9个月内,186家知名公司被攻破。
其中不乏美国核武器承包商、苹果供应商、日本富士等等行业巨头,被勒索金额动辄几千万美元。
这不就是打劫?
对,就有这样一个黑客组织,他们靠着“不给钱就公开你信息”的手段在网络上打家劫舍。
仅在2020年一年内就成功进账1亿美元。
从2019年“出道”至今,两年迅速成为世界第二大黑客组织,近300家组织曾被攻击。
最可怕的是,目前还没有人能够阻止他们。
如果不幸被他们选中了,那能选择的只有两个字:给钱。
就连无法无天的特朗普,也一度被他们勒索4200万美元。
这……究竟是“何方神圣”啊?
它就是备受争议的俄罗斯黑客组织:REvil。
去年5月,正在为大选忙得焦头烂额的特朗普先生,就不幸被REvil选中为“盘中餐”。
他们声称已经从知名美国律师事务Grubman Shire Meiselas&Sacks(GSM)服务器中窃取了756GB的数据。
并扬言:如果特朗普一星期内不支付4200万美元(折合人民币2.7亿元)的赎金,就会把这些数据通通泄露出去。
这样的小手段,能搞得定特朗普?
川普还在Twitter上取笑REvil是虚张声势:他们其实手里没有任何东西。
不过他马上尝到了被威胁的滋味:
2020年5月17日,REvil公开了169封与特朗普有关的邮件。
他们还声称已经在暗网上将数据出售给了买方,不过对方只有副本。
而且由于黑客是在暗网上发布消息,所以FBI也追踪不到他们。
这一时期的REvil就像掌握了“财富密码”一般,可能他们感觉到从名人那里偷数据要简单、要钱更容易。
所以在同月,受到威胁的还有Lady Gaga和麦当娜等名人。
后来,事情都不了了之。
但是其成员曾提到过,2020年该组织的进账有1亿美元,不知道是不是暗示了什么。
事实上,截止目前REvil已经攻击了近300家组织。
仅在今年就“战绩斐然”。
3月,REvil宣布已入侵窃取宏碁(acer)数据;
4月苹果新产品发布在即,收到REvil威胁:已掌握新产品设计图;
5月,美国核武器承包商Sol Oriens公司遭遇REvil勒索病毒攻击,业务数据及员工信息被窃取;
同月,日本富士胶片因遭REvil袭击,被迫关闭公司部分网络及对外连接;全球最大肉制品供应商JBS在其勒索下,一度关闭美国所有工厂;
6月,美国能源公司Invenergy报告自己遭到了勒索软件攻击,REvil表示对此负责。
有人曾统计过,从去年10月到今年6月,REvil就发起了186次勒索。
从此前统计数据看,REvil已经是目前世界上第二大黑客组织。
就在最近,他们又搞出了个大新闻:
通过攻击供应链,REvil在短短1天时间内造成了全球1000多家公司被袭击。
从大型连锁超市、药店到铁路部门等,众多企业都被波及。
瑞典大型连锁超市Coop受此影响,甚至不得不关闭了全国约800家门店。
这甚至让美国总统拜登紧急下令,指示FBI调查此事。
能够造成如此大的危害,是因为REvil袭击了一家管理软件服务商Kaseya。
欧美许多中小企业都在用Kaseya提供的软件。
因为无力自己组建IT部门,他们的管理软件都来自Kaseya公司,而黑客把将官网提供的软件全部换成了勒索病毒。
一下子,所有使用Kaseya软件的公司都暴露在风险之中。
REvil通过软件官网或官方包管理工具传播病毒。
黑客将伪装的文件放入用于更新分发的c:kworking文件夹中,然后启动PowerShell命令禁用微软Defender功能。
然后,恶意软件将使用合法的Windows certutil.exe命令解码文件夹中的agent.crt文件,并将 agent.exe文件解压缩到同一文件夹,然后启动加密过程。
agent.exe中包括嵌入的“MsMpEng.exe”和“mpsvc.dll”,后者是REvil加密器,而前者是微软Defender可执行文件的旧版。
所以,用户一旦将agent.exe下载到本地,就会开始解压运行,并加密数据。
所以Kaseya就成了分发病毒的中心。
目前,为了防止危害继续扩大,Kaseya不得不警告用户:请关掉你们的服务器。
那些已经受感染的用户就没那么幸运了,黑客开始狮子大开口,向他们索要500万美元的赎金来恢复数据,若超过规定时间,赎金将翻倍。
不过,这是数据已经被勒索病毒加密的公司的赎金,如果只是网络受到影响,被勒索的赎金要少得多,约4.5万美元。
根据安全人员在暗网上收集到的消息,黑客的总赎金要求已经达到了7000万美元。
以此计算应该有14家企业数据遭殃。但严重的是,有更多没被感染的企业只能选择关停服务器。
这群黑客是来自俄罗斯的吗?其实美国也不知道他们是怎样一群人。
但是美国发现REvil似乎从不攻击俄罗斯和其他前苏联国家,因此有理由相信这是一个来自俄罗斯的黑客组织。
REvil全称Ransomware Evil,是一群专门靠勒索软件“打家劫舍”的黑客组织。
从2019年出现至今犯案无数。
而且他们的行径非常招摇,每次恶意攻击后,他们都会在自己的主页Happy Blog上发布勒索金额。
仅在今年,REvil也已经有了6次犯案记录。
事情也一次比一次闹得大,从信托公司、网络安全公司,到窃取苹果新产品信息、攻击世界上最大的肉类加工厂,REvil每一次都赚得盆满钵满。
值得一提的是,REvil和此前搞瘫美国燃油管道运输管理系统的Darkside似乎有着千丝万缕的关系。
首先,他们两个都是“俄罗斯人不打俄罗斯人”,不攻击俄罗斯或前苏联国家。
其次,他们使用的勒索软件代码、赎金票据、文件加密扩展名都非常相似,也用同样的方式来排除独联体国家。
Flashpoint的研究人员此前表示,Darkside很可能是REvil的分支或者团伙。
参考链接:
[1]https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/
[2]https://www.lawfareblog.com/what-happened-kaseya-vsa-incident
https://www.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/
[3]https://www.wired.com/story/revil-ransomware-supply-chain-technique/
[4]https://twitter.com/darktracer_int/status/1411535889331724291
“