犯下史上最大規模網攻後，俄羅斯駭客組織REvil憑空消失了！是誰下的手？

臭名昭著的俄羅斯勒索軟體平台REvil，7月初發動全球史上最大規模的單一勒索軟體攻擊，數千家機構受影響，遍佈全球至少17個國家，更獅子大開口要求7000萬美元（約新台幣19億5000萬元）贖金。今年6月，駭入全球最大肉類生產商JBS，導致旗下所有美國牛肉加工廠全線停產，影響全美市場近25％的供應量，並勒索1100萬美元（約新台幣3億675萬元）。

[啟動LINE推播] 每日重大新聞通知

REvil的網絡犯罪暗網和其他設施在13日集體關閉，REvil受害者名單網頁、跟受害者談判與收取贖金的頁面也打不開。「所有REvil站點都關閉了，包括支付網站和數據洩露網站」，「BleepingComputer」創辦人亞伯拉姆斯（Lawrence Abrams）發推說，「出奇地安靜。」

是誰讓REvil被迫關閉？

猜測一：普京或拜登

駭客集團3日利用REvil軟體攻擊佛州資訊技術管理軟體供應商Kaseya，透過存取權限對客戶裝置搞破壞，一天之內使全球至少數百家機構，包含學校、幼稚園、公司企業的電腦癱瘓，並以此要脅贖金。事件影響美國及全球，導致拜登9日再度致電給普京，電話中發出最後通牒，要求俄羅斯採取行動阻止勒索組織橫行。

當記者問到如果普京不照做，美國是否會關閉該組織的服務器時，拜登回答：「會的。」因此外界猜測，拜登可能真的出手了，《紐約時報》（NYT）指出，他可能命令美國網絡司令部（U.S. Cyber Command）與聯邦調查局（FBI）在內的執法機構合作，以關閉REvil網站。

另一種說法是普京下令關閉該組織的網站。如果是這樣，那代表普京終於聽取了拜登的警告。此前，拜登6月16日與普京在日內瓦會面時，也傳達了關於勒索軟體的警告，但普京仍放任不管，使REvil在美國國慶假日再次網攻得逞。

猜測二：REvil自己關的

還有一種可能性是，REvil擔憂自己獲得太​多注目，因此自行關閉了網站，以避免陷入美國和俄羅斯政府之間的交火。

另一家俄羅斯駭客組織「黑暗面」（DarkSide）5月份攻擊美國最大輸油管商「殖民管線運輸公司」（Colonial Pipeline）之後，也是網站全部關閉。「黑暗面」當時導致美國東南部燃料供應危機，輸油管道被迫停擺多日，因此徹底惹毛美國政府，更讓拜登嚴正表示不排除報復。

「黑暗面」5月14日發表聲明稱，他們無法訪問組織部落格和支付贖金用的特定伺服器，「由於來自美國的壓力，夥伴計劃已經關閉。」但許多專家認為，這恐怕是「黑暗面」自導自演的一齣戲，引為「黑暗面」向美國燃料安全捅出大簍子之後，遭到美國情報部門的嚴格審查，對於目前時局感到不安。

私底下，REvil可能會改頭換面再重出江湖，畢竟據美國網安諮詢公司「記錄未來」（Recorded Future）估計，所有針對西方實體的大型勒索軟體攻擊，大約有1/4都出自REvil之手。

「記錄未來」分析師里斯卡（Allan Liska）懷疑，REvil是在壓力下自願關閉的，「這些傢伙這麼傲慢自負，但我們卻沒有看到他們關閉網站前留下任何訊息或吹牛。感覺就像，他們是在壓力下放棄了一切。」《紐約時報》指出，壓力可能來自俄羅斯政府。

美國有線電視新聞網（CNN）報導，網絡安全公司CheckPoint發言人艾哈邁德（Ekram Ahmed）說，過去兩個月內，REvil每週平均進行15次網路攻擊，鑑於它引起極大關注，所以自願低調一段時間是很有可能的，「建議不要太快下結論，因為現在還為時過早。只能說，REvil確實是我們見過的最心狠手辣，也最有創意的勒索軟體犯罪集團之一。」

受害者怎麼辦？

雖然被視為資安禍害的REvil暫時關閉，讓不少機構鬆了一口氣，但這也表示REvil能順利躲過美國情報眼線，帶著已到手的贖金離開。最大的輸家是之前被駭的公司，它們恐怕永遠無法支付贖金、取回被駭走的數據，亦暫時無法讓公司業務重新上軌道。

被駭客攻擊的受害者到底該怎麼辦？此前拜登政府並不鼓勵支付贖金，因為勒索組織通常要求支付加密貨幣，這讓當局很難跨國界追蹤。拜登表示，政府將在未來幾週內推出對抗勒索軟體的戰略，預計該計劃將包含鼓勵企業和地方政府改善資安的基礎防禦。