買比特幣 買比特幣
Ctrl+D 買比特幣
ads

KAS:還原最神秘的黑客組織:REvil_Devious Licks Gold

Author:

Time:1900/1/1 0:00:00

REvil 突然從暗網消失了。

7 月 13 日開始,這個全球臭名昭著的勒索軟件組織旗下曾經極度活躍的那些勒索頁面、支付入口以及聊天功能,訪問時返回的只是“找不到具有指定主機名的服務器”。

英國廣播公司(BBC)14日援引一名自稱是 REvil 黑客成員的話稱,FBI 停用了 REvil 網頁的部分功能,因此他們干脆將網頁徹底關停。他還稱,該組織也受到來自克里姆林宮的壓力,“俄羅斯已經厭倦了美國和其他國家向他們哭訴”。

在這之前,美國總統拜登要求俄羅斯總統普京對 REvil 采取行動,而克里姆林宮發言人佩斯科夫則要求美國拿出黑客在俄羅斯領土活動的證據。

為什么美國緊盯著 REvil 不放?這還要從 REvil 索要史上最高贖金 7000 萬美元,一場竹籃打水一場空的勒索。

贖金“團購價”,REvil破勒索記錄

Kaseya 是一家來自瑞典的 IT 公司,于 1999 年獲得了美國專利局認證的 Kaseya VSA(虛擬系統管理)專利和連接算法專利。

Kaseya VSA 是一個基于云的 MSP 平臺,MSP 是一種通過建立自己的網絡運作中心(NOC,Network Operating Center)來為企業提供 24×7×365 的系統管理服務的業務。MSP 可以實現遠程的管理、實時的監控和對企業系統運作情況的統計。

Kaseya 在全球已經擁有了超過 10000 家客戶,其中 50% 以上的全球 100 強 IT 管理服務提供商及各大龍頭企業,分別來自銀行業、金融業、零售業、貿易業、教育機構、政府機構、醫療機構和交通運輸業等領域。截止 2011 年底,全球有超過 1300 萬臺以上的終端和設備通過 Kaseya 的軟件進行管理。

正是因為很多大型企業和技術服務供應商都選擇使用 Kaseya VSA,Kaseya 才被選中成為此次的攻擊對象。

因為對于勒索軟件團伙來說,MSP 實在是一個高價值的“獵物”。通過 MSP,可以通過單一漏洞感染許多公司的渠道,但發起攻擊需要黑客對 MSP 及其使用的軟件有深入了解。REvil 可是深諳此道。

DownDetector:數以千計的客戶無法使用推特和ChatGPT:金色財經報道,據網絡狀況監測網站DownDetector的數據,推特的服務一度于周三中斷,數千名用戶無法使用,網站收到了近6000起關于人們無法使用推特的報告。而OpenAI亦表示,大多數用戶無法使用其聊天機器人ChatGPT,當前正在恢復服務的過程中,已經禁用了登錄功能。[2023/7/13 10:51:31]

REvil 擁有一個專門針對 MSP 的技術分支機構,長期以來一直針對這些公司及其常用軟件進行研究。與其他勒索軟件一樣,REvil 的勒索軟件會鎖住受害者的電腦,直到受害者以他們要求的形式支付贖金。

被勒索企業終端界面示例

REvil 為此次攻擊精心準備過。

通常,大規模勒索軟件都將攻擊時間放在周末的深夜,因為在那個時間段監控網絡的人員最少。然而這次,REvil 反其道而行之,選擇在周五中午 10 時 - 12 時發起攻擊,因為在工作日,購買 Kaseya 服務的企業(大都分布在歐洲、美洲)都在工作狀態,可以將勒索攻擊的效果最大化,同時周五又是員工們周末之前最松解的時間,工作效率并不高,很大程度上不會在第一時間對攻擊作出防御反應。

REvil 精心策劃的攻擊實施得相當順利。

7 月 2 日周五中午開始,Kaseya 陸續收到了客戶報告,報告顯示 Kaseya VSA 本地產品管理的端點出現了異常狀況。基于報告, Kaseya 執行團隊發現勒索軟件正在端點上執行。他們向本地客戶發送通知,要求用戶關閉他們的 VSA 服務器,同時關閉 Kaseya 的 VSA SaaS 基礎設施。

可惜他們的反應還是慢了一步。

REvil攻擊路徑

通過調查,Kaseya 的安全團隊發現勒索軟件使用了 Kaseya VSA 中的一個漏洞,并宣布將盡快發布補丁。

在 Kaseya VSA 服務器淪陷后,勒索軟件隨即被部署到其他使用 Kaseya 遠程桌面管理軟件的公司。由于 Kaseya 的客戶中有大型 IT 服務供應商,這些公司又會為數百間公司提供外包 IT 服務,預估受影響的公司多達數千家,遍布英國、加拿大和南非等至少 17 個國家。

OpenAI 4月份員工股票出售規模較此前報道高出65%,達4.95億美元:金色財經報道,OpenAI在4月份完成了一項收購要約,允許員工向一群投資者出售股票。這筆交易籌集了4.95億美元,較此前報道的3億美元多出65%。根據美國證券交易委員會的文件,此次發行旨在籌集價值5.36億美元的股權,因此未來的出售規模可能會更大。據TechCrunch此前的報道,這些股票被出售給了40家合格投資者,其中包括風險投資公司Andreessen Horowitz、Khosla Ventures、紅杉資本和Founder’s Fund。

據知情人士透露,現有投資者老虎環球實際上并未參與此次出售。據悉這筆交易是通過特拉華州一家名為Aestas Management Company的空殼公司完成的。(Business Insider)[2023/5/27 9:45:15]

根據 REvil 于 7 月 4 日在暗網博客上發布的信息,聲稱已經鎖定了超過 100 萬個系統或終端,并要求 7,000 萬美元“團購價”贖金,以 BTC 形式支付。按照網頁形式,收到贖金后,REvil 將發布解密器,可在 1 小時內解密所有被鎖住的系統/終端。

REvil在暗網的博客頁面

根據參與此次事件響應的安全公司之一 Huntress 的數據表明,此次網絡攻擊是 REvil 有史以來發起的規模最大的一次攻擊,超過 3100 個暴露在公網的 Kaseya VSA 服務器,其中包括中國香港的 9 臺服務器,50 余個 MSP 及超過 1000 家下游企業受影響。并且可能已導致全球多達 4 萬臺電腦被感染。

受害者分布,顏色越深數量越多受影響越大

美國弗吉尼亞理工大學、瑞典Coop雜貨連鎖店、瑞典國有鐵路運營商SJ、意大利Miroglio group、美國零售Extenda Retail 均在被影響之列,英國時尚品牌French Connection、巴西醫療診斷公司Grupo Fleury、西班牙電信運營商 MasMovil Ibercom 均在被勒索的行列。

分析師:“謬論”和“對未知的恐懼”阻礙了加密貨幣的交易投資者:金色財經報道,彭博加密貨幣市場分析師Jamie Coutts認為,“謬論”和“對未知的恐懼”是阻礙傳統投資組合經理投資加密貨幣的原因。Coutts在接受采訪時認為,一直存在著“區塊鏈沒有內在價值”的“謬論”。Coutts表示,“盡管并非所有區塊鏈都是產生現金的資產,包括以太坊”,但其中肯定具有內在價值。

此外,Coutts說:“監管不可能是其中之一。讓我重申這一點。監管始終是一個問題,但BTC是受監管的。”Coutts表示,這可能是“對未知的恐懼”,并補充說,資產經理忽視或選擇不對加密貨幣進行教育,是錯過了機會。(Cointelegraph)[2022/9/21 7:10:39]

事情到了這個地步,就已經不是一兩家企業與黑客組織之間的事情了。

7 月 4 日,美國總統拜登下令啟動全面的聯邦調查。9 日,拜登與普京進行了通話。通話后拜登告訴媒體:“我對他明確的表態,美國希望俄羅斯能夠對它國境內的勒索軟件組織立刻采取行動,即便這個組織不是由國家贊助的。美國可以為此提供充足的攻擊者的信息。”拜登后來補充道:“如果普京不這樣做,美國將關閉該組織的服務器”。

而據俄塔社報道,佩斯科夫當天表示,克里姆林宮對 REvil 從暗網中消失的原因并不知情。他強調,俄羅斯認為任何網絡犯罪都是不可接受的。“俄羅斯和美國應該合作打擊這一犯罪。不幸的是,我不掌握有關該團體的詳細信息。但俄羅斯和美國已開始就打擊網絡犯罪進行雙邊磋商。”

業內“勞模”,酷愛“頂風作案”

7000 萬美元贖金,聽上去是一個天文數字,但這不是 REvil 第一次獅子大開口了。

REvil 也被稱為 Sodinokibi。由于勒索病代碼源自曾經最大的 RaaS(勒索軟件即服務)運營商 GandCrab 的“Sodinokibi”病,REvil 一直被視作 GandCrab 的“接班人”。

“名師“出”高徒“。起點夠高,REvil 的膽子也更大。

因為從服務于全球影視娛樂巨星的律師事務所—— Grubman Shire Meiselas & Sacks 竊取了近 1TB 的信息,使 REvil“一戰成名”。自此之后,REvil 的名字就與Lady Gaga、埃爾頓·約翰、羅伯特·德尼羅和麥當娜等知名巨星緊緊聯系在了一起。

Crypto.com的主要支付機構許可證已獲新加坡金管局的原則上批準:6月22日消息,加密交易所Crypto.com的主要支付機構許可證已獲得新加坡金融管理局(MAS)的原則上批準,該許可將使Crypto.com能夠在支付服務法范圍內提供一系列支付服務,包括向新加坡客戶提供數字支付代幣(DPT)服務。

此前報道,Crypto.com首席執行官Kris表示Crypto.com計劃裁員約60人,占員工總數5%。[2022/6/22 1:23:55]

2020 年 5 月,REvil 聲稱破譯了其時美國總統唐納德·特朗普旗下公司用于保護其數據的橢圓曲線密碼術,并為他們盜竊的數據索要 4200 萬美元的贖金。

打出名號之后,作為黑客界的“Super Star”,REvil 的犯案頻率簡直可以被評為業界“勞模”,僅 2021 年就憑借其每月至少一起的作案頻率常年占據頭版頭條。

3 月,REvil 附屬組織在網絡上聲稱,他們已從跨國硬件和電子公司宏碁安裝勒索軟件并盜取大量數據,并為此索取5000萬美元的贖金;

3 月,REvil 攻擊哈里斯聯盟,并在其博客上發布了聯盟的多份財務文件;

4 月,REvil 竊取了廣達電腦即將推出的蘋果產品的計劃,并威脅要公開發布這些計劃,除非他們收到 5000 萬美元作為贖金;

5 月,全球最大肉類供應商 JBS 受到 REvil 勒索軟件的攻擊,該公司不得不將所有美國牛肉工廠暫時關閉,并中斷了家禽和豬肉工廠的運營。最終,JBS 還是向 REvil 支付了 1100 萬美元的比特幣贖金;

6 月,全球再生能源巨擘 Invenergy 證實其作業系統遭到了勒索軟件的攻擊,REvil 聲稱對此事負責。

對 REvil,各國政府也是深惡痛絕,多次下令進行嚴厲打擊,美國尤甚。

在 5 月遭受 REvil 攻擊,JBS Foods 公司在美加工廠全部關停。而作為全球最大的牛肉和家禽生產商、全球第二大豬肉生產商,JBSFoods 肩負著美國、澳大利亞、加拿大、英國等地業務肉食供應的大宗供應。美國加工廠的關停會直接導致至少美國境內短期的肉食產品供應短缺。

如果說經濟和民生上短暫的波動還不足以撼動白宮的神經,那么國土安全就是頭號大事了。

美國能源部(DOE)的分包商與國家核安全局(NNSA)合作開發核武系統的 Sol Oriens 公司在 6 月遭遇勒索病攻擊。經過比對,專家稱“攻擊來自 REvil 勒索軟件”。

Optimism總鎖倉量為38.4億美元,近7日下跌7.48%:金色財經消息,據L2BEAT數據顯示,截至目前,以太坊Layer2上總鎖倉量為38.4億美元,近7日下跌13.77%。其中鎖倉量最高的為擴容方案Arbitrum,約19.6億美元,占比51.02%。其次是dYdX,鎖倉量7.15億美元,占比18.62%。Optimism占據第三,鎖倉量6.9億美元,占比17.98%,近7日下跌7.48%。[2022/6/21 4:42:38]

來源:https://threatpost.com/revil-hits-us-nuclear-weapons-contractor-sol-oriens/166858/

安全研究員稱,Sol Oriens 公司被入侵,可能來源于 RDP 服務被 REvil 弱口令爆破攻擊。

攻擊肉制品加工企業,會導致城市肉食供應受影響;而針對國防承包商的攻擊活動,誰知道被攻擊者拿走多少絕密文件呢??也無怪乎美國要對 REvil “追著打”。

不過 REvil 有恃無恐,否則也不會 7 月僅僅過去兩天,就迫不及待地對 Kaseya 出手了。

不過結局大家也已經知道了,現在 REvil 在暗網的網站和應用,都處于關停狀態。

勒索犯“跑路”,

被勒索的企業何去何從

黑客組織傾向于勒索比特幣作為贖金。這其中最廣為人知的,就是 REvil 要求 Kaseya 支付 7000 萬美元比特幣的這起案件。

事實上,比特幣不是黑客組織的的唯一選擇。REvil 就曾經要求以門羅幣 Monero 作為贖金。

一旦 REvil 惡意軟件進入計算機系統,會加密所有受害者儲存在終端的文件,然后留下一個包含贖金記錄的文本文件。這個文本會引導受害者到 Tor(通常用于托管暗網的匿名互聯網)上的網站(受害者門戶),等待下一步指示。

受害者門戶網站將顯示贖金要求,比如這個是價值 50,000 美元的門羅幣。如果贖金未在特定時間范圍內支付,贖金將翻倍至 100,000 美元。

受害者門戶網站甚至還為這些被勒索的傳統企業提供了有關可以在哪里購買門羅幣,以及應該將其發送到哪里的說明:

該門戶還允許受害者通過“聊天支持”選項卡直接與 REvil 交談。在這里,受害者(藍色)可以發起與 REvil(綠色)的對話,協商贖金。

如何能讓受害者相信一個黑客組織?REvil 簡直不要太專業。

他們會提供一個試用功能,受害者可以提供幾個加密文件,REvil 解密后將文件返還,以此來確認受害者沒有找錯人,并證明他們確實有能力提供解密器。

難以想象的是, REvil 居然“接受小刀”(打折)。受害者先是爭取了 20% 的折扣,繼而經過了一系列你來我往,最終同意支付 25,000 美元的贖金,在原價的基礎上整整打了 5 折。

而且,REvil 不強求受害者一定要用門羅幣來支付,因為他們發現門羅幣的知名度太差了,知道門羅幣的受害者和支持門羅幣流通的交易平臺都太少。于是,如果受害者要求用比特幣支付,REvil 會同意。而且從 Kaseya 的案件中來看,REvil 后期會直接索要比特幣作為贖金。

一旦支付了贖金,受害者門戶就會更新以提供對解密器的訪問。(當然,不能 100% 保證一定會提供這樣的工具)

對于受害者來說,與 REvil 接觸的過程已經全部完成,他們可以使用解密器工具重新獲得對其文件的訪問權限。這就是一套完整 REvil 索要贖金的過程。

那么在 Kaseya 事件中,有企業支付贖金嗎?答案是:有。目前已經統計到的數據中,部分受害者向 REvil 支付了共計 45,000 美元的贖金。

勒索軟件修復公司 Critical Insight 信息安全官 Mike Hamilton 表示,公司的一位不愿透露姓名的客戶,就是為數不多的向 REvil 勒索軟件組織支付贖金的 Kaseya 受害者之一。

而現在 REvil 突然關停,消失在茫茫網絡中,支付贖金和未支付贖金的受害者們,又將何去何從?

Mike Hamilton?透露,用戶找到了保險公司支付了贖金,也拿到了解密器,發現解密器并非對所有的被加密的文件都有效。這個時候卻發現 REvil 的網站全部都下線了。

"They're going to end up losing a lot of data and they're going to end up spending a lot of money to completely rebuild their network from scratch."

勒索軟件專家 Allan Liska 認為,這是由于 REvil 的解密器管理混亂造成的。

My guess is [REvil] has shit decryptor key management so they may not know which key to give out to each individual victim.?

無論是否交付過贖金,擺在受害企業和個人面前的,都是被一堆被加密的文件,和消失的黑客。

當然,勒索軟件修復相關的機構和企業都在積極地幫助那些日常未及時備份數據的受害企業,但并不是所有企業都能等得起,畢竟在商業游戲里,時間就是金錢。

最后

REvil“閉麥”,但人們的猜測還沒有停下。

有些人認為 REvil 這一次是被永久關停,沒有機會再復出,有些人相信這是美俄聯合打擊網絡犯罪的國際合作成果,也有一些人,認為 REvil 只是全員休假,畢竟 2021 年的上半年他們高強度作案已經賺得盆滿缽滿,沒有理由不在風聲緊的時候去享受一下沙灘紅酒的美妙人生。

雖然目前 REvil 不在江湖,但勒索軟件組織和黑客組織還有很多。只要互聯網依然存在,關于網絡安全的攻防雙方的對抗,就會始終存在。而各國也在加緊網絡安全領域的聯合協作工作。

前有境內 141 萬名醫生的個人信息和聯系方式被盜取公開售賣,后有最大燃油管道運營商 Colonial 系統被入侵被迫關閉了整個管道系統,現在又添了肉類供應商 JBS 和辦公網絡服務商 ?Kaseya 被勒索的案件,美國的網絡安全事件頻發,拜登政府也開始著手研究通證在黑客攻擊事件中的地位和作用。

6 月,美國國家安全顧問 Anne Neuberger?在致商界領袖的一封信中表示,美國政府正在與國際伙伴合作,制定一致政策,以決定當遭遇黑客勒索時何時支付贖金以及如何追蹤贖金去向。

而在本周二,美國參議院國土安全和政府事務委員會主席的美國參議員 Gary Peters 宣布,委員會正在對通證在最近的勒索軟件攻擊中的作用展開調查。調查將側重于可確保美國人從這一新資產類別(通證)中受益,而不會面臨勒索軟件風險的通證法規。

白宮表示,在留意到近期發生的規模巨大的網絡攻擊之后,他們將把勒索軟件攻擊視同于恐怖主義。而一系列的這些行動都表明,美國政府對網絡犯罪的態度,已經發生了重大的轉變。畢竟在頻繁的黑客攻擊面前,已然很難通過傳統外交和執法手段,來應對政企所面臨的相關網絡威脅。

黑客組織和網絡犯罪的危害,從不局限于一國一地。這種新型的影響巨大的犯罪形式,正在挑戰著疫情過去后全球復蘇的經濟社會生活。電子證據的跨國調取、對跨國網絡犯罪的域外管轄、網絡犯罪的預防等等議題,都將是接下來各國將共同努力的方向。

REvil 是所有勒索軟件團伙中最多產、最令人恐懼的團伙之一。如果 Kaseya 事件真的是這個組織的最后一次作案,一定會為今年愈演愈烈的勒索軟件威脅趨勢,帶來些新的反思和思考。

Tags:EVILREVEVIKASEVILSQUID幣Revolution PopuliDevious Licks GoldBabyKaspa

Gate交易所
EFI:金色DeFi日報 | 元宇宙價值指數持續上升_DEFI

DeFi數據 1.DeFi總市值:722.63億美元 市值前十幣種排名數據來源DeFiboxDeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:36.

1900/1/1 0:00:00
GAS:金色觀察丨比特幣和以太坊交易費用普降 我們找到了這幾大主因_區塊鏈

金色財經 區塊鏈7月11日訊  最近幾個月,以太坊和比特幣下跌的不只有價格,目前使用這兩個網絡的成本——即交易費用——也在下降.

1900/1/1 0:00:00
DEFI:金色DeFi日報 | AnySwap已修復漏洞并將全額補償受損用戶_NFT

DeFi數據 1.DeFi總市值:777.07億美元 市值前十幣種排名數據來源DeFiboxDeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:20.

1900/1/1 0:00:00
AXI:在Axie的起勢下:加密游戲與NFT的變化_UND

原標題:加密游戲與NFT2021年上半年的NFT在2021年5月下旬之前,由于整體市場和DeFi的數據亮眼,NFT的發展顯得沒那么突出.

1900/1/1 0:00:00
BTC:項目周刊|美國SEC主席:顧問們正在密切關注比特幣圖表_HDBTC

金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、行情與合約數據、礦業信息、項目動態、技術進展等行業動態。本文是項目周刊,帶您一覽本周主流項目以及明星項目的進展.

1900/1/1 0:00:00
SWAP:金色觀察|Uniswap第四批Grants發給了什么項目?_Smart World Union

Uniswap的第四批Grants確定了,這次共計175萬美元,一共是52個受助者,分為14個項目。這是UGP v0.1進展六個月后的最后一波.

1900/1/1 0:00:00
ads