• 消失近兩個月后 REvil勒索組織重出江湖(附最新防護指南)

    首頁 / 業界 / 資訊 /  正文
    作者:西西
    來源:安全419
    發布于:2個月前
    在7月4日美國假期期間,REvil勒索軟件組織針對Kaseya服務器的大規模勒索攻擊影響了數千家企業,一舉成為迄今為止規模最大的供應鏈攻擊事件。這一事故引起了業界的強烈譴責和美、俄兩國政府的注意,該組織在7月13日關閉了其網絡基礎設施,從網絡中銷聲匿跡。

    當時,許多人表示該組織已經解散,未來或許準備更名后發起一項新的勒索軟件攻擊行動,試圖甩掉執法調查人員和安全公司的追蹤。


    但在當地時間9月7日,數十名安全研究人員在社交媒體上表示,REvil組織的快樂博客(REvil運營商通常會在其中列出拒絕談判或支付贖金的受害者的網站)已經重新上線,最新條目來自于當初網站關閉時遭到攻擊的受害者。此外,REvil的“支付門戶”(受害者被告知去與REvil 團伙談判)也已在同一個舊的暗網 .onion URL 上恢復。

    來自Recorded Future和Emsisoft的安全研究人員都證實,該組織的大部分基礎設施已經恢復運行。

    勒索軟件專家 Allan Liska 告訴媒體,大多數相關人士都希望REvil回歸,但最好用新的名字,并帶來勒索軟件的變種版本。

    “對他們來說,事情肯定會持續一段時間,所以他們需要讓執法部門冷靜下來。問題的關鍵是,如果他們真的是同一個群體,使用著相同的基礎設施,那么他們與執法部門和研究人員就沒有任何距離,這會讓他們重新成為世界上幾乎每個執法組織關注的焦點”,Liska解釋說。

    “我還要補充一點,我已經檢查了所有常用的代碼存儲庫,例如VirusTotal和Malware Bazaar,但目前還沒有看到任何新樣本的發布。因此,如果他們發起了任何新的勒索軟件攻擊,應該還沒有太多的受害者。”

    安全公司BlackFog在八月的勒索攻擊報告中指出,REvil占他們上個月跟蹤的勒索攻擊事件的23%以上。這比報告中跟蹤的任何其他組都要多。

    據Emsisoft威脅分析師Brett Callow稱,REvil今年至少攻擊了360家美國組織。RansomWhere 研究網站稱,該組織今年已經獲得超過1100萬美元的收入,其中包括對宏碁、JBS、廣達電腦等的大規模攻擊。 

    REvil在7月突然關閉,讓一些受害者也同時陷入困境?,F任勒索軟件修復公司Critical Insight首席信息安全官的Mike Hamilton透露,一家在Kaseya供應鏈攻擊中中招的企業向REvil支付了贖金,并從REvil處收到了解密密鑰,但發現它們不起作用。

    REvil通常會提供一個服務臺功能,幫助受害者取回他們的數據。

    Hamilton說:“我們的一些客戶真的很苦惱。如果你在不重要的計算機上安裝該代理,就可以重建系統恢復數據。但幾天前,我們接到了一家受到重創的公司的求救電話,他們在Kaseya VSA 管理著大量的服務器。他們大量的數據被加密,因此找來了保險公司并決定支付贖金。”

    “他們拿到了解密密鑰,當開始使用它時,卻發現密鑰只在某些地方有效,而在其他地方卻沒有。REvil突然間地完全消失,也不曾給支付贖金的受害者提供任何幫助。這些公司頓時陷入黑暗。他們最終會丟失大量數據,并將花費大量資金從頭開始徹底重建他們的網絡。”

    《勒索病毒安全防護手冊》今日發布

    與此同時,就在今天(9月8日),由工信部網絡安全管理局指導,中國信通院聯合行業七家單位共同編制的《勒索病毒安全防護手冊》正式發布,梳理勒索病毒主要類型、傳播方式,分析勒索病毒攻擊特點和典型勒索病毒攻擊階段,聚焦事前預防,事中應急、事后加固三個環節,研提勒索病毒攻擊防范應對框架和實操參考。

    安全419在此摘錄分享官方精華解讀,以期共同防范化解攻擊風險。