察到混合服务的使用因勒索软件的不同而不同。 勒索软件的非法收益也可以通过分散的交易所和各种其他分散的金融应用程序获得，通过将付款转换为其他形式的CVC进行洗钱。“一些DeFi应用程序允许自动对等交易，不需要账户或保管关系。FinCEN对BTC区块链上交易的分析证实，资金是间接发送到与开放协议相关的地址的勒索软件，用于DeFi应用程序。”FinCEN在描述过程时如是说。   消息来源：WeLiveSecurity，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

一个不为人知的国家支持的攻击者正在部署一套新的工具，以攻击南亚的电信供应商和IT公司。 Symantec的研究人员发现了这一组织，并将其命名为Harvester。该组织的目标是从针对IT、电信和政府实体的高度定向间谍活动中收集情报。 Harvester的恶意工具以前从未发现过，这表明这是一个新出现的攻击者。 “Harvester组织在其攻击中使用了定制的恶意软件和公开可用的工具，该攻击始于2021年6月，最近的一次活动出现在2021年10月。目标行业包括电信、政府和信息技术(IT)。 “这些工具的能力，它们的定制开发，以及目标受害者，都表明Harvester是一个有国家支持的组织。”Symantec的研究人员说。 以下是Harvester在攻击中使用的工具: Backdoor.Graphon ——自定义后门，它使用微软的基础设施进行C&C活动 自定义下载程序——使用微软的基础设施为其C&C活动服务 自定义屏幕快照——定期记录屏幕截图到一个文件 Cobalt Strike Beacon ——使用CloudFront基础设施进行其C&C活动(Cobalt Strike是一种现成的工具，可用于执行命令、注入其他进程、提升当前进程或模拟其他进程，以及上传和下载文件) Metasploit——一个现成的模块化框架，可用于完成感染机器上的各种恶意目的，包括特权升级、屏幕捕获、设置持久后门等。 巧妙的技巧和安全的通讯 虽然Symantec的分析师无法找出最初的感染载体，但有一些证据表明，有人使用了恶意URL。 Graphon为攻击者提供了对网络的远程访问，它通过将命令和控制(C2)通信活动与CloudFront和微软基础设施的合法网络流量混淆来隐藏自己的存在。 一个有趣的地方是自定义下载器的工作方式，它在系统上创建必要的文件，为新的加载点添加注册表值，最终在hxxps://usedust[.]com打开嵌入式web浏览器。 虽然这似乎是获取Backdoor.Graphon的地方，参与者只是使用URL作为诱饵，来制造混淆。 自定义截图工具从桌面捕获照片，并将它们保存到一个密码保护的ZIP档案，通过Graphon导出。每个ZIP保存一周，任何比这个时间更久的文件都会被自动删除。 Symantec警告说，Harvester仍然活跃，目前主要针对阿富汗的组织。 尽管研究人员能够对这个新群体的工具进行取样，但他们还没有足够的证据将这种活动归因于某个特定的国家。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Lyceum是一个已为人知的黑客组织，与针对中东组织的攻击有关，如今它带着新的恶意软件和策略重新露面，而这个策略与一个在伊朗运作的危险的APT组织所使用的相似。 卡巴斯基的安全研究人员表示，他们观察到新的Lyceum活动集中在突尼斯的两个实体。卡巴斯基对攻击的分析显示，Lyceum的恶意软件已经从以前的PowerShell脚本和基于.NET的远程管理工具DanBot演变为用c++编写的新恶意软件。 卡巴斯基根据他们在这个恶意代码中经常遇到的名字，将这种新的恶意软件分成了两组变种，一组叫詹姆斯，另一组叫凯文。这两种新的变种——像DanBot那样——都被设计成通过安全的DNS和HTTP隧道与它们的命令和控制服务器通信，这使得恶意活动难以被检测。 除了新的詹姆斯和凯文恶意软件变种，卡巴斯基还观察到Lyceum在其最近的攻击中使用了另一个工具，该工具似乎不包含任何网络通信机制。该公司推测，恶意软件可能是设计用来代理一个已经被泄露的网络内部系统之间的流量。Lyceum的工具包中还新增了一个PowerShell脚本，用于从浏览器中窃取用户凭证，以及一个自定义键盘记录器，看起来似乎是为相同目的设计的。 卡巴斯基在一份总结本周Lyceum活动的报告中表示，“我们对Lyceum的调查显示，该组织多年来已经发展了自己的武器库，并将其使用在新的工具上。” Lyceum首次出现被发现是在2019年8月，当时Secureworks报告称，观察到该集团针对中东石油、天然气和电信行业的组织。Secureworks称，该威胁组织可能至少从2018年4月开始就活跃了，与Lyceum相关的攻击是基于域名注册，专注南非目标。 Secureworks表示，其调查显示，Lyceum通常利用之前通过密码喷溅或暴力破解获得的账户凭证，获得进入目标网络的初始权限。该组织的战术、技术和程序(TTPs)与其他组织的战术、技术和程序相似，那些组织专注于具有重要战略意义的中东目标，如OilRig (APT34)和Cobalt Trinity (APT33和Elfin)。然而，Secureworks指出，这些相似之处还不足以证明Lyceum与其他威胁组织之间存在直接联系。 卡巴斯基本周重申了这些相似之处，但与Secureworks一样，他没有将Lyceum的活动与此前已知的伊朗威胁分子的活动直接联系起来。据该公司分析，Lyceum的活动与另一个名为DNSpionage的威胁行为者的活动在高层次上有某些相似之处，该威胁行为者在2018年被观察到使用DNS重定向攻击黎巴嫩和阿拉伯联合酋长国的目标。卡巴斯基说，DNSpionage与OilRig的活动有关。Lyceum和DNSpionage的相似之处包括：目标位于相同区域、利用DNS和假网站来隧道指挥和控制流量、以及相似的用来引诱受害者点击恶意附件的文件。 除了对调查结果的总结外，卡巴斯基本周还发布了一份来自最近一次会议的报告，提供了关于Lyceum新活动的技术细节。   消息来源：DarkReading，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

在一个不明身份的人劫持了他们的Tor支付门户网站和数据泄露博客后，REvil勒索软件可能再次关闭。 17日早些时候, Tor网站下线了，一名与REvil勒索软件有关的威胁行为者在XSS黑客论坛上发帖称有人劫持了REvil团伙的域名。 这个帖子最先是被Recorded Future的Dmitry Smilyanets发现的，并声称一个未知的人劫持了Tor隐藏服务(洋葱域)，他们使用的私钥与REvil的Tor网站相同，并且很可能有这些网站的备份。 “今天莫斯科时间中午12点10分，有人使用与我们相同的密钥，打开了隐藏的着陆服务和一个博客，我的担心得到了证实——第三方有洋葱服务密钥备份。一个名为“0_neday”的威胁行为者在黑客论坛上发帖。 此人还说，他们没有发现他们的服务器受到威胁的迹象，但仍将关闭操作。 然后，此人让组织通过Tox联系他，获取活动解密密钥，可能是为了让组织继续勒索受害者，并继续沿用赎金换取解密器的模式。 XSS论坛话题：关于REvil网站被劫持 要启动Tor隐藏服务(一个洋葱域)，需要生成一个私有和公共密钥对，用于初始化服务。 私钥必须是安全的，并且只有受信任的管理员可以访问，因为任何访问此私钥的人都可以使用它在自己的服务器上启动相同的洋葱服务。 由于第三方能够劫持域名，这意味着他们也可以访问隐藏服务的私钥。 17日晚上，0_neday再次发布了黑客论坛的话题，但这次说他们的服务器被入侵了，做这件事的人的目标是REvil组织。 论坛上的帖子说REvil服务器遭到破坏 目前还不知道是谁泄露了他们的服务器。 由于Bitdefender和执法部门获得了REvil主解密密钥的访问权，并发布了一个免费的解密器，一些威胁行为者认为，自从这些服务器重新启动以来，FBI或其他执法部门已经可以访问这些服务器。 由于没有人知道Unknown（REvil公开代表）身上发生了什么，有可能是威胁行为者试图重新控制操作。 在REvil通过Kaseya MSP平台上的一个零日漏洞对企业进行大规模攻击后，REvil的业务突然关闭，其面向公众的代表Unknown也消失了。 之后，Unknown没有再次出现，其余的REvil运营商使用备份在9月再次启动了该操作和网站。 从那时起，勒索软件就一直在努力招募用户，甚至将附属公司的佣金提高到90%，以吸引其他威胁行为者与他们合作。 由于这次最新的不幸事件，该论坛的运作可能会永远消失。 然而，对于勒索软件而言，它可能并不会如人们所愿，我们可能很快就会看到它们套上新马甲再次登场。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接