EVI:观察 | 还原最神秘的黑客组织—REvil

摘要:

烤仔观察今天给大家介绍关于黑客组织——REvil的故事。

REvil突然从暗网消失了。

7月13日开始,这个全球臭名昭著的勒索软件组织旗下曾经极度活跃的那些勒索页面、支付入口以及聊天功能,访问时返回的只是“找不到具有指定主机名的服务器”。

英国广播公司14日援引一名自称是REvil黑客成员的话称,FBI停用了REvil网页的部分功能,因此他们干脆将网页彻底关停。他还称,该组织也受到来自克里姆林宫的压力,“俄罗斯已经厌倦了美国和其他国家向他们哭诉”。

在这之前,美国总统拜登要求俄罗斯总统普京对REvil采取行动,而克里姆林宫发言人佩斯科夫则要求美国拿出黑客在俄罗斯领土活动的证据。

为什么美国紧盯着REvil不放?这还要从REvil索要史上最高赎金7000万美元,一场竹篮打水一场空的勒索。

赎金“团购价”,REvil破勒索记录

Kaseya是一家来自瑞典的IT公司,于1999年获得了美国专利局认证的KaseyaVSA专利和连接算法专利。

KaseyaVSA是一个基于云的MSP平台,MSP是一种通过建立自己的网络运作中心来为企业提供24×7×365的系统管理服务的业务。MSP可以实现远程的管理、实时的监控和对企业系统运作情况的统计。

Kaseya在全球已经拥有了超过10000家客户,其中50%以上的全球100强IT管理服务提供商及各大龙头企业,分别来自银行业、金融业、零售业、贸易业、教育机构、政府机构、医疗机构和交通运输业等领域。截止2011年底,全球有超过1300万台以上的终端和设备通过Kaseya的软件进行管理。

正是因为很多大型企业和技术服务供应商都选择使用KaseyaVSA,Kaseya才被选中成为此次的攻击对象。

DeFi资产管理平台Zapper推出更易使用的观察钱包功能:DeFi资产管理平台Zapper推出优化版钱包观察功能,用户可以通过在通讯录页面中添加外部的地址,便可观察这些地址的资产情况。在此之前,Zapper未提供类似的功能,用户需要从已连接的钱包解绑后,才可观察其他钱包。团队表示,该功能可以用来观察鲸鱼用户的行为,或者通过观察其他用户的策略以学习和适应自己的策略。[2021/7/21 1:07:53]

因为对于勒索软件团伙来说,MSP实在是一个高价值的“猎物”。通过MSP,可以通过单一漏洞感染许多公司的渠道,但发起攻击需要黑客对MSP及其使用的软件有深入了解。REvil可是深谙此道。

REvil拥有一个专门针对MSP的技术分支机构,长期以来一直针对这些公司及其常用软件进行研究。与其他勒索软件一样,REvil的勒索软件会锁住受害者的电脑,直到受害者以他们要求的形式支付赎金。

被勒索企业终端界面示例

REvil为此次攻击精心准备过。

通常,大规模勒索软件都将攻击时间放在周末的深夜,因为在那个时间段监控网络的人员最少。然而这次,REvil反其道而行之,选择在周五中午10时-12时发起攻击,因为在工作日,购买Kaseya服务的企业都在工作状态,可以将勒索攻击的效果最大化,同时周五又是员工们周末之前最松解的时间,工作效率并不高,很大程度上不会在第一时间对攻击作出防御反应。

REvil精心策划的攻击实施得相当顺利。

7月2日周五中午开始,Kaseya陆续收到了客户报告,报告显示KaseyaVSA本地产品管理的端点出现了异常状况。基于报告,Kaseya执行团队发现勒索软件正在端点上执行。他们向本地客户发送通知,要求用户关闭他们的VSA服务器,同时关闭Kaseya的VSASaaS基础设施。

可惜他们的反应还是慢了一步。

币情观察室 | 注意 这两天将会有惊天大行情:4月9日20:00,金色盘面邀请捞针选手泰迪帮主做客金色财经《币情观察室》直播间,将分享《注意 这两天将会有惊天大行情》,敬请关注,扫描下图二维码即可观看直播![2020/4/9]

REvil攻击路径

通过调查,Kaseya的安全团队发现勒索软件使用了KaseyaVSA中的一个漏洞,并宣布将尽快发布补丁。

在KaseyaVSA服务器沦陷后,勒索软件随即被部署到其他使用Kaseya远程桌面管理软件的公司。由于Kaseya的客户中有大型IT服务供应商,这些公司又会为数百间公司提供外包IT服务,预估受影响的公司多达数千家,遍布英国、加拿大和南非等至少17个国家。

根据REvil于7月4日在暗网博客上发布的信息,声称已经锁定了超过100万个系统或终端,并要求7,000万美元“团购价”赎金,以BTC形式支付。按照网页形式,收到赎金后,REvil将发布解密器,可在1小时内解密所有被锁住的系统/终端。

REvil在暗网的博客页面

根据参与此次事件响应的安全公司之一Huntress的数据表明,此次网络攻击是REvil有史以来发起的规模最大的一次攻击,超过3100个暴露在公网的KaseyaVSA服务器,其中包括中国香港的9台服务器,50余个MSP及超过1000家下游企业受影响。并且可能已导致全球多达4万台电脑被感染。

受害者分布,颜色越深数量越多受影响越大

美国弗吉尼亚理工大学、瑞典Coop杂货连锁店、瑞典国有铁路运营商SJ、意大利Mirogliogroup、美国零售ExtendaRetail均在被影响之列,英国时尚品牌FrenchConnection、巴西医疗诊断公司GrupoFleury、西班牙电信运营商MasMovilIbercom均在被勒索的行列。

币情观察室 | 今天 是否重演2019年的4.2爆拉行情?:4月2日15:00,金色盘面邀请无人区做客金色财经《币情观察室》直播间,将分享《今天,是否重演2019年的4.2爆拉行情?》,敬请关注,扫描下图二维码即可观看。[2020/4/2]

事情到了这个地步,就已经不是一两家企业与黑客组织之间的事情了。

7月4日,美国总统拜登下令启动全面的联邦调查。9日,拜登与普京进行了通话。通话后拜登告诉媒体:“我对他明确的表态,美国希望俄罗斯能够对它国境内的勒索软件组织立刻采取行动,即便这个组织不是由国家赞助的。美国可以为此提供充足的攻击者的信息。”拜登后来补充道:“如果普京不这样做,美国将关闭该组织的服务器”。

而据俄塔社报道,佩斯科夫当天表示,克里姆林宫对REvil从暗网中消失的原因并不知情。他强调,俄罗斯认为任何网络犯罪都是不可接受的。“俄罗斯和美国应该合作打击这一犯罪。不幸的是,我不掌握有关该团体的详细信息。但俄罗斯和美国已开始就打击网络犯罪进行双边磋商。”

业内“劳模”,酷爱“顶风作案”

7000万美元赎金,听上去是一个天文数字,但这不是REvil第一次狮子大开口了。

REvil也被称为Sodinokibi。由于勒索病代码源自曾经最大的RaaS运营商GandCrab的“Sodinokibi”病,REvil一直被视作GandCrab的“接班人”。

“名师“出”高徒“。起点够高,REvil的胆子也更大。

因为从服务于全球影视娱乐巨星的律师事务所——GrubmanShireMeiselas&Sacks窃取了近1TB的信息,使REvil“一战成名”。自此之后,REvil的名字就与LadyGaga、埃尔顿·约翰、罗伯特·德尼罗和麦当娜等知名巨星紧紧联系在了一起。

2020年5月,REvil声称破译了其时美国总统唐纳德·特朗普旗下公司用于保护其数据的椭圆曲线密码术,并为他们盗窃的数据索要4200万美元的赎金。

打出名号之后,作为黑客界的“SuperStar”,REvil的犯案频率简直可以被评为业界“劳模”,仅2021年就凭借其每月至少一起的作案频率常年占据头版头条。

币情观察室 | 这样做空就对了,最经典的5种见顶形态:11月21日16:00,金色盘面邀请实盘大V保罗大帝做客金色财经《币情观察室》,亲授《币圈技术面投资21讲》之第14讲,《这样做空就对了,最经典的5种见顶形态》,敬请关注,欲进群观看直播扫描海报二维码报名即可![2019/11/21]

3月,REvil附属组织在网络上声称,他们已从跨国硬件和电子公司宏碁安装勒索软件并盗取大量数据,并为此索取5000万美元的赎金;3月,REvil攻击哈里斯联盟,并在其博客上发布了联盟的多份财务文件;4月,REvil窃取了广达电脑即将推出的苹果产品的计划,并威胁要公开发布这些计划,除非他们收到5000万美元作为赎金;5月,全球最大肉类供应商JBS受到REvil勒索软件的攻击,该公司不得不将所有美国牛肉工厂暂时关闭,并中断了家禽和猪肉工厂的运营。最终,JBS还是向REvil支付了1100万美元的比特币赎金;6月,全球再生能源巨擘Invenergy证实其作业系统遭到了勒索软件的攻击,REvil声称对此事负责。对REvil,各国政府也是深恶痛绝,多次下令进行严厉打击,美国尤甚。

在5月遭受REvil攻击,JBSFoods公司在美加工厂全部关停。而作为全球最大的牛肉和家禽生产商、全球第二大猪肉生产商,JBSFoods肩负着美国、澳大利亚、加拿大、英国等地业务肉食供应的大宗供应。美国加工厂的关停会直接导致至少美国境内短期的肉食产品供应短缺。

如果说经济和民生上短暂的波动还不足以撼动白宫的神经,那么国土安全就是头号大事了。

美国能源部的分包商与国家核安全局合作开发核武系统的SolOriens公司在6月遭遇勒索病攻击。经过比对,专家称“攻击来自REvil勒索软件”。

来源:https://threatpost.com/revil-hits-us-nuclear-weapons-contractor-sol-oriens/166858/

安全研究员称,SolOriens公司被入侵,可能来源于RDP服务被REvil弱口令爆破攻击。

攻击肉制品加工企业,会导致城市肉食供应受影响;而针对国防承包商的攻击活动,谁知道被攻击者拿走多少绝密文件呢?也无怪乎美国要对REvil“追着打”。

动态 | 鲸鱼观察:BCH持有大户自2月份以来已积累超100万枚BCH:据Bitcoin.com消息,过去两周,加密货币价格出现大幅波动。在此期间,比特币钱包也出现巨大波动。区块链分析的数据显示,在过去48小时内,未知鲸鱼钱包转移2万枚多比特币(价值约1.01亿美元),这是自2018年2月以来的又一次大规模比特币转移。此外,比特币现金(BCH)巨头在过去五周已积累110万枚比特币现金。[2019/4/13]

不过REvil有恃无恐,否则也不会7月仅仅过去两天,就迫不及待地对Kaseya出手了。

不过结局大家也已经知道了,现在REvil在暗网的网站和应用,都处于关停状态。

勒索犯“跑路”,被勒索的企业何去何从

黑客组织倾向于勒索比特币作为赎金。这其中最广为人知的,就是REvil要求Kaseya支付7000万美元比特币的这起案件。

事实上,比特币不是黑客组织的的唯一选择。REvil就曾经要求以门罗币Monero作为赎金。

一旦REvil恶意软件进入计算机系统,会加密所有受害者储存在终端的文件,然后留下一个包含赎金记录的文本文件。这个文本会引导受害者到Tor上的网站,等待下一步指示。

受害者门户网站将显示赎金要求,比如这个是价值50,000美元的门罗币。如果赎金未在特定时间范围内支付,赎金将翻倍至100,000美元。

受害者门户网站甚至还为这些被勒索的传统企业提供了有关可以在哪里购买门罗币,以及应该将其发送到哪里的说明:

该门户还允许受害者通过“聊天支持”选项卡直接与REvil交谈。在这里,受害者可以发起与REvil的对话,协商赎金。

如何能让受害者相信一个黑客组织?REvil简直不要太专业。

他们会提供一个试用功能,受害者可以提供几个加密文件,REvil解密后将文件返还,以此来确认受害者没有找错人,并证明他们确实有能力提供解密器。

难以想象的是,REvil居然“接受小刀”。受害者先是争取了20%的折扣,继而经过了一系列你来我往,最终同意支付25,000美元的赎金,在原价的基础上整整打了5折。

而且,REvil不强求受害者一定要用门罗币来支付,因为他们发现门罗币的知名度太差了,知道门罗币的受害者和支持门罗币流通的交易平台都太少。于是,如果受害者要求用比特币支付,REvil会同意。而且从Kaseya的案件中来看,REvil后期会直接索要比特币作为赎金。

一旦支付了赎金,受害者门户就会更新以提供对解密器的访问。

对于受害者来说,与REvil接触的过程已经全部完成,他们可以使用解密器工具重新获得对其文件的访问权限。这就是一套完整REvil索要赎金的过程。

那么在Kaseya事件中,有企业支付赎金吗?答案是:有。目前已经统计到的数据中,部分受害者向REvil支付了共计45,000美元的赎金。

勒索软件修复公司CriticalInsight信息安全官MikeHamilton表示,公司的一位不愿透露姓名的客户,就是为数不多的向REvil勒索软件组织支付赎金的Kaseya受害者之一。

而现在REvil突然关停,消失在茫茫网络中,支付赎金和未支付赎金的受害者们,又将何去何从?

MikeHamilton透露,用户找到了保险公司支付了赎金,也拿到了解密器,发现解密器并非对所有的被加密的文件都有效。这个时候却发现REvil的网站全部都下线了。

"They'regoingtoenduplosingalotofdataandthey'regoingtoendupspendingalotofmoneytocompletelyrebuildtheirnetworkfromscratch."

勒索软件专家AllanLiska认为,这是由于REvil的解密器管理混乱造成的。

Myguessishasshitdecryptorkeymanagementsotheymaynotknowwhichkeytogiveouttoeachinpidualvictim.

无论是否交付过赎金,摆在受害企业和个人面前的,都是被一堆被加密的文件,和消失的黑客。

当然,勒索软件修复相关的机构和企业都在积极地帮助那些日常未及时备份数据的受害企业,但并不是所有企业都能等得起,毕竟在商业游戏里,时间就是金钱。

最后

REvil“闭麦”,但人们的猜测还没有停下。

有些人认为REvil这一次是被永久关停,没有机会再复出,有些人相信这是美俄联合打击网络犯罪的国际合作成果,也有一些人,认为REvil只是全员休假,毕竟2021年的上半年他们高强度作案已经赚得盆满钵满,没有理由不在风声紧的时候去享受一下沙滩红酒的美妙人生。

虽然目前REvil不在江湖,但勒索软件组织和黑客组织还有很多。只要互联网依然存在,关于网络安全的攻防双方的对抗,就会始终存在。而各国也在加紧网络安全领域的联合协作工作。

前有境内141万名医生的个人信息和联系方式被盗取公开售卖,后有最大燃油管道运营商Colonial系统被入侵被迫关闭了整个管道系统,现在又添了肉类供应商JBS和办公网络服务商Kaseya被勒索的案件,美国的网络安全事件频发,拜登政府也开始着手研究通证在黑客攻击事件中的地位和作用。

6月,美国国家安全顾问AnneNeuberger在致商界领袖的一封信中表示,美国政府正在与国际伙伴合作,制定一致政策,以决定当遭遇黑客勒索时何时支付赎金以及如何追踪赎金去向。

而在本周二,美国参议院国土安全和政府事务委员会主席的美国参议员GaryPeters宣布,委员会正在对通证在最近的勒索软件攻击中的作用展开调查。调查将侧重于可确保美国人从这一新资产类别中受益,而不会面临勒索软件风险的通证法规。

白宫表示,在留意到近期发生的规模巨大的网络攻击之后,他们将把勒索软件攻击视同于恐怖主义。而一系列的这些行动都表明,美国政府对网络犯罪的态度,已经发生了重大的转变。毕竟在频繁的黑客攻击面前,已然很难通过传统外交和执法手段,来应对政企所面临的相关网络威胁。

黑客组织和网络犯罪的危害,从不局限于一国一地。这种新型的影响巨大的犯罪形式,正在挑战着疫情过去后全球复苏的经济社会生活。电子证据的跨国调取、对跨国网络犯罪的域外管辖、网络犯罪的预防等等议题,都将是接下来各国将共同努力的方向。

REvil是所有勒索软件团伙中最多产、最令人恐惧的团伙之一。如果Kaseya事件真的是这个组织的最后一次作案,一定会为今年愈演愈烈的勒索软件威胁趋势,带来些新的反思和思考。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-1:555ms