9个月内,186家知名公司被攻破。其中不乏美国核武器承包商、苹果供应商、日本富士等等行业巨头,被勒索金额动辄几千万美元。

 

这不就是打劫?

 

对,就有这样一个黑客组织,他们靠着“不给钱就公开你信息”的手段在网络上打家劫舍。

 

仅在2020年一年内就成功进账1亿美元。

 

从2019年“出道”至今,两年迅速成为世界第二大黑客组织,近300家组织曾被攻击。

 

最可怕的是,目前还没有人能够阻止他们。

 

如果不幸被他们选中了,那能选择的只有两个字:给钱。就连无法无天的特朗普,也一度被他们勒索4200万美元。

 

这……究竟是“何方神圣”啊?

 

特朗普都拿他没辙

它就是备受争议的俄罗斯黑客组织:REvil。

 

 

去年5月,正在为大选忙得焦头烂额的特朗普先生,就不幸被REvil选中为“盘中餐”。

 

他们声称已经从知名美国律师事务Grubman Shire Meiselas&Sacks(GSM)服务器中窃取了756GB的数据。

 

并扬言:如果特朗普一星期内不支付4200万美元(折合人民币2.7亿元)的赎金,就会把这些数据通通泄露出去。

 

这样的小手段,能搞得定特朗普?

 

川普还在Twitter上取笑REvil是虚张声势:他们其实手里没有任何东西。

 

不过他马上尝到了被威胁的滋味:2020年5月17日,REvil公开了169封与特朗普有关的邮件。

 

他们还声称已经在暗网上将数据出售给了买方,不过对方只有副本。

 

而且由于黑客是在暗网上发布消息,所以FBI也追踪不到他们。

 

这一时期的REvil就像掌握了“财富密码”一般,可能他们感觉到从名人那里偷数据要简单、要钱更容易。

 

所以在同月,受到威胁的还有Lady Gaga和麦当娜等名人。

 

后来,事情都不了了之。

 

但是其成员曾提到过,2020年该组织的进账有1亿美元,不知道是不是暗示了什么。

 

 

事实上,截止目前REvil已经攻击了近300家组织。

 

仅在今年就“战绩斐然”。

 

3月,REvil宣布已入侵窃取宏碁(acer)数据;

 

4月苹果新产品发布在即,收到REvil威胁:已掌握新产品设计图;

 

5月,美国核武器承包商Sol Oriens公司遭遇REvil勒索病毒攻击,业务数据及员工信息被窃取;

 

同月,日本富士胶片因遭REvil袭击,被迫关闭公司部分网络及对外连接;全球最大肉制品供应商JBS在其勒索下,一度关闭美国所有工厂;

 

6月,美国能源公司Invenergy报告自己遭到了勒索软件攻击,REvil表示对此负责。

 

有人曾统计过,从去年10月到今年6月,REvil就发起了186次勒索。

 

 

从此前统计数据看,REvil已经是目前世界上第二大黑客组织。

 

△数据截止今年6月前

 

就在最近,他们又搞出了个大新闻:

 

通过攻击供应链,REvil在短短1天时间内造成了全球1000多家公司被袭击。

 

从大型连锁超市、药店到铁路部门等,众多企业都被波及。

 

瑞典大型连锁超市Coop受此影响,甚至不得不关闭了全国约800家门店。

 

这甚至让美国总统拜登紧急下令,指示FBI调查此事。

 

从供应链群体攻击

能够造成如此大的危害,是因为REvil袭击了一家管理软件服务商Kaseya。

 

欧美许多中小企业都在用Kaseya提供的软件。

 

因为无力自己组建IT部门,他们的管理软件都来自Kaseya公司,而黑客把将官网提供的软件全部换成了勒索病毒。

 

一下子,所有使用Kaseya软件的公司都暴露在风险之中。

 

REvil通过软件官网或官方包管理工具传播病毒。

 

黑客将伪装的文件放入用于更新分发的c:\kworking文件夹中,然后启动PowerShell命令禁用微软Defender功能。

 

然后,恶意软件将使用合法的Windows certutil.exe命令解码文件夹中的agent.crt文件,并将 agent.exe文件解压缩到同一文件夹,然后启动加密过程。

 

 

agent.exe中包括嵌入的“MsMpEng.exe”和“mpsvc.dll”,后者是REvil加密器,而前者是微软Defender可执行文件的旧版。

 

所以,用户一旦将agent.exe下载到本地,就会开始解压运行,并加密数据。

 

所以Kaseya就成了分发病毒的中心。

 

目前,为了防止危害继续扩大,Kaseya不得不警告用户:请关掉你们的服务器。

 

那些已经受感染的用户就没那么幸运了,黑客开始狮子大开口,向他们索要500万美元的赎金来恢复数据,若超过规定时间,赎金将翻倍。

 

 

不过,这是数据已经被勒索病毒加密的公司的赎金,如果只是网络受到影响,被勒索的赎金要少得多,约4.5万美元。

 

根据安全人员在暗网上收集到的消息,黑客的总赎金要求已经达到了7000万美元。

 

以此计算应该有14家企业数据遭殃。但严重的是,有更多没被感染的企业只能选择关停服务器。

 

这群黑客是来自俄罗斯的吗?其实美国也不知道他们是怎样一群人。

 

但是美国发现REvil似乎从不攻击俄罗斯和其他前苏联国家,因此有理由相信这是一个来自俄罗斯的黑客组织。

 

REvil究竟何许人也?

REvil全称Ransomware Evil,是一群专门靠勒索软件“打家劫舍”的黑客组织。

 

从2019年出现至今犯案无数。

 

而且他们的行径非常招摇,每次恶意攻击后,他们都会在自己的主页Happy Blog上发布勒索金额。

 

 

仅在今年,REvil也已经有了6次犯案记录。

 

事情也一次比一次闹得大,从信托公司、网络安全公司,到窃取苹果新产品信息、攻击世界上最大的肉类加工厂,REvil每一次都赚得盆满钵满。

 

值得一提的是,REvil和此前搞瘫美国燃油管道运输管理系统的Darkside似乎有着千丝万缕的关系。

 

首先,他们两个都是“俄罗斯人不打俄罗斯人”,不攻击俄罗斯或前苏联国家。

 

其次,他们使用的勒索软件代码、赎金票据、文件加密扩展名都非常相似,也用同样的方式来排除独联体国家。

 

Flashpoint的研究人员此前表示,Darkside很可能是REvil的分支或者团伙。

 

参考链接:

[1]https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/

[2]https://www.lawfareblog.com/what-happened-kaseya-vsa-incident
https://www.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/

[3]https://www.wired.com/story/revil-ransomware-supply-chain-technique/

[4]https://twitter.com/darktracer_int/status/1411535889331724291