跡象顯示勒索軟體REvil駭客組織復活

安全公司發現頑強的勒索軟體REvil在經過幾個月的蟄伏後，近日又在網路上散布。

Gold Southfield駭客組織是REvil Raas（Ransomware as a Service）的作者及運作組織，2019年4月開始活動，它使用名為name-and-shame手法，在洩密網站張貼受害者資訊及吸收同盟。REvil曾駭入過宏碁、大型醫院及IT管理商Kaseya等知名企業，去年一度沈寂，9月間又出現在暗網上，10月被美國及其他政府警方聯手關閉散布的網路。今年初俄羅斯政府還曾逮捕多名相關駭客。不過烏俄戰事爆發似乎也影響俄國政府的態度，而讓駭客組織再度蠢動。

今年4月研究人員發現俄語論壇市集RuTOR公布新的REvil洩密網站，這個網站使用不同的網域。新洩密網站兜售新版REvil勒索軟體及招募同謀，以及張貼20多家受害企業名單及外洩資料。

最近，Secureworks研究人員更發現，REvil勒索軟體的樣本出現在惡意程式分析平臺VirusTotal。分析樣本顯示，新的REvil完成於3月，和上個月發現的新外洩網站有關。種種跡象令研究人員相信去年遭重創的駭客組織Gold Southfield又再度活動。新版REvil除了使用不同的Tor網域外，也使用了新的指令行語言、加密金鑰、以及多處程式碼。

新的受害者可能快速增加。SecruityWeek報導，現在駭客新洩密網站張貼的受害者已增至250多家。