正讓美國難以招架的俄羅斯黑客，靠勒索年收入過億，特朗普、蘋果都中過招

9個月內(nèi)，186家知名公司被攻破。其中不乏美國核武器承包商、蘋果供應(yīng)商、日本富士等等行業(yè)巨頭，被勒索金額動輒幾千萬美元。

這不就是打劫？

對，就有這樣一個黑客組織，他們靠著“不給錢就公開你信息”的手段在網(wǎng)絡(luò)上打家劫舍。

僅在2020年一年內(nèi)就成功進賬1億美元。

從2019年“出道”至今，兩年迅速成為世界第二大黑客組織，近300家組織曾被攻擊。

最可怕的是，目前還沒有人能夠阻止他們。

如果不幸被他們選中了，那能選擇的只有兩個字：給錢。就連無法無天的特朗普，也一度被他們勒索4200萬美元。

這……究竟是“何方神圣”?。?/p>

特朗普都拿他沒轍

它就是備受爭議的俄羅斯黑客組織：REvil。

去年5月，正在為大選忙得焦頭爛額的特朗普先生，就不幸被REvil選中為“盤中餐”。

他們聲稱已經(jīng)從知名美國律師事務(wù)Grubman Shire Meiselas＆Sacks（GSM）服務(wù)器中竊取了756GB的數(shù)據(jù)。

并揚言：如果特朗普一星期內(nèi)不支付4200萬美元（折合人民幣2.7億元）的贖金，就會把這些數(shù)據(jù)通通泄露出去。

這樣的小手段，能搞得定特朗普？

川普還在Twitter上取笑REvil是虛張聲勢：他們其實手里沒有任何東西。

不過他馬上嘗到了被威脅的滋味：2020年5月17日，REvil公開了169封與特朗普有關(guān)的郵件。

他們還聲稱已經(jīng)在暗網(wǎng)上將數(shù)據(jù)出售給了買方，不過對方只有副本。

而且由于黑客是在暗網(wǎng)上發(fā)布消息，所以FBI也追蹤不到他們。

這一時期的REvil就像掌握了“財富密碼”一般，可能他們感覺到從名人那里偷數(shù)據(jù)要簡單、要錢更容易。

所以在同月，受到威脅的還有Lady Gaga和麥當(dāng)娜等名人。

后來，事情都不了了之。

但是其成員曾提到過，2020年該組織的進賬有1億美元，不知道是不是暗示了什么。

事實上，截止目前REvil已經(jīng)攻擊了近300家組織。

僅在今年就“戰(zhàn)績斐然”。

3月，REvil宣布已入侵竊取宏碁（acer）數(shù)據(jù)；

4月蘋果新產(chǎn)品發(fā)布在即，收到REvil威脅：已掌握新產(chǎn)品設(shè)計圖；

5月，美國核武器承包商Sol Oriens公司遭遇REvil勒索病毒攻擊，業(yè)務(wù)數(shù)據(jù)及員工信息被竊?。?/p>

同月，日本富士膠片因遭REvil襲擊，被迫關(guān)閉公司部分網(wǎng)絡(luò)及對外連接；全球最大肉制品供應(yīng)商JBS在其勒索下，一度關(guān)閉美國所有工廠；

6月，美國能源公司Invenergy報告自己遭到了勒索軟件攻擊，REvil表示對此負(fù)責(zé)。

有人曾統(tǒng)計過，從去年10月到今年6月，REvil就發(fā)起了186次勒索。

從此前統(tǒng)計數(shù)據(jù)看，REvil已經(jīng)是目前世界上第二大黑客組織。

△數(shù)據(jù)截止今年6月前

就在最近，他們又搞出了個大新聞：

通過攻擊供應(yīng)鏈，REvil在短短1天時間內(nèi)造成了全球1000多家公司被襲擊。

從大型連鎖超市、藥店到鐵路部門等，眾多企業(yè)都被波及。

瑞典大型連鎖超市Coop受此影響，甚至不得不關(guān)閉了全國約800家門店。

這甚至讓美國總統(tǒng)拜登緊急下令，指示FBI調(diào)查此事。

從供應(yīng)鏈群體攻擊

能夠造成如此大的危害，是因為REvil襲擊了一家管理軟件服務(wù)商Kaseya。

歐美許多中小企業(yè)都在用Kaseya提供的軟件。

因為無力自己組建IT部門，他們的管理軟件都來自Kaseya公司，而黑客把將官網(wǎng)提供的軟件全部換成了勒索病毒。

一下子，所有使用Kaseya軟件的公司都暴露在風(fēng)險之中。

REvil通過軟件官網(wǎng)或官方包管理工具傳播病毒。

黑客將偽裝的文件放入用于更新分發(fā)的c:kworking文件夾中，然后啟動PowerShell命令禁用微軟Defender功能。

然后，惡意軟件將使用合法的Windows certutil.exe命令解碼文件夾中的agent.crt文件，并將 agent.exe文件解壓縮到同一文件夾，然后啟動加密過程。

agent.exe中包括嵌入的“MsMpEng.exe”和“mpsvc.dll”，后者是REvil加密器，而前者是微軟Defender可執(zhí)行文件的舊版。

所以，用戶一旦將agent.exe下載到本地，就會開始解壓運行，并加密數(shù)據(jù)。

所以Kaseya就成了分發(fā)病毒的中心。

目前，為了防止危害繼續(xù)擴大，Kaseya不得不警告用戶：請關(guān)掉你們的服務(wù)器。

那些已經(jīng)受感染的用戶就沒那么幸運了，黑客開始獅子大開口，向他們索要500萬美元的贖金來恢復(fù)數(shù)據(jù)，若超過規(guī)定時間，贖金將翻倍。

不過，這是數(shù)據(jù)已經(jīng)被勒索病毒加密的公司的贖金，如果只是網(wǎng)絡(luò)受到影響，被勒索的贖金要少得多，約4.5萬美元。

根據(jù)安全人員在暗網(wǎng)上收集到的消息，黑客的總贖金要求已經(jīng)達(dá)到了7000萬美元。

以此計算應(yīng)該有14家企業(yè)數(shù)據(jù)遭殃。但嚴(yán)重的是，有更多沒被感染的企業(yè)只能選擇關(guān)停服務(wù)器。

這群黑客是來自俄羅斯的嗎？其實美國也不知道他們是怎樣一群人。

但是美國發(fā)現(xiàn)REvil似乎從不攻擊俄羅斯和其他前蘇聯(lián)國家，因此有理由相信這是一個來自俄羅斯的黑客組織。

REvil究竟何許人也？

REvil全稱Ransomware Evil，是一群專門靠勒索軟件“打家劫舍”的黑客組織。

從2019年出現(xiàn)至今犯案無數(shù)。

而且他們的行徑非常招搖，每次惡意攻擊后，他們都會在自己的主頁Happy Blog上發(fā)布勒索金額。

僅在今年，REvil也已經(jīng)有了6次犯案記錄。

事情也一次比一次鬧得大，從信托公司、網(wǎng)絡(luò)安全公司，到竊取蘋果新產(chǎn)品信息、攻擊世界上最大的肉類加工廠，REvil每一次都賺得盆滿缽滿。

值得一提的是，REvil和此前搞癱美國燃油管道運輸管理系統(tǒng)的Darkside似乎有著千絲萬縷的關(guān)系。

首先，他們兩個都是“俄羅斯人不打俄羅斯人”，不攻擊俄羅斯或前蘇聯(lián)國家。

其次，他們使用的勒索軟件代碼、贖金票據(jù)、文件加密擴展名都非常相似，也用同樣的方式來排除獨聯(lián)體國家。

Flashpoint的研究人員此前表示，Darkside很可能是REvil的分支或者團伙。

參考鏈接：

[1]https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-1-000-plus-companies-in-msp-supply-chain-attack/

[2]https://www.lawfareblog.com/what-happened-kaseya-vsa-incident
https://www.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/

[3]https://www.wired.com/story/revil-ransomware-supply-chain-technique/

[4]https://twitter.com/darktracer_int/status/1411535889331724291