消失近两个月后 REvil勒索组织重出江湖(附最新防护指南)

首页 / 业界 / 资讯 /  正文
作者:西西
来源:安全419
发布于:2周前
在7月4日美国假期期间,REvil勒索软件组织针对Kaseya服务器的大规模勒索攻击影响了数千家企业,一举成为迄今为止规模最大的供应链攻击事件。这一事故引起了业界的强烈谴责和美、俄两国政府的注意,该组织在7月13日关闭了其网络基础设施,从网络中销声匿迹。

当时,许多人表示该组织已经解散,未来或许准备更名后发起一项新的勒索软件攻击行动,试图甩掉执法调查人员和安全公司的追踪。


但在当地时间9月7日,数十名安全研究人员在社交媒体上表示,REvil组织的快乐博客(REvil运营商通常会在其中列出拒绝谈判或支付赎金的受害者的网站)已经重新上线,最新条目来自于当初网站关闭时遭到攻击的受害者。此外,REvil的“支付门户”(受害者被告知去与REvil 团伙谈判)也已在同一个旧的暗网 .onion URL 上恢复。

来自Recorded Future和Emsisoft的安全研究人员都证实,该组织的大部分基础设施已经恢复运行。

勒索软件专家 Allan Liska 告诉媒体,大多数相关人士都希望REvil回归,但最好用新的名字,并带来勒索软件的变种版本。

“对他们来说,事情肯定会持续一段时间,所以他们需要让执法部门冷静下来。问题的关键是,如果他们真的是同一个群体,使用着相同的基础设施,那么他们与执法部门和研究人员就没有任何距离,这会让他们重新成为世界上几乎每个执法组织关注的焦点”,Liska解释说。

“我还要补充一点,我已经检查了所有常用的代码存储库,例如VirusTotal和Malware Bazaar,但目前还没有看到任何新样本的发布。因此,如果他们发起了任何新的勒索软件攻击,应该还没有太多的受害者。”

安全公司BlackFog在八月的勒索攻击报告中指出,REvil占他们上个月跟踪的勒索攻击事件的23%以上。这比报告中跟踪的任何其他组都要多。

据Emsisoft威胁分析师Brett Callow称,REvil今年至少攻击了360家美国组织。RansomWhere 研究网站称,该组织今年已经获得超过1100万美元的收入,其中包括对宏碁、JBS、广达电脑等的大规模攻击。 

REvil在7月突然关闭,让一些受害者也同时陷入困境。现任勒索软件修复公司Critical Insight首席信息安全官的Mike Hamilton透露,一家在Kaseya供应链攻击中中招的企业向REvil支付了赎金,并从REvil处收到了解密密钥,但发现它们不起作用。

REvil通常会提供一个服务台功能,帮助受害者取回他们的数据。

Hamilton说:“我们的一些客户真的很苦恼。如果你在不重要的计算机上安装该代理,就可以重建系统恢复数据。但几天前,我们接到了一家受到重创的公司的求救电话,他们在Kaseya VSA 管理着大量的服务器。他们大量的数据被加密,因此找来了保险公司并决定支付赎金。”

“他们拿到了解密密钥,当开始使用它时,却发现密钥只在某些地方有效,而在其他地方却没有。REvil突然间地完全消失,也不曾给支付赎金的受害者提供任何帮助。这些公司顿时陷入黑暗。他们最终会丢失大量数据,并将花费大量资金从头开始彻底重建他们的网络。”

《勒索病毒安全防护手册》今日发布

与此同时,就在今天(9月8日),由工信部网络安全管理局指导,中国信通院联合行业七家单位共同编制的《勒索病毒安全防护手册》正式发布,梳理勒索病毒主要类型、传播方式,分析勒索病毒攻击特点和典型勒索病毒攻击阶段,聚焦事前预防,事中应急、事后加固三个环节,研提勒索病毒攻击防范应对框架和实操参考。

安全419在此摘录分享官方精华解读,以期共同防范化解攻击风险。