摘要:
烤仔觀察今天給大家介紹關於黑客組織——REvil的故事。
REvil 突然從暗網消失了。
7 月13 日開始,這個全球臭名昭著的勒索軟件組織旗下曾經極度活躍的那些勒索頁面、支付入口以及聊天功能,訪問時返回的只是“找不到具有指定主機名的服務器”。
英國廣播公司(BBC) 14 日援引一名自稱是REvil 黑客成員的話稱,FBI 停用了REvil 網頁的部分功能,因此他們乾脆將網頁徹底關停。他還稱,該組織也受到來自克里姆林宮的壓力,“俄羅斯已經厭倦了美國和其他國家向他們哭訴”。
在這之前,美國總統拜登要求俄羅斯總統普京對REvil 採取行動,而克里姆林宮發言人佩斯科夫則要求美國拿出黑客在俄羅斯領土活動的證據。
為什麼美國緊盯著REvil 不放?這還要從REvil 索要史上最高贖金7000 萬美元,一場竹籃打水一場空的勒索。
贖金“團購價”,REvil 破勒索記錄
Kaseya 是一家來自瑞典的IT 公司,於1999 年獲得了美國專利局認證的Kaseya VSA (虛擬系統管理)專利和連接算法專利。
Kaseya VSA 是一個基於雲的MSP 平台,MSP 是一種通過建立自己的網絡運作中心(NOC,Network Operating Center)來為企業提供24×7×365 的系統管理服務的業務。 MSP 可以實現遠程的管理、實時的監控和對企業系統運作情況的統計。
Kaseya 在全球已經擁有了超過10000 家客戶,其中50% 以上的全球100 強IT 管理服務提供商及各大龍頭企業,分別來自銀行業、金融業、零售業、貿易業、教育機構、政府機構、醫療機構和交通運輸業等領域。截止2011 年底,全球有超過1300 萬台以上的終端和設備通過Kaseya 的軟件進行管理。
正是因為很多大型企業和技術服務供應商都選擇使用Kaseya VSA,Kaseya 才被選中成為此次的攻擊對象。
因為對於勒索軟件團伙來說,MSP 實在是一個高價值的“獵物”。通過MSP,可以通過單一漏洞感染許多公司的渠道,但發起攻擊需要黑客對MSP 及其使用的軟件有深入了解。 REvil 可是深諳此道。
REvil 擁有一個專門針對MSP 的技術分支機構,長期以來一直針對這些公司及其常用軟件進行研究。與其他勒索軟件一樣,REvil 的勒索軟件會鎖住受害者的電腦,直到受害者以他們要求的形式支付贖金。
被勒索企業終端界面示例
REvil 為此次攻擊精心準備過。
通常,大規模勒索軟件都將攻擊時間放在周末的深夜,因為在那個時間段監控網絡的人員最少。然而這次,REvil 反其道而行之,選擇在周五中午10 時– 12 時發起攻擊,因為在工作日,購買Kaseya 服務的企業(大都分佈在歐洲、美洲)都在工作狀態,可以將勒索攻擊的效果最大化,同時周五又是員工們週末之前最松解的時間,工作效率並不高,很大程度上不會在第一時間對攻擊作出防禦反應。
REvil 精心策劃的攻擊實施得相當順利。
7 月2 日週五中午開始,Kaseya 陸續收到了客戶報告,報告顯示Kaseya VSA 本地產品管理的端點出現了異常狀況。基於報告, Kaseya 執行團隊發現勒索軟件正在端點上執行。他們向本地客戶發送通知,要求用戶關閉他們的VSA 服務器,同時關閉Kaseya 的VSA SaaS 基礎設施。
可惜他們的反應還是慢了一步。
REvil 攻擊路徑
通過調查,Kaseya 的安全團隊發現勒索軟件使用了Kaseya VSA 中的一個漏洞,並宣布將盡快發布補丁。
在Kaseya VSA 服務器淪陷後,勒索軟件隨即被部署到其他使用Kaseya 遠程桌面管理軟件的公司。由於Kaseya 的客戶中有大型IT 服務供應商,這些公司又會為數百間公司提供外包IT 服務,預估受影響的公司多達數千家,遍布英國、加拿大和南非等至少17 個國家。
根據REvil 於7 月4 日在暗網博客上發布的信息,聲稱已經鎖定了超過100 萬個系統或終端,並要求7,000 萬美元“團購價”贖金,以BTC 形式支付。按照網頁形式,收到贖金後,REvil 將發布解密器,可在1 小時內解密所有被鎖住的系統/ 終端。
REvil 在暗網的博客頁面
根據參與此次事件響應的安全公司之一Huntress 的數據表明,此次網絡攻擊是REvil 有史以來發起的規模最大的一次攻擊,超過3100 個暴露在公網的Kaseya VSA 服務器,其中包括中國香港的9 台服務器,50 餘個MSP 及超過1000 家下游企業受影響。並且可能已導致全球多達4 萬台電腦被感染。
受害者分佈,顏色越深數量越多受影響越大
美國弗吉尼亞理工大學、瑞典Coop 雜貨連鎖店、瑞典國有鐵路運營商SJ、意大利Miroglio group、美國零售Extenda Retail 均在被影響之列,英國時尚品牌French Connection、巴西醫療診斷公司Grupo Fleury、西班牙電信運營商MasMovil Ibercom 均在被勒索的行列。
事情到了這個地步,就已經不是一兩家企業與黑客組織之間的事情了。
7 月4 日,美國總統拜登下令啟動全面的聯邦調查。 9 日,拜登與普京進行了通話。通話後拜登告訴媒體:“我對他明確的表態,美國希望俄羅斯能夠對它國境內的勒索軟件組織立刻採取行動,即便這個組織不是由國家贊助的。美國可以為此提供充足的攻擊者的信息。”拜登後來補充道:“如果普京不這樣做,美國將關閉該組織的服務器”。
而據俄塔社報導,佩斯科夫當天表示,克里姆林宮對REvil 從暗網中消失的原因並不知情。他強調,俄羅斯認為任何網絡犯罪都是不可接受的。 “俄羅斯和美國應該合作打擊這一犯罪。不幸的是,我不掌握有關該團體的詳細信息。但俄羅斯和美國已開始就打擊網絡犯罪進行雙邊磋商。”
業內“勞模”,酷愛“頂風作案”
7000 萬美元贖金,聽上去是一個天文數字,但這不是REvil 第一次獅子大開口了。
REvil 也被稱為Sodinokibi。由於勒索病毒代碼源自曾經最大的RaaS (勒索軟件即服務)運營商GandCrab 的“Sodinokibi”病毒,REvil 一直被視作GandCrab 的“接班人”。
“名師“出”高徒“。起點夠高,REvil 的膽子也更大。
因為從服務於全球影視娛樂巨星的律師事務所—— Grubman Shire Meiselas & Sacks 竊取了近1TB 的信息,使REvil“一戰成名”。自此之後,REvil 的名字就與Lady Gaga、埃爾頓·約翰、羅伯特·德尼羅和麥當娜等知名巨星緊緊聯繫在了一起。
2020 年5 月,REvil 聲稱破譯了其時美國總統唐納德·特朗普旗下公司用於保護其數據的橢圓曲線加密貨幣術,並為他們盜竊的數據索要4200 萬美元的贖金。
打出名號之後,作為黑客界的“Super Star”,REvil 的犯案頻率簡直可以被評為業界“勞模”,僅2021 年就憑藉其每月至少一起的作案頻率常年佔據頭版頭條。
3 月,REvil 附屬組織在網絡上聲稱,他們已從跨國硬件和電子公司宏碁安裝勒索軟件並盜取大量數據,並為此索取5000 萬美元的贖金; 3 月,REvil 攻擊哈里斯聯盟,並在其博客上發布了聯盟的多份財務文件; 4 月,REvil 竊取了廣達電腦即將推出的蘋果產品的計劃,並威脅要公開發布這些計劃,除非他們收到5000 萬美元作為贖金; 5 月,全球最大肉類供應商JBS 受到REvil 勒索軟件的攻擊,該公司不得不將所有美國牛肉工廠暫時關閉,併中斷了家禽和豬肉工廠的運營。最終,JBS 還是向REvil 支付了1100 萬美元的比特幣贖金; 6 月,全球再生能源巨擘Invenergy 證實其作業系統遭到了勒索軟件的攻擊,REvil 聲稱對此事負責。
對REvil,各國政府也是深惡痛絕,多次下令進行嚴厲打擊,美國尤甚。
在5 月遭受REvil 攻擊,JBS Foods 公司在美加工廠全部關停。而作為全球最大的牛肉和家禽生產商、全球第二大豬肉生產商,JBSFoods 肩負著美國、澳大利亞、加拿大、英國等地業務肉食供應的大宗供應。美國加工廠的關停會直接導致至少美國境內短期的肉食產品供應短缺。
如果說經濟和民生上短暫的波動還不足以撼動白宮的神經,那麼國土安全就是頭號大事了。
美國能源部(DOE)的分包商與國家核安全局(NNSA)合作開發核武系統的Sol Oriens 公司在6 月遭遇勒索病毒攻擊。經過比對,專家稱“攻擊來自REvil 勒索軟件”。
來源:https://threatpost.com/revil-hits-us-nuclear-weapons-contractor-sol-oriens/166858/
安全研究員稱,Sol Oriens 公司被入侵,可能來源於RDP 服務被REvil 弱口令爆破攻擊。
攻擊肉製品加工企業,會導致城市肉食供應受影響;而針對國防承包商的攻擊活動,誰知道被攻擊者拿走多少絕密文件呢?也無怪乎美國要對REvil “追著打”。
不過REvil 有恃無恐,否則也不會7 月僅僅過去兩天,就迫不及待地對Kaseya 出手了。
不過結局大家也已經知道了,現在REvil 在暗網的網站和應用,都處於關停狀態。
勒索犯“跑路”,被勒索的企業何去何從
黑客組織傾向於勒索比特幣作為贖金。這其中最廣為人知的,就是REvil 要求Kaseya 支付7000 萬美元比特幣的這起案件。
事實上,比特幣不是黑客組織的的唯一選擇。 REvil 就曾經要求以門羅幣Monero 作為贖金。
一旦REvil 惡意軟件進入計算機系統,會加密貨幣所有受害者儲存在終端的文件,然後留下一個包含贖金記錄的文本文件。這個文本會引導受害者到Tor (通常用於託管暗網的匿名互聯網)上的網站(受害者門戶),等待下一步指示。
受害者門戶網站將顯示贖金要求,比如這個是價值50,000 美元的門羅幣。如果贖金未在特定時間範圍內支付,贖金將翻倍至100,000 美元。
受害者門戶網站甚至還為這些被勒索的傳統企業提供了有關可以在哪裡購買門羅幣,以及應該將其發送到哪裡的說明:
該門戶還允許受害者通過“聊天支持”選項卡直接與REvil 交談。在這裡,受害者(藍色)可以發起與REvil (綠色)的對話,協商贖金。
如何能讓受害者相信一個黑客組織? REvil 簡直不要太專業。
他們會提供一個試用功能,受害者可以提供幾個加密貨幣文件,REvil 解密後將文件返還,以此來確認受害者沒有找錯人,並證明他們確實有能力提供解密器。
難以想像的是,REvil 居然“接受小刀”(打折)。受害者先是爭取了20% 的折扣,繼而經過了一系列你來我往,最終同意支付25,000 美元的贖金,在原價的基礎上整整打了5 折。
而且,REvil 不強求受害者一定要用門羅幣來支付,因為他們發現門羅幣的知名度太差了,知道門羅幣的受害者和支持門羅幣流通的交易平台都太少。於是,如果受害者要求用比特幣支付,REvil 會同意。而且從Kaseya 的案件中來看,REvil 後期會直接索要比特幣作為贖金。
一旦支付了贖金,受害者門戶就會更新以提供對解密器的訪問。 (當然,不能100% 保證一定會提供這樣的工具)
對於受害者來說,與REvil 接觸的過程已經全部完成,他們可以使用解密器工具重新獲得對其文件的訪問權限。這就是一套完整REvil 索要贖金的過程。
那麼在Kaseya 事件中,有企業支付贖金嗎?答案是:有。目前已經統計到的數據中,部分受害者向REvil 支付了共計45,000 美元的贖金。
勒索軟件修復公司Critical Insight 信息安全官Mike Hamilton 表示,公司的一位不願透露姓名的客戶,就是為數不多的向REvil 勒索軟件組織支付贖金的Kaseya 受害者之一。
而現在REvil 突然關停,消失在茫茫網絡中,支付贖金和未支付贖金的受害者們,又將何去何從?
Mike Hamilton 透露,用戶找到了保險公司支付了贖金,也拿到了解密器,發現解密器並非對所有的被加密貨幣的文件都有效。這個時候卻發現REvil 的網站全部都下線了。
“They’re going to end up losing a lot of data and they’re going to end up spending a lot of money to completely rebuild their network from scratch.”
勒索軟件專家Allan Liska 認為,這是由於REvil 的解密器管理混亂造成的。
My guess is [REvil] has shit decryptor key management so they may not know which key to give out to each inpidual victim.
無論是否交付過贖金,擺在受害企業和個人面前的,都是被一堆被加密貨幣的文件,和消失的黑客。
當然,勒索軟件修復相關的機構和企業都在積極地幫助那些日常未及時備份數據的受害企業,但並不是所有企業都能等得起,畢竟在商業遊戲裡,時間就是金錢。
最後
REvil“閉麥”,但人們的猜測還沒有停下。
有些人認為REvil 這一次是被永久關停,沒有機會再复出,有些人相信這是美俄聯合打擊網絡犯罪的國際合作成果,也有一些人,認為REvil 只是全員休假,畢竟2021 年的上半年他們高強度作案已經賺得盆滿缽滿,沒有理由不在風聲緊的時候去享受一下沙灘紅酒的美妙人生。
雖然目前REvil 不在江湖,但勒索軟件組織和黑客組織還有很多。只要互聯網依然存在,關於網絡安全的攻防雙方的對抗,就會始終存在。而各國也在加緊網絡安全領域的聯合協作工作。
前有境內141 萬名醫生的個人信息和聯繫方式被盜取公開售賣,後有最大燃油管道運營商Colonial 系統被入侵被迫關閉了整個管道系統,現在又添了肉類供應商JBS 和辦公網絡服務商Kaseya 被勒索的案件,美國的網絡安全事件頻發,拜登政府也開始著手研究通證在黑客攻擊事件中的地位和作用。
6 月,美國國家安全顧問Anne Neuberger 在致商界領袖的一封信中表示,美國政府正在與國際夥伴合作,制定一致政策,以決定當遭遇黑客勒索時何時支付贖金以及如何追踪贖金去向。
而在本週二,美國參議院國土安全和政府事務委員會主席的美國參議員Gary Peters 宣布,委員會正在對通證在最近的勒索軟件攻擊中的作用展開調查。調查將側重於可確保美國人從這一新資產類別(通證)中受益,而不會面臨勒索軟件風險的通證法規。
白宮表示,在留意到近期發生的規模巨大的網絡攻擊之後,他們將把勒索軟件攻擊視同於恐怖主義。而一系列的這些行動都表明,美國政府對網絡犯罪的態度,已經發生了重大的轉變。畢竟在頻繁的黑客攻擊面前,已然很難通過傳統外交和執法手段,來應對政企所面臨的相關網絡威脅。
黑客組織和網絡犯罪的危害,從不局限於一國一地。這種新型的影響巨大的犯罪形式,正在挑戰著疫情過去後全球復甦的經濟社會生活。電子證據的跨國調取、對跨國網絡犯罪的域外管轄、網絡犯罪的預防等等議題,都將是接下來各國將共同努力的方向。
REvil 是所有勒索軟件團伙中最多產、最令人恐懼的團伙之一。如果Kaseya 事件真的是這個組織的最後一次作案,一定會為今年愈演愈烈的勒索軟件威脅趨勢,帶來些新的反思和思考。
資訊來源:由0x資訊編譯自8BTC。版權歸作者所有,未經許可,不得轉載