REvil 突然从暗网消失了。
7 月 13 日开始,这个全球臭名昭著的勒索软件组织旗下曾经极度活跃的那些勒索页面、支付入口以及聊天功能,访问时返回的只是“找不到具有指定主机名的服务器”。
英国广播公司(BBC)14日援引一名自称是 REvil 黑客成员的话称,FBI 停用了 REvil 网页的部分功能,因此他们干脆将网页彻底关停。他还称,该组织也受到来自克里姆林宫的压力,“俄罗斯已经厌倦了美国和其他国家向他们哭诉”。
在这之前,美国总统拜登要求俄罗斯总统普京对 REvil 采取行动,而克里姆林宫发言人佩斯科夫则要求美国拿出黑客在俄罗斯领土活动的证据。
为什么美国紧盯着 REvil 不放?这还要从 REvil 索要史上最高赎金 7000 万美元,一场竹篮打水一场空的勒索。
赎金“团购价”,REvil破勒索记录
Kaseya 是一家来自瑞典的 IT 公司,于 1999 年获得了美国专利局认证的 Kaseya VSA(虚拟系统管理)专利和连接算法专利。
Kaseya VSA 是一个基于云的 MSP 平台,MSP 是一种通过建立自己的网络运作中心(NOC,Network Operating Center)来为企业提供 24×7×365 的系统管理服务的业务。MSP 可以实现远程的管理、实时的监控和对企业系统运作情况的统计。
Kaseya 在全球已经拥有了超过 10000 家客户,其中 50% 以上的全球 100 强 IT 管理服务提供商及各大龙头企业,分别来自银行业、金融业、零售业、贸易业、教育机构、政府机构、医疗机构和交通运输业等领域。截止 2011 年底,全球有超过 1300 万台以上的终端和设备通过 Kaseya 的软件进行管理。
正是因为很多大型企业和技术服务供应商都选择使用 Kaseya VSA,Kaseya 才被选中成为此次的攻击对象。
因为对于勒索软件团伙来说,MSP 实在是一个高价值的“猎物”。通过 MSP,可以通过单一漏洞感染许多公司的渠道,但发起攻击需要黑客对 MSP 及其使用的软件有深入了解。REvil 可是深谙此道。
嘉实基金董事长拜访香港财库局、香港金融管理局、香港证券及期货事务监察委员会:金色财经报道,2023年6月27日至29日,嘉实基金赵学军董事长率团访问香港特别行政区政府财经事务及库务局、香港金融管理局、证券及期货事务监察委员会,分别与财库局局长许正宇先生、香港金融管理局总裁余伟文先生、香港证监会行政总裁梁凤仪女士,就资产及财富管理、数字金融和绿色可持续金融等领域进行交流。[2023/7/3 22:15:01]
REvil 拥有一个专门针对 MSP 的技术分支机构,长期以来一直针对这些公司及其常用软件进行研究。与其他勒索软件一样,REvil 的勒索软件会锁住受害者的电脑,直到受害者以他们要求的形式支付赎金。
被勒索企业终端界面示例
REvil 为此次攻击精心准备过。
通常,大规模勒索软件都将攻击时间放在周末的深夜,因为在那个时间段监控网络的人员最少。然而这次,REvil 反其道而行之,选择在周五中午 10 时 - 12 时发起攻击,因为在工作日,购买 Kaseya 服务的企业(大都分布在欧洲、美洲)都在工作状态,可以将勒索攻击的效果最大化,同时周五又是员工们周末之前最松解的时间,工作效率并不高,很大程度上不会在第一时间对攻击作出防御反应。
REvil 精心策划的攻击实施得相当顺利。
7 月 2 日周五中午开始,Kaseya 陆续收到了客户报告,报告显示 Kaseya VSA 本地产品管理的端点出现了异常状况。基于报告, Kaseya 执行团队发现勒索软件正在端点上执行。他们向本地客户发送通知,要求用户关闭他们的 VSA 服务器,同时关闭 Kaseya 的 VSA SaaS 基础设施。
可惜他们的反应还是慢了一步。
REvil攻击路径
通过调查,Kaseya 的安全团队发现勒索软件使用了 Kaseya VSA 中的一个漏洞,并宣布将尽快发布补丁。
在 Kaseya VSA 服务器沦陷后,勒索软件随即被部署到其他使用 Kaseya 远程桌面管理软件的公司。由于 Kaseya 的客户中有大型 IT 服务供应商,这些公司又会为数百间公司提供外包 IT 服务,预估受影响的公司多达数千家,遍布英国、加拿大和南非等至少 17 个国家。
外媒:Maker旗下两家公司已与投资者达成116万美元和解:6月23日消息,两家在Maker生态系统下运营的公司已与投资者达成116万美元和解,这些投资者要求赔偿2020年3月“黑色星期四”新冠疫情崩盘后遭受的财务损失。原告彼得·约翰逊在遭受损失的一个月后提起集体诉讼。该案件是针对众多投资者提起的,他们声称Maker基金会和相关实体故意歪曲平台上债务抵押头寸 (CDP) 的风险,导致总计830万美元的损失。
周四公布的一份法庭文件显示,Maker基金会否认有任何不当行为或违法行为,但双方达成了和解协议。Blockworks联系MakerDao寻求进一步评论,截至发稿未收到回复。[2023/6/23 21:56:14]
根据 REvil 于 7 月 4 日在暗网博客上发布的信息,声称已经锁定了超过 100 万个系统或终端,并要求 7,000 万美元“团购价”赎金,以 BTC 形式支付。按照网页形式,收到赎金后,REvil 将发布解密器,可在 1 小时内解密所有被锁住的系统/终端。
REvil在暗网的博客页面
根据参与此次事件响应的安全公司之一 Huntress 的数据表明,此次网络攻击是 REvil 有史以来发起的规模最大的一次攻击,超过 3100 个暴露在公网的 Kaseya VSA 服务器,其中包括中国香港的 9 台服务器,50 余个 MSP 及超过 1000 家下游企业受影响。并且可能已导致全球多达 4 万台电脑被感染。
受害者分布,颜色越深数量越多受影响越大
美国弗吉尼亚理工大学、瑞典Coop杂货连锁店、瑞典国有铁路运营商SJ、意大利Miroglio group、美国零售Extenda Retail 均在被影响之列,英国时尚品牌French Connection、巴西医疗诊断公司Grupo Fleury、西班牙电信运营商 MasMovil Ibercom 均在被勒索的行列。
事情到了这个地步,就已经不是一两家企业与黑客组织之间的事情了。
7 月 4 日,美国总统拜登下令启动全面的联邦调查。9 日,拜登与普京进行了通话。通话后拜登告诉媒体:“我对他明确的表态,美国希望俄罗斯能够对它国境内的勒索软件组织立刻采取行动,即便这个组织不是由国家赞助的。美国可以为此提供充足的攻击者的信息。”拜登后来补充道:“如果普京不这样做,美国将关闭该组织的服务器”。
目前已有10万个独立地址帮助EIP-4844进行随机数据采样:5月31日消息,以太坊研究人员提出一项计划以使存储来自Layer 2汇总的数据成本更低,第一阶段需要将 EIP-4844(称为 proto-danksharding)引入以太坊主网,预计将在年底前与Dencun升级一起进行。目前已有10万个独立地址帮助以太坊EIP-4844引入“blob-carrying交易”进行随机数据采样。[2023/5/31 11:50:36]
而据俄塔社报道,佩斯科夫当天表示,克里姆林宫对 REvil 从暗网中消失的原因并不知情。他强调,俄罗斯认为任何网络犯罪都是不可接受的。“俄罗斯和美国应该合作打击这一犯罪。不幸的是,我不掌握有关该团体的详细信息。但俄罗斯和美国已开始就打击网络犯罪进行双边磋商。”
业内“劳模”,酷爱“顶风作案”
7000 万美元赎金,听上去是一个天文数字,但这不是 REvil 第一次狮子大开口了。
REvil 也被称为 Sodinokibi。由于勒索病代码源自曾经最大的 RaaS(勒索软件即服务)运营商 GandCrab 的“Sodinokibi”病,REvil 一直被视作 GandCrab 的“接班人”。
“名师“出”高徒“。起点够高,REvil 的胆子也更大。
因为从服务于全球影视娱乐巨星的律师事务所—— Grubman Shire Meiselas & Sacks 窃取了近 1TB 的信息,使 REvil“一战成名”。自此之后,REvil 的名字就与Lady Gaga、埃尔顿·约翰、罗伯特·德尼罗和麦当娜等知名巨星紧紧联系在了一起。
2020 年 5 月,REvil 声称破译了其时美国总统唐纳德·特朗普旗下公司用于保护其数据的椭圆曲线密码术,并为他们盗窃的数据索要 4200 万美元的赎金。
打出名号之后,作为黑客界的“Super Star”,REvil 的犯案频率简直可以被评为业界“劳模”,仅 2021 年就凭借其每月至少一起的作案频率常年占据头版头条。
3 月,REvil 附属组织在网络上声称,他们已从跨国硬件和电子公司宏碁安装勒索软件并盗取大量数据,并为此索取5000万美元的赎金;
过去24小时全网爆仓2.79亿美元:金色财经报道,Coinglass数据显示,过去24小时全网爆仓 2.79亿美元。其中比特币爆仓7036.32万美元,以太坊爆仓6107.15万美元。[2023/2/10 11:58:34]
3 月,REvil 攻击哈里斯联盟,并在其博客上发布了联盟的多份财务文件;
4 月,REvil 窃取了广达电脑即将推出的苹果产品的计划,并威胁要公开发布这些计划,除非他们收到 5000 万美元作为赎金;
5 月,全球最大肉类供应商 JBS 受到 REvil 勒索软件的攻击,该公司不得不将所有美国牛肉工厂暂时关闭,并中断了家禽和猪肉工厂的运营。最终,JBS 还是向 REvil 支付了 1100 万美元的比特币赎金;
6 月,全球再生能源巨擘 Invenergy 证实其作业系统遭到了勒索软件的攻击,REvil 声称对此事负责。
对 REvil,各国政府也是深恶痛绝,多次下令进行严厉打击,美国尤甚。
在 5 月遭受 REvil 攻击,JBS Foods 公司在美加工厂全部关停。而作为全球最大的牛肉和家禽生产商、全球第二大猪肉生产商,JBSFoods 肩负着美国、澳大利亚、加拿大、英国等地业务肉食供应的大宗供应。美国加工厂的关停会直接导致至少美国境内短期的肉食产品供应短缺。
如果说经济和民生上短暂的波动还不足以撼动白宫的神经,那么国土安全就是头号大事了。
美国能源部(DOE)的分包商与国家核安全局(NNSA)合作开发核武系统的 Sol Oriens 公司在 6 月遭遇勒索病攻击。经过比对,专家称“攻击来自 REvil 勒索软件”。
来源:https://threatpost.com/revil-hits-us-nuclear-weapons-contractor-sol-oriens/166858/
安全研究员称,Sol Oriens 公司被入侵,可能来源于 RDP 服务被 REvil 弱口令爆破攻击。
攻击肉制品加工企业,会导致城市肉食供应受影响;而针对国防承包商的攻击活动,谁知道被攻击者拿走多少绝密文件呢??也无怪乎美国要对 REvil “追着打”。
美SEC、CFTC联合提议将PF表格中加密资产视为数字资产同义词:9月29日消息,美国证券交易委员会SEC和美国商品期货交易委员会CFTC联合提议修订关于数字资产的PF表格(PF Form)。SEC表示,自2011年采用PF表格以来,包括数字资产在内的投资策略更加普遍,当前表格可能无法识别潜在风险。如果该提案被通过,SEC将与当前市场上数字资产投资趋势保持一致。
SEC对PF表格提出了四项变更,其中包括将数字资产定义为使用分布式账本或区块链技术发行或转移的资产,包括但不限于VirtualCurrencies、Coins和Token。SEC将把加密资产(CryptoAssets)视为数字资产(DigitalAssets)的同义词。[2022/9/29 6:01:28]
不过 REvil 有恃无恐,否则也不会 7 月仅仅过去两天,就迫不及待地对 Kaseya 出手了。
不过结局大家也已经知道了,现在 REvil 在暗网的网站和应用,都处于关停状态。
勒索犯“跑路”,
被勒索的企业何去何从
黑客组织倾向于勒索比特币作为赎金。这其中最广为人知的,就是 REvil 要求 Kaseya 支付 7000 万美元比特币的这起案件。
事实上,比特币不是黑客组织的的唯一选择。REvil 就曾经要求以门罗币 Monero 作为赎金。
一旦 REvil 恶意软件进入计算机系统,会加密所有受害者储存在终端的文件,然后留下一个包含赎金记录的文本文件。这个文本会引导受害者到 Tor(通常用于托管暗网的匿名互联网)上的网站(受害者门户),等待下一步指示。
受害者门户网站将显示赎金要求,比如这个是价值 50,000 美元的门罗币。如果赎金未在特定时间范围内支付,赎金将翻倍至 100,000 美元。
受害者门户网站甚至还为这些被勒索的传统企业提供了有关可以在哪里购买门罗币,以及应该将其发送到哪里的说明:
该门户还允许受害者通过“聊天支持”选项卡直接与 REvil 交谈。在这里,受害者(蓝色)可以发起与 REvil(绿色)的对话,协商赎金。
如何能让受害者相信一个黑客组织?REvil 简直不要太专业。
他们会提供一个试用功能,受害者可以提供几个加密文件,REvil 解密后将文件返还,以此来确认受害者没有找错人,并证明他们确实有能力提供解密器。
难以想象的是, REvil 居然“接受小刀”(打折)。受害者先是争取了 20% 的折扣,继而经过了一系列你来我往,最终同意支付 25,000 美元的赎金,在原价的基础上整整打了 5 折。
而且,REvil 不强求受害者一定要用门罗币来支付,因为他们发现门罗币的知名度太差了,知道门罗币的受害者和支持门罗币流通的交易平台都太少。于是,如果受害者要求用比特币支付,REvil 会同意。而且从 Kaseya 的案件中来看,REvil 后期会直接索要比特币作为赎金。
一旦支付了赎金,受害者门户就会更新以提供对解密器的访问。(当然,不能 100% 保证一定会提供这样的工具)
对于受害者来说,与 REvil 接触的过程已经全部完成,他们可以使用解密器工具重新获得对其文件的访问权限。这就是一套完整 REvil 索要赎金的过程。
那么在 Kaseya 事件中,有企业支付赎金吗?答案是:有。目前已经统计到的数据中,部分受害者向 REvil 支付了共计 45,000 美元的赎金。
勒索软件修复公司 Critical Insight 信息安全官 Mike Hamilton 表示,公司的一位不愿透露姓名的客户,就是为数不多的向 REvil 勒索软件组织支付赎金的 Kaseya 受害者之一。
而现在 REvil 突然关停,消失在茫茫网络中,支付赎金和未支付赎金的受害者们,又将何去何从?
Mike Hamilton?透露,用户找到了保险公司支付了赎金,也拿到了解密器,发现解密器并非对所有的被加密的文件都有效。这个时候却发现 REvil 的网站全部都下线了。
"They're going to end up losing a lot of data and they're going to end up spending a lot of money to completely rebuild their network from scratch."
勒索软件专家 Allan Liska 认为,这是由于 REvil 的解密器管理混乱造成的。
My guess is [REvil] has shit decryptor key management so they may not know which key to give out to each individual victim.?
无论是否交付过赎金,摆在受害企业和个人面前的,都是被一堆被加密的文件,和消失的黑客。
当然,勒索软件修复相关的机构和企业都在积极地帮助那些日常未及时备份数据的受害企业,但并不是所有企业都能等得起,毕竟在商业游戏里,时间就是金钱。
最后
REvil“闭麦”,但人们的猜测还没有停下。
有些人认为 REvil 这一次是被永久关停,没有机会再复出,有些人相信这是美俄联合打击网络犯罪的国际合作成果,也有一些人,认为 REvil 只是全员休假,毕竟 2021 年的上半年他们高强度作案已经赚得盆满钵满,没有理由不在风声紧的时候去享受一下沙滩红酒的美妙人生。
虽然目前 REvil 不在江湖,但勒索软件组织和黑客组织还有很多。只要互联网依然存在,关于网络安全的攻防双方的对抗,就会始终存在。而各国也在加紧网络安全领域的联合协作工作。
前有境内 141 万名医生的个人信息和联系方式被盗取公开售卖,后有最大燃油管道运营商 Colonial 系统被入侵被迫关闭了整个管道系统,现在又添了肉类供应商 JBS 和办公网络服务商 ?Kaseya 被勒索的案件,美国的网络安全事件频发,拜登政府也开始着手研究通证在黑客攻击事件中的地位和作用。
6 月,美国国家安全顾问 Anne Neuberger?在致商界领袖的一封信中表示,美国政府正在与国际伙伴合作,制定一致政策,以决定当遭遇黑客勒索时何时支付赎金以及如何追踪赎金去向。
而在本周二,美国参议院国土安全和政府事务委员会主席的美国参议员 Gary Peters 宣布,委员会正在对通证在最近的勒索软件攻击中的作用展开调查。调查将侧重于可确保美国人从这一新资产类别(通证)中受益,而不会面临勒索软件风险的通证法规。
白宫表示,在留意到近期发生的规模巨大的网络攻击之后,他们将把勒索软件攻击视同于恐怖主义。而一系列的这些行动都表明,美国政府对网络犯罪的态度,已经发生了重大的转变。毕竟在频繁的黑客攻击面前,已然很难通过传统外交和执法手段,来应对政企所面临的相关网络威胁。
黑客组织和网络犯罪的危害,从不局限于一国一地。这种新型的影响巨大的犯罪形式,正在挑战着疫情过去后全球复苏的经济社会生活。电子证据的跨国调取、对跨国网络犯罪的域外管辖、网络犯罪的预防等等议题,都将是接下来各国将共同努力的方向。
REvil 是所有勒索软件团伙中最多产、最令人恐惧的团伙之一。如果 Kaseya 事件真的是这个组织的最后一次作案,一定会为今年愈演愈烈的勒索软件威胁趋势,带来些新的反思和思考。
标签:REVEVIEVILKASCREVA价格ethylenevinylacetateDTEVIL价格kaspa币最新消息
7月26日外媒消息指出,亚马逊内部一位匿名消息人士表示,亚马逊计划在2021年底之前接受比特币支付.
1900/1/1 0:00:00亲爱的Bankless社区:就在上个月,我们中的一些人开玩笑说NFT处于熊市。不过,从本周整个生态系统的买入压力来看,很明显,这个玩笑现在被看来就是在扯淡.
1900/1/1 0:00:00如果有人能总结2021年加密界发生了什么,那就说明这一年一开始很顺利,但到了年中,情况就变坏了。比特币(BTC)的市场价值已经从64,895.22美元(2021年4月14日)下跌了50%以上,到6月的2万美元区间.
1900/1/1 0:00:00本文由“张姨杨姨”原创,授权金色财经行业媒体首发。动态 | 可信教育数字身份在广州白云区首发 采用区块链等技术:12月25日,可信教育数字身份(教育卡)广东省应用试点首发仪式与应用研讨在广州市白云区举行.
1900/1/1 0:00:00以太坊基金会于7月15日公布了伦敦升级最新进展,本次升级将在主网达到12965000区块高度时被激活,具体时间预计在8月3日至5日之间。伦敦升级因EIP-1559备受瞩目,其将改进现有的手续费机制,并将持续销毁ETH.
1900/1/1 0:00:00近日,全球首个获得扑克游戏牌照的区块链P2P扑克平台Virtue Poker与新上线的币安NFT市场合作,为名人堂和Virtue Poker团队职业牌手Phil Ivey打造独一无二NFT.
1900/1/1 0:00:00