9個(gè)月內(nèi),186家知名公司被攻破。其中不乏美國核武器承包商、蘋果供應(yīng)商、日本富士等等行業(yè)巨頭,被勒索金額動(dòng)輒幾千萬美元。
這不就是打劫?
對(duì),就有這樣一個(gè)黑客組織,他們靠著“不給錢就公開你信息”的手段在網(wǎng)絡(luò)上打家劫舍。
僅在2020年一年內(nèi)就成功進(jìn)賬1億美元。
從2019年“出道”至今,兩年迅速成為世界第二大黑客組織,近300家組織曾被攻擊。
最可怕的是,目前還沒有人能夠阻止他們。
如果不幸被他們選中了,那能選擇的只有兩個(gè)字:給錢。就連無法無天的特朗普,也一度被他們勒索4200萬美元。
這……究竟是“何方神圣”?。?/p>
特朗普都拿他沒轍
它就是備受爭(zhēng)議的俄羅斯黑客組織:REvil。
去年5月,正在為大選忙得焦頭爛額的特朗普先生,就不幸被REvil選中為“盤中餐”。
他們聲稱已經(jīng)從知名美國律師事務(wù)Grubman Shire Meiselas&Sacks(GSM)服務(wù)器中竊取了756GB的數(shù)據(jù)。
并揚(yáng)言:如果特朗普一星期內(nèi)不支付4200萬美元(折合人民幣2.7億元)的贖金,就會(huì)把這些數(shù)據(jù)通通泄露出去。
這樣的小手段,能搞得定特朗普?
川普還在Twitter上取笑REvil是虛張聲勢(shì):他們其實(shí)手里沒有任何東西。
不過他馬上嘗到了被威脅的滋味:2020年5月17日,REvil公開了169封與特朗普有關(guān)的郵件。
他們還聲稱已經(jīng)在暗網(wǎng)上將數(shù)據(jù)出售給了買方,不過對(duì)方只有副本。
而且由于黑客是在暗網(wǎng)上發(fā)布消息,所以FBI也追蹤不到他們。
這一時(shí)期的REvil就像掌握了“財(cái)富密碼”一般,可能他們感覺到從名人那里偷數(shù)據(jù)要簡(jiǎn)單、要錢更容易。
所以在同月,受到威脅的還有Lady Gaga和麥當(dāng)娜等名人。
后來,事情都不了了之。
但是其成員曾提到過,2020年該組織的進(jìn)賬有1億美元,不知道是不是暗示了什么。
事實(shí)上,截止目前REvil已經(jīng)攻擊了近300家組織。
僅在今年就“戰(zhàn)績(jī)斐然”。
3月,REvil宣布已入侵竊取宏碁(acer)數(shù)據(jù);
4月蘋果新產(chǎn)品發(fā)布在即,收到REvil威脅:已掌握新產(chǎn)品設(shè)計(jì)圖;
5月,美國核武器承包商Sol Oriens公司遭遇REvil勒索病毒攻擊,業(yè)務(wù)數(shù)據(jù)及員工信息被竊取;
同月,日本富士膠片因遭REvil襲擊,被迫關(guān)閉公司部分網(wǎng)絡(luò)及對(duì)外連接;全球最大肉制品供應(yīng)商JBS在其勒索下,一度關(guān)閉美國所有工廠;
6月,美國能源公司Invenergy報(bào)告自己遭到了勒索軟件攻擊,REvil表示對(duì)此負(fù)責(zé)。
有人曾統(tǒng)計(jì)過,從去年10月到今年6月,REvil就發(fā)起了186次勒索。
從此前統(tǒng)計(jì)數(shù)據(jù)看,REvil已經(jīng)是目前世界上第二大黑客組織。
△數(shù)據(jù)截止今年6月前
就在最近,他們又搞出了個(gè)大新聞:
通過攻擊供應(yīng)鏈,REvil在短短1天時(shí)間內(nèi)造成了全球1000多家公司被襲擊。
從大型連鎖超市、藥店到鐵路部門等,眾多企業(yè)都被波及。
瑞典大型連鎖超市Coop受此影響,甚至不得不關(guān)閉了全國約800家門店。
這甚至讓美國總統(tǒng)拜登緊急下令,指示FBI調(diào)查此事。
從供應(yīng)鏈群體攻擊
能夠造成如此大的危害,是因?yàn)镽Evil襲擊了一家管理軟件服務(wù)商Kaseya。
歐美許多中小企業(yè)都在用Kaseya提供的軟件。
因?yàn)闊o力自己組建IT部門,他們的管理軟件都來自Kaseya公司,而黑客把將官網(wǎng)提供的軟件全部換成了勒索病毒。
一下子,所有使用Kaseya軟件的公司都暴露在風(fēng)險(xiǎn)之中。
REvil通過軟件官網(wǎng)或官方包管理工具傳播病毒。
黑客將偽裝的文件放入用于更新分發(fā)的c:kworking文件夾中,然后啟動(dòng)PowerShell命令禁用微軟Defender功能。
然后,惡意軟件將使用合法的Windows certutil.exe命令解碼文件夾中的agent.crt文件,并將 agent.exe文件解壓縮到同一文件夾,然后啟動(dòng)加密過程。
agent.exe中包括嵌入的“MsMpEng.exe”和“mpsvc.dll”,后者是REvil加密器,而前者是微軟Defender可執(zhí)行文件的舊版。
所以,用戶一旦將agent.exe下載到本地,就會(huì)開始解壓運(yùn)行,并加密數(shù)據(jù)。
所以Kaseya就成了分發(fā)病毒的中心。
目前,為了防止危害繼續(xù)擴(kuò)大,Kaseya不得不警告用戶:請(qǐng)關(guān)掉你們的服務(wù)器。
那些已經(jīng)受感染的用戶就沒那么幸運(yùn)了,黑客開始獅子大開口,向他們索要500萬美元的贖金來恢復(fù)數(shù)據(jù),若超過規(guī)定時(shí)間,贖金將翻倍。
不過,這是數(shù)據(jù)已經(jīng)被勒索病毒加密的公司的贖金,如果只是網(wǎng)絡(luò)受到影響,被勒索的贖金要少得多,約4.5萬美元。
根據(jù)安全人員在暗網(wǎng)上收集到的消息,黑客的總贖金要求已經(jīng)達(dá)到了7000萬美元。
以此計(jì)算應(yīng)該有14家企業(yè)數(shù)據(jù)遭殃。但嚴(yán)重的是,有更多沒被感染的企業(yè)只能選擇關(guān)停服務(wù)器。
這群黑客是來自俄羅斯的嗎?其實(shí)美國也不知道他們是怎樣一群人。
但是美國發(fā)現(xiàn)REvil似乎從不攻擊俄羅斯和其他前蘇聯(lián)國家,因此有理由相信這是一個(gè)來自俄羅斯的黑客組織。
REvil究竟何許人也?
REvil全稱Ransomware Evil,是一群專門靠勒索軟件“打家劫舍”的黑客組織。
從2019年出現(xiàn)至今犯案無數(shù)。
而且他們的行徑非常招搖,每次惡意攻擊后,他們都會(huì)在自己的主頁Happy Blog上發(fā)布勒索金額。
僅在今年,REvil也已經(jīng)有了6次犯案記錄。
事情也一次比一次鬧得大,從信托公司、網(wǎng)絡(luò)安全公司,到竊取蘋果新產(chǎn)品信息、攻擊世界上最大的肉類加工廠,REvil每一次都賺得盆滿缽滿。
值得一提的是,REvil和此前搞癱美國燃油管道運(yùn)輸管理系統(tǒng)的Darkside似乎有著千絲萬縷的關(guān)系。
首先,他們兩個(gè)都是“俄羅斯人不打俄羅斯人”,不攻擊俄羅斯或前蘇聯(lián)國家。
其次,他們使用的勒索軟件代碼、贖金票據(jù)、文件加密擴(kuò)展名都非常相似,也用同樣的方式來排除獨(dú)聯(lián)體國家。
Flashpoint的研究人員此前表示,Darkside很可能是REvil的分支或者團(tuán)伙。
參考鏈接:
[1]https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/
[2]https://www.lawfareblog.com/what-happened-kaseya-vsa-incident
https://www.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/
[3]https://www.wired.com/story/revil-ransomware-supply-chain-technique/
[4]https://twitter.com/darktracer_int/status/1411535889331724291