加入星計(jì)劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴(kuò)散
  • 作品版權(quán)保護(hù)
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長(zhǎng)期合作伙伴
立即加入
  • 正文
    • 特朗普都拿他沒轍
    • 從供應(yīng)鏈群體攻擊
    •  
    • REvil究竟何許人也?
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請(qǐng)入駐 產(chǎn)業(yè)圖譜

正讓美國難以招架的俄羅斯黑客,靠勒索年收入過億,特朗普、蘋果都中過招

2021/07/06
239
閱讀需 10 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點(diǎn)資訊討論

9個(gè)月內(nèi),186家知名公司被攻破。其中不乏美國核武器承包商、蘋果供應(yīng)商、日本富士等等行業(yè)巨頭,被勒索金額動(dòng)輒幾千萬美元。

這不就是打劫?

對(duì),就有這樣一個(gè)黑客組織,他們靠著“不給錢就公開你信息”的手段在網(wǎng)絡(luò)上打家劫舍。

僅在2020年一年內(nèi)就成功進(jìn)賬1億美元。

從2019年“出道”至今,兩年迅速成為世界第二大黑客組織,近300家組織曾被攻擊。

最可怕的是,目前還沒有人能夠阻止他們。

如果不幸被他們選中了,那能選擇的只有兩個(gè)字:給錢。就連無法無天的特朗普,也一度被他們勒索4200萬美元。

這……究竟是“何方神圣”?。?/p>

特朗普都拿他沒轍

它就是備受爭(zhēng)議的俄羅斯黑客組織:REvil。

去年5月,正在為大選忙得焦頭爛額的特朗普先生,就不幸被REvil選中為“盤中餐”。

他們聲稱已經(jīng)從知名美國律師事務(wù)Grubman Shire Meiselas&Sacks(GSM服務(wù)器中竊取了756GB的數(shù)據(jù)。

并揚(yáng)言:如果特朗普一星期內(nèi)不支付4200萬美元(折合人民幣2.7億元)的贖金,就會(huì)把這些數(shù)據(jù)通通泄露出去。

這樣的小手段,能搞得定特朗普?

川普還在Twitter上取笑REvil是虛張聲勢(shì):他們其實(shí)手里沒有任何東西。

不過他馬上嘗到了被威脅的滋味:2020年5月17日,REvil公開了169封與特朗普有關(guān)的郵件。

他們還聲稱已經(jīng)在暗網(wǎng)上將數(shù)據(jù)出售給了買方,不過對(duì)方只有副本。

而且由于黑客是在暗網(wǎng)上發(fā)布消息,所以FBI也追蹤不到他們。

這一時(shí)期的REvil就像掌握了“財(cái)富密碼”一般,可能他們感覺到從名人那里偷數(shù)據(jù)要簡(jiǎn)單、要錢更容易。

所以在同月,受到威脅的還有Lady Gaga和麥當(dāng)娜等名人。

后來,事情都不了了之。

但是其成員曾提到過,2020年該組織的進(jìn)賬有1億美元,不知道是不是暗示了什么。

 

事實(shí)上,截止目前REvil已經(jīng)攻擊了近300家組織。

僅在今年就“戰(zhàn)績(jī)斐然”。

3月,REvil宣布已入侵竊取宏碁(acer)數(shù)據(jù);

4月蘋果新產(chǎn)品發(fā)布在即,收到REvil威脅:已掌握新產(chǎn)品設(shè)計(jì)圖;

5月,美國核武器承包商Sol Oriens公司遭遇REvil勒索病毒攻擊,業(yè)務(wù)數(shù)據(jù)及員工信息被竊取;

同月,日本富士膠片因遭REvil襲擊,被迫關(guān)閉公司部分網(wǎng)絡(luò)及對(duì)外連接;全球最大肉制品供應(yīng)商JBS在其勒索下,一度關(guān)閉美國所有工廠;

6月,美國能源公司Invenergy報(bào)告自己遭到了勒索軟件攻擊,REvil表示對(duì)此負(fù)責(zé)。

有人曾統(tǒng)計(jì)過,從去年10月到今年6月,REvil就發(fā)起了186次勒索。

 

從此前統(tǒng)計(jì)數(shù)據(jù)看,REvil已經(jīng)是目前世界上第二大黑客組織。

 

△數(shù)據(jù)截止今年6月前

就在最近,他們又搞出了個(gè)大新聞:

通過攻擊供應(yīng)鏈,REvil在短短1天時(shí)間內(nèi)造成了全球1000多家公司被襲擊。

從大型連鎖超市、藥店到鐵路部門等,眾多企業(yè)都被波及。

瑞典大型連鎖超市Coop受此影響,甚至不得不關(guān)閉了全國約800家門店。

這甚至讓美國總統(tǒng)拜登緊急下令,指示FBI調(diào)查此事。

從供應(yīng)鏈群體攻擊

能夠造成如此大的危害,是因?yàn)镽Evil襲擊了一家管理軟件服務(wù)商Kaseya。

歐美許多中小企業(yè)都在用Kaseya提供的軟件。

因?yàn)闊o力自己組建IT部門,他們的管理軟件都來自Kaseya公司,而黑客把將官網(wǎng)提供的軟件全部換成了勒索病毒。

一下子,所有使用Kaseya軟件的公司都暴露在風(fēng)險(xiǎn)之中。

REvil通過軟件官網(wǎng)或官方包管理工具傳播病毒。

黑客將偽裝的文件放入用于更新分發(fā)的c:kworking文件夾中,然后啟動(dòng)PowerShell命令禁用微軟Defender功能。

然后,惡意軟件將使用合法的Windows certutil.exe命令解碼文件夾中的agent.crt文件,并將 agent.exe文件解壓縮到同一文件夾,然后啟動(dòng)加密過程。

 

agent.exe中包括嵌入的“MsMpEng.exe”和“mpsvc.dll”,后者是REvil加密器,而前者是微軟Defender可執(zhí)行文件的舊版。

所以,用戶一旦將agent.exe下載到本地,就會(huì)開始解壓運(yùn)行,并加密數(shù)據(jù)。

所以Kaseya就成了分發(fā)病毒的中心。

目前,為了防止危害繼續(xù)擴(kuò)大,Kaseya不得不警告用戶:請(qǐng)關(guān)掉你們的服務(wù)器。

那些已經(jīng)受感染的用戶就沒那么幸運(yùn)了,黑客開始獅子大開口,向他們索要500萬美元的贖金來恢復(fù)數(shù)據(jù),若超過規(guī)定時(shí)間,贖金將翻倍。

不過,這是數(shù)據(jù)已經(jīng)被勒索病毒加密的公司的贖金,如果只是網(wǎng)絡(luò)受到影響,被勒索的贖金要少得多,約4.5萬美元。

根據(jù)安全人員在暗網(wǎng)上收集到的消息,黑客的總贖金要求已經(jīng)達(dá)到了7000萬美元。

以此計(jì)算應(yīng)該有14家企業(yè)數(shù)據(jù)遭殃。但嚴(yán)重的是,有更多沒被感染的企業(yè)只能選擇關(guān)停服務(wù)器。

這群黑客是來自俄羅斯的嗎?其實(shí)美國也不知道他們是怎樣一群人。

但是美國發(fā)現(xiàn)REvil似乎從不攻擊俄羅斯和其他前蘇聯(lián)國家,因此有理由相信這是一個(gè)來自俄羅斯的黑客組織。

 

REvil究竟何許人也?

REvil全稱Ransomware Evil,是一群專門靠勒索軟件“打家劫舍”的黑客組織。

從2019年出現(xiàn)至今犯案無數(shù)。

而且他們的行徑非常招搖,每次惡意攻擊后,他們都會(huì)在自己的主頁Happy Blog上發(fā)布勒索金額。

 

僅在今年,REvil也已經(jīng)有了6次犯案記錄。

事情也一次比一次鬧得大,從信托公司、網(wǎng)絡(luò)安全公司,到竊取蘋果新產(chǎn)品信息、攻擊世界上最大的肉類加工廠,REvil每一次都賺得盆滿缽滿。

值得一提的是,REvil和此前搞癱美國燃油管道運(yùn)輸管理系統(tǒng)的Darkside似乎有著千絲萬縷的關(guān)系。

首先,他們兩個(gè)都是“俄羅斯人不打俄羅斯人”,不攻擊俄羅斯或前蘇聯(lián)國家。

其次,他們使用的勒索軟件代碼、贖金票據(jù)、文件加密擴(kuò)展名都非常相似,也用同樣的方式來排除獨(dú)聯(lián)體國家。

Flashpoint的研究人員此前表示,Darkside很可能是REvil的分支或者團(tuán)伙。

參考鏈接:

[1]https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/

[2]https://www.lawfareblog.com/what-happened-kaseya-vsa-incident
https://www.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/

[3]https://www.wired.com/story/revil-ransomware-supply-chain-technique/

[4]https://twitter.com/darktracer_int/status/1411535889331724291

相關(guān)推薦

電子產(chǎn)業(yè)圖譜