END:观察 | 还原最神秘的黑客组织—REvil_NAN

摘要:

烤仔观察今天给大家介绍关于黑客组织——REvil的故事。

REvil突然从暗网消失了。

7月13日开始,这个全球臭名昭著的勒索软件组织旗下曾经极度活跃的那些勒索页面、支付入口以及聊天功能,访问时返回的只是“找不到具有指定主机名的服务器”。

英国广播公司14日援引一名自称是REvil黑客成员的话称,FBI停用了REvil网页的部分功能,因此他们干脆将网页彻底关停。他还称,该组织也受到来自克里姆林宫的压力,“俄罗斯已经厌倦了美国和其他国家向他们哭诉”。

在这之前,美国总统拜登要求俄罗斯总统普京对REvil采取行动,而克里姆林宫发言人佩斯科夫则要求美国拿出黑客在俄罗斯领土活动的证据。

为什么美国紧盯着REvil不放?这还要从REvil索要史上最高赎金7000万美元,一场竹篮打水一场空的勒索。

赎金“团购价”,REvil破勒索记录

Kaseya是一家来自瑞典的IT公司,于1999年获得了美国专利局认证的KaseyaVSA专利和连接算法专利。

KaseyaVSA是一个基于云的MSP平台,MSP是一种通过建立自己的网络运作中心来为企业提供24×7×365的系统管理服务的业务。MSP可以实现远程的管理、实时的监控和对企业系统运作情况的统计。

Kaseya在全球已经拥有了超过10000家客户,其中50%以上的全球100强IT管理服务提供商及各大龙头企业,分别来自银行业、金融业、零售业、贸易业、教育机构、政府机构、医疗机构和交通运输业等领域。截止2011年底,全球有超过1300万台以上的终端和设备通过Kaseya的软件进行管理。

正是因为很多大型企业和技术服务供应商都选择使用KaseyaVSA,Kaseya才被选中成为此次的攻击对象。

灰度 CEO:将观察是否需要重新申请比特币ETF上市:金色财经报道,灰度首席执行官Sonnenshein表示,公司承诺降低服务费率;将观察是否需要重新申请比特币ETF上市。[2023/8/30 13:07:08]

因为对于勒索软件团伙来说,MSP实在是一个高价值的“猎物”。通过MSP,可以通过单一漏洞感染许多公司的渠道,但发起攻击需要黑客对MSP及其使用的软件有深入了解。REvil可是深谙此道。

REvil拥有一个专门针对MSP的技术分支机构,长期以来一直针对这些公司及其常用软件进行研究。与其他勒索软件一样,REvil的勒索软件会锁住受害者的电脑,直到受害者以他们要求的形式支付赎金。

被勒索企业终端界面示例

REvil为此次攻击精心准备过。

通常,大规模勒索软件都将攻击时间放在周末的深夜,因为在那个时间段监控网络的人员最少。然而这次,REvil反其道而行之,选择在周五中午10时-12时发起攻击,因为在工作日,购买Kaseya服务的企业都在工作状态,可以将勒索攻击的效果最大化,同时周五又是员工们周末之前最松解的时间,工作效率并不高,很大程度上不会在第一时间对攻击作出防御反应。

REvil精心策划的攻击实施得相当顺利。

7月2日周五中午开始,Kaseya陆续收到了客户报告,报告显示KaseyaVSA本地产品管理的端点出现了异常状况。基于报告,Kaseya执行团队发现勒索软件正在端点上执行。他们向本地客户发送通知,要求用户关闭他们的VSA服务器,同时关闭Kaseya的VSASaaS基础设施。

可惜他们的反应还是慢了一步。

REvil攻击路径

通过调查,Kaseya的安全团队发现勒索软件使用了KaseyaVSA中的一个漏洞,并宣布将尽快发布补丁。

Binance引入种子标签和观察标签,帮助用户识别高波动性和高风险代币:7月26日消息,据 Binance 公告,由于用户难以区分创新区和主交易区的代币,Binance 将于 7 月 26 日推出种子标签(Seed Tag)和观察标签(Monitoring Tag)。种子标签将取代创新区,并适用于目前在创新区上市的所有代币,以及未来上市的具有创新性的项目代币。相较于其他上市代币,这些代币可能会有更高的波动性和风险。

此外,Binance 还将推出观察标签,这些代币与其他上市代币相比,可能会有更高的波动性和风险。[2023/7/26 15:59:24]

在KaseyaVSA服务器沦陷后,勒索软件随即被部署到其他使用Kaseya远程桌面管理软件的公司。由于Kaseya的客户中有大型IT服务供应商,这些公司又会为数百间公司提供外包IT服务,预估受影响的公司多达数千家,遍布英国、加拿大和南非等至少17个国家。

根据REvil于7月4日在暗网博客上发布的信息,声称已经锁定了超过100万个系统或终端,并要求7,000万美元“团购价”赎金,以BTC形式支付。按照网页形式,收到赎金后,REvil将发布解密器,可在1小时内解密所有被锁住的系统/终端。

REvil在暗网的博客页面

根据参与此次事件响应的安全公司之一Huntress的数据表明,此次网络攻击是REvil有史以来发起的规模最大的一次攻击,超过3100个暴露在公网的KaseyaVSA服务器,其中包括中国香港的9台服务器,50余个MSP及超过1000家下游企业受影响。并且可能已导致全球多达4万台电脑被感染。

受害者分布,颜色越深数量越多受影响越大

美国弗吉尼亚理工大学、瑞典Coop杂货连锁店、瑞典国有铁路运营商SJ、意大利Mirogliogroup、美国零售ExtendaRetail均在被影响之列,英国时尚品牌FrenchConnection、巴西医疗诊断公司GrupoFleury、西班牙电信运营商MasMovilIbercom均在被勒索的行列。

Huobi Global“全球观察区”计划于4月28日上线NU:官方消息,Huobi Global“全球观察区”计划于4月28日上线NU(NuCypher),将于4月28日15:00开放NU的充币业务,充值量满足市场交易需求时开放NU币币交易。[2021/4/28 21:06:37]

事情到了这个地步,就已经不是一两家企业与黑客组织之间的事情了。

7月4日,美国总统拜登下令启动全面的联邦调查。9日,拜登与普京进行了通话。通话后拜登告诉媒体:“我对他明确的表态,美国希望俄罗斯能够对它国境内的勒索软件组织立刻采取行动,即便这个组织不是由国家赞助的。美国可以为此提供充足的攻击者的信息。”拜登后来补充道:“如果普京不这样做,美国将关闭该组织的服务器”。

而据俄塔社报道,佩斯科夫当天表示,克里姆林宫对REvil从暗网中消失的原因并不知情。他强调,俄罗斯认为任何网络犯罪都是不可接受的。“俄罗斯和美国应该合作打击这一犯罪。不幸的是,我不掌握有关该团体的详细信息。但俄罗斯和美国已开始就打击网络犯罪进行双边磋商。”

业内“劳模”,酷爱“顶风作案”

7000万美元赎金,听上去是一个天文数字,但这不是REvil第一次狮子大开口了。

REvil也被称为Sodinokibi。由于勒索病代码源自曾经最大的RaaS运营商GandCrab的“Sodinokibi”病,REvil一直被视作GandCrab的“接班人”。

“名师“出”高徒“。起点够高,REvil的胆子也更大。

因为从服务于全球影视娱乐巨星的律师事务所——GrubmanShireMeiselas&Sacks窃取了近1TB的信息,使REvil“一战成名”。自此之后,REvil的名字就与LadyGaga、埃尔顿·约翰、罗伯特·德尼罗和麦当娜等知名巨星紧紧联系在了一起。

2020年5月,REvil声称破译了其时美国总统唐纳德·特朗普旗下公司用于保护其数据的椭圆曲线密码术,并为他们盗窃的数据索要4200万美元的赎金。

观点:需观察当前影响BTC价格的三大宏观因素:9月3日,加密货币分析师Joseph Young发推称,可以关注观察当前影响比特币价格的三大宏观因素:1.流向交易所的矿工代币不断增加;2.因欧洲央行警告欧元飙升需采取措施致使美元反弹;3.黄金与比特币同步下跌。[2020/9/3]

打出名号之后,作为黑客界的“SuperStar”,REvil的犯案频率简直可以被评为业界“劳模”,仅2021年就凭借其每月至少一起的作案频率常年占据头版头条。

3月,REvil附属组织在网络上声称,他们已从跨国硬件和电子公司宏碁安装勒索软件并盗取大量数据,并为此索取5000万美元的赎金;3月,REvil攻击哈里斯联盟,并在其博客上发布了联盟的多份财务文件;4月,REvil窃取了广达电脑即将推出的苹果产品的计划,并威胁要公开发布这些计划,除非他们收到5000万美元作为赎金;5月,全球最大肉类供应商JBS受到REvil勒索软件的攻击,该公司不得不将所有美国牛肉工厂暂时关闭,并中断了家禽和猪肉工厂的运营。最终,JBS还是向REvil支付了1100万美元的比特币赎金;6月,全球再生能源巨擘Invenergy证实其作业系统遭到了勒索软件的攻击,REvil声称对此事负责。对REvil,各国政府也是深恶痛绝,多次下令进行严厉打击,美国尤甚。

在5月遭受REvil攻击,JBSFoods公司在美加工厂全部关停。而作为全球最大的牛肉和家禽生产商、全球第二大猪肉生产商,JBSFoods肩负着美国、澳大利亚、加拿大、英国等地业务肉食供应的大宗供应。美国加工厂的关停会直接导致至少美国境内短期的肉食产品供应短缺。

如果说经济和民生上短暂的波动还不足以撼动白宫的神经,那么国土安全就是头号大事了。

美国能源部的分包商与国家核安全局合作开发核武系统的SolOriens公司在6月遭遇勒索病攻击。经过比对,专家称“攻击来自REvil勒索软件”。

来源:https://threatpost.com/revil-hits-us-nuclear-weapons-contractor-sol-oriens/166858/

记者观察:数字货币不会取代现有支付工具:7月13日报道,数字货币作为一种“数字人民币”,行业也有消息称几大行已经小范围开始试水数字货币。有关人士曾表示,数字货币不会取代微信支付或支付宝。央行数字货币替代M0(流通中现金),其功能和属性与纸币相似,只不过形态是数字化的。而支付宝、微信支付等第三方互联网支付,不具有M0级别法律效力,更不可能取代M0。央行数字货币研究所所长穆长春曾指出,数字货币并不会对支付宝、微信的地位产生影响。因为目前支付宝、微信也是使用人民币支付,央行数字货币推出后,只是换成了数字人民币,虽然支付工具变了,功能也增加了,但渠道和场景都没有变化。但万向区块链首席经济学家邹传伟表示,在一些日常支付的环节,使用央行数字货币和用微信、支付宝的用户体验应该是相当的。区别在于,央行数字货币可以实现双离线支付,不用网络,手机和手机之间碰一碰,就可以完成支付。

数字货币要想落地应用也面临诸多挑战。首先,需要区块链技术作为底层技术支撑。虽然目前区块链在数字货币的运用不断成熟,但其如何运用还需要进一步的探索;其次,相关的法律规范是否跟上。法定数字货币将作为一种新的货币形式,需要相关法律必须跟上脚步,尤其在法定数字货币可能存在的风险领域制定完整的法律条款,尽可能地降低法定数字货币发行与流通的风险;再次,数字货币相关的宣传教育工作。如何将数字货币于其他电子支付工具做区别,需要监管对民众做相应的普及和教育工作,循序渐进,以让民众更能快速接受这一新鲜事物。(中国银行保险报网)[2020/7/13]

安全研究员称,SolOriens公司被入侵,可能来源于RDP服务被REvil弱口令爆破攻击。

攻击肉制品加工企业,会导致城市肉食供应受影响;而针对国防承包商的攻击活动,谁知道被攻击者拿走多少绝密文件呢?也无怪乎美国要对REvil“追着打”。

不过REvil有恃无恐,否则也不会7月仅仅过去两天,就迫不及待地对Kaseya出手了。

不过结局大家也已经知道了,现在REvil在暗网的网站和应用,都处于关停状态。

勒索犯“跑路”,被勒索的企业何去何从

黑客组织倾向于勒索比特币作为赎金。这其中最广为人知的,就是REvil要求Kaseya支付7000万美元比特币的这起案件。

事实上,比特币不是黑客组织的的唯一选择。REvil就曾经要求以门罗币Monero作为赎金。

一旦REvil恶意软件进入计算机系统,会加密所有受害者储存在终端的文件,然后留下一个包含赎金记录的文本文件。这个文本会引导受害者到Tor上的网站,等待下一步指示。

受害者门户网站将显示赎金要求,比如这个是价值50,000美元的门罗币。如果赎金未在特定时间范围内支付,赎金将翻倍至100,000美元。

受害者门户网站甚至还为这些被勒索的传统企业提供了有关可以在哪里购买门罗币,以及应该将其发送到哪里的说明:

该门户还允许受害者通过“聊天支持”选项卡直接与REvil交谈。在这里,受害者可以发起与REvil的对话,协商赎金。

如何能让受害者相信一个黑客组织?REvil简直不要太专业。

他们会提供一个试用功能,受害者可以提供几个加密文件,REvil解密后将文件返还,以此来确认受害者没有找错人,并证明他们确实有能力提供解密器。

难以想象的是,REvil居然“接受小刀”。受害者先是争取了20%的折扣,继而经过了一系列你来我往,最终同意支付25,000美元的赎金,在原价的基础上整整打了5折。

而且,REvil不强求受害者一定要用门罗币来支付,因为他们发现门罗币的知名度太差了,知道门罗币的受害者和支持门罗币流通的交易平台都太少。于是,如果受害者要求用比特币支付,REvil会同意。而且从Kaseya的案件中来看,REvil后期会直接索要比特币作为赎金。

一旦支付了赎金,受害者门户就会更新以提供对解密器的访问。

对于受害者来说,与REvil接触的过程已经全部完成,他们可以使用解密器工具重新获得对其文件的访问权限。这就是一套完整REvil索要赎金的过程。

那么在Kaseya事件中,有企业支付赎金吗?答案是:有。目前已经统计到的数据中,部分受害者向REvil支付了共计45,000美元的赎金。

勒索软件修复公司CriticalInsight信息安全官MikeHamilton表示,公司的一位不愿透露姓名的客户,就是为数不多的向REvil勒索软件组织支付赎金的Kaseya受害者之一。

而现在REvil突然关停,消失在茫茫网络中,支付赎金和未支付赎金的受害者们,又将何去何从?

MikeHamilton透露,用户找到了保险公司支付了赎金,也拿到了解密器,发现解密器并非对所有的被加密的文件都有效。这个时候却发现REvil的网站全部都下线了。

"They'regoingtoenduplosingalotofdataandthey'regoingtoendupspendingalotofmoneytocompletelyrebuildtheirnetworkfromscratch."

勒索软件专家AllanLiska认为,这是由于REvil的解密器管理混乱造成的。

Myguessishasshitdecryptorkeymanagementsotheymaynotknowwhichkeytogiveouttoeachinpidualvictim.

无论是否交付过赎金,摆在受害企业和个人面前的,都是被一堆被加密的文件,和消失的黑客。

当然,勒索软件修复相关的机构和企业都在积极地帮助那些日常未及时备份数据的受害企业,但并不是所有企业都能等得起,毕竟在商业游戏里,时间就是金钱。

最后

REvil“闭麦”,但人们的猜测还没有停下。

有些人认为REvil这一次是被永久关停,没有机会再复出,有些人相信这是美俄联合打击网络犯罪的国际合作成果,也有一些人,认为REvil只是全员休假,毕竟2021年的上半年他们高强度作案已经赚得盆满钵满,没有理由不在风声紧的时候去享受一下沙滩红酒的美妙人生。

虽然目前REvil不在江湖,但勒索软件组织和黑客组织还有很多。只要互联网依然存在,关于网络安全的攻防双方的对抗,就会始终存在。而各国也在加紧网络安全领域的联合协作工作。

前有境内141万名医生的个人信息和联系方式被盗取公开售卖,后有最大燃油管道运营商Colonial系统被入侵被迫关闭了整个管道系统,现在又添了肉类供应商JBS和办公网络服务商Kaseya被勒索的案件,美国的网络安全事件频发,拜登政府也开始着手研究通证在黑客攻击事件中的地位和作用。

6月,美国国家安全顾问AnneNeuberger在致商界领袖的一封信中表示,美国政府正在与国际伙伴合作,制定一致政策,以决定当遭遇黑客勒索时何时支付赎金以及如何追踪赎金去向。

而在本周二,美国参议院国土安全和政府事务委员会主席的美国参议员GaryPeters宣布,委员会正在对通证在最近的勒索软件攻击中的作用展开调查。调查将侧重于可确保美国人从这一新资产类别中受益,而不会面临勒索软件风险的通证法规。

白宫表示,在留意到近期发生的规模巨大的网络攻击之后,他们将把勒索软件攻击视同于恐怖主义。而一系列的这些行动都表明,美国政府对网络犯罪的态度,已经发生了重大的转变。毕竟在频繁的黑客攻击面前,已然很难通过传统外交和执法手段,来应对政企所面临的相关网络威胁。

黑客组织和网络犯罪的危害,从不局限于一国一地。这种新型的影响巨大的犯罪形式,正在挑战着疫情过去后全球复苏的经济社会生活。电子证据的跨国调取、对跨国网络犯罪的域外管辖、网络犯罪的预防等等议题,都将是接下来各国将共同努力的方向。

REvil是所有勒索软件团伙中最多产、最令人恐惧的团伙之一。如果Kaseya事件真的是这个组织的最后一次作案,一定会为今年愈演愈烈的勒索软件威胁趋势,带来些新的反思和思考。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:15ms0-4:685ms