月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 币安币 > 正文

REV:观察 | 还原最神秘的黑客组织—REvil_EVILSQUID币

作者:

时间:1900/1/1 0:00:00

摘要:

烤仔观察今天给大家介绍关于黑客组织——REvil的故事。

REvil突然从暗网消失了。

7月13日开始,这个全球臭名昭著的勒索软件组织旗下曾经极度活跃的那些勒索页面、支付入口以及聊天功能,访问时返回的只是“找不到具有指定主机名的服务器”。

英国广播公司14日援引一名自称是REvil黑客成员的话称,FBI停用了REvil网页的部分功能,因此他们干脆将网页彻底关停。他还称,该组织也受到来自克里姆林宫的压力,“俄罗斯已经厌倦了美国和其他国家向他们哭诉”。

在这之前,美国总统拜登要求俄罗斯总统普京对REvil采取行动,而克里姆林宫发言人佩斯科夫则要求美国拿出黑客在俄罗斯领土活动的证据。

为什么美国紧盯着REvil不放?这还要从REvil索要史上最高赎金7000万美元,一场竹篮打水一场空的勒索。

赎金“团购价”,REvil破勒索记录

Kaseya是一家来自瑞典的IT公司,于1999年获得了美国专利局认证的KaseyaVSA专利和连接算法专利。

KaseyaVSA是一个基于云的MSP平台,MSP是一种通过建立自己的网络运作中心来为企业提供24×7×365的系统管理服务的业务。MSP可以实现远程的管理、实时的监控和对企业系统运作情况的统计。

Kaseya在全球已经拥有了超过10000家客户,其中50%以上的全球100强IT管理服务提供商及各大龙头企业,分别来自银行业、金融业、零售业、贸易业、教育机构、政府机构、医疗机构和交通运输业等领域。截止2011年底,全球有超过1300万台以上的终端和设备通过Kaseya的软件进行管理。

正是因为很多大型企业和技术服务供应商都选择使用KaseyaVSA,Kaseya才被选中成为此次的攻击对象。

记者观察:数字货币不会取代现有支付工具:7月13日报道,数字货币作为一种“数字人民币”,行业也有消息称几大行已经小范围开始试水数字货币。有关人士曾表示,数字货币不会取代微信支付或支付宝。央行数字货币替代M0(流通中现金),其功能和属性与纸币相似,只不过形态是数字化的。而支付宝、微信支付等第三方互联网支付,不具有M0级别法律效力,更不可能取代M0。央行数字货币研究所所长穆长春曾指出,数字货币并不会对支付宝、微信的地位产生影响。因为目前支付宝、微信也是使用人民币支付,央行数字货币推出后,只是换成了数字人民币,虽然支付工具变了,功能也增加了,但渠道和场景都没有变化。但万向区块链首席经济学家邹传伟表示,在一些日常支付的环节,使用央行数字货币和用微信、支付宝的用户体验应该是相当的。区别在于,央行数字货币可以实现双离线支付,不用网络,手机和手机之间碰一碰,就可以完成支付。

数字货币要想落地应用也面临诸多挑战。首先,需要区块链技术作为底层技术支撑。虽然目前区块链在数字货币的运用不断成熟,但其如何运用还需要进一步的探索;其次,相关的法律规范是否跟上。法定数字货币将作为一种新的货币形式,需要相关法律必须跟上脚步,尤其在法定数字货币可能存在的风险领域制定完整的法律条款,尽可能地降低法定数字货币发行与流通的风险;再次,数字货币相关的宣传教育工作。如何将数字货币于其他电子支付工具做区别,需要监管对民众做相应的普及和教育工作,循序渐进,以让民众更能快速接受这一新鲜事物。(中国银行保险报网)[2020/7/13]

因为对于勒索软件团伙来说,MSP实在是一个高价值的“猎物”。通过MSP,可以通过单一漏洞感染许多公司的渠道,但发起攻击需要黑客对MSP及其使用的软件有深入了解。REvil可是深谙此道。

REvil拥有一个专门针对MSP的技术分支机构,长期以来一直针对这些公司及其常用软件进行研究。与其他勒索软件一样,REvil的勒索软件会锁住受害者的电脑,直到受害者以他们要求的形式支付赎金。

被勒索企业终端界面示例

REvil为此次攻击精心准备过。

通常,大规模勒索软件都将攻击时间放在周末的深夜,因为在那个时间段监控网络的人员最少。然而这次,REvil反其道而行之,选择在周五中午10时-12时发起攻击,因为在工作日,购买Kaseya服务的企业都在工作状态,可以将勒索攻击的效果最大化,同时周五又是员工们周末之前最松解的时间,工作效率并不高,很大程度上不会在第一时间对攻击作出防御反应。

币情观察室 | 精准把控短线高低位:4月14日11:30,行情大V灭霸比特币币谈做客《币情观察室》直播间,将分享《精准把控短线高低位》敬请关注,欲观看直播扫描下图二维码即可![2020/4/14]

REvil精心策划的攻击实施得相当顺利。

7月2日周五中午开始,Kaseya陆续收到了客户报告,报告显示KaseyaVSA本地产品管理的端点出现了异常状况。基于报告,Kaseya执行团队发现勒索软件正在端点上执行。他们向本地客户发送通知,要求用户关闭他们的VSA服务器,同时关闭Kaseya的VSASaaS基础设施。

可惜他们的反应还是慢了一步。

REvil攻击路径

通过调查,Kaseya的安全团队发现勒索软件使用了KaseyaVSA中的一个漏洞,并宣布将尽快发布补丁。

在KaseyaVSA服务器沦陷后,勒索软件随即被部署到其他使用Kaseya远程桌面管理软件的公司。由于Kaseya的客户中有大型IT服务供应商,这些公司又会为数百间公司提供外包IT服务,预估受影响的公司多达数千家,遍布英国、加拿大和南非等至少17个国家。

根据REvil于7月4日在暗网博客上发布的信息,声称已经锁定了超过100万个系统或终端,并要求7,000万美元“团购价”赎金,以BTC形式支付。按照网页形式,收到赎金后,REvil将发布解密器,可在1小时内解密所有被锁住的系统/终端。

REvil在暗网的博客页面

根据参与此次事件响应的安全公司之一Huntress的数据表明,此次网络攻击是REvil有史以来发起的规模最大的一次攻击,超过3100个暴露在公网的KaseyaVSA服务器,其中包括中国香港的9台服务器,50余个MSP及超过1000家下游企业受影响。并且可能已导致全球多达4万台电脑被感染。

币情观察室 | 全球资产大崩盘 BTC“放水牛”来了?:3月8日11:00,金色盘面邀请无人区、保罗大帝、EOS君、安迪、区块掘金者、老张的投资课、百晓生说、牛七的区块链分析记、币业生、TLAB 、币圈北冥、币姥爷、币在人为、老俞说币、仓公子AKG、币圈一哥、东哥、币圈赵公子等十多位行情大咖做客金色财经《币情观察室》,将共同讨论《全球资产大崩盘,BTC“放水牛”来了?》,敬请关注,欲观看直播扫描下图二维码即可![2020/3/8]

受害者分布,颜色越深数量越多受影响越大

美国弗吉尼亚理工大学、瑞典Coop杂货连锁店、瑞典国有铁路运营商SJ、意大利Mirogliogroup、美国零售ExtendaRetail均在被影响之列,英国时尚品牌FrenchConnection、巴西医疗诊断公司GrupoFleury、西班牙电信运营商MasMovilIbercom均在被勒索的行列。

事情到了这个地步,就已经不是一两家企业与黑客组织之间的事情了。

7月4日,美国总统拜登下令启动全面的联邦调查。9日,拜登与普京进行了通话。通话后拜登告诉媒体:“我对他明确的表态,美国希望俄罗斯能够对它国境内的勒索软件组织立刻采取行动,即便这个组织不是由国家赞助的。美国可以为此提供充足的攻击者的信息。”拜登后来补充道:“如果普京不这样做,美国将关闭该组织的服务器”。

而据俄塔社报道,佩斯科夫当天表示,克里姆林宫对REvil从暗网中消失的原因并不知情。他强调,俄罗斯认为任何网络犯罪都是不可接受的。“俄罗斯和美国应该合作打击这一犯罪。不幸的是,我不掌握有关该团体的详细信息。但俄罗斯和美国已开始就打击网络犯罪进行双边磋商。”

业内“劳模”,酷爱“顶风作案”

7000万美元赎金,听上去是一个天文数字,但这不是REvil第一次狮子大开口了。

REvil也被称为Sodinokibi。由于勒索病代码源自曾经最大的RaaS运营商GandCrab的“Sodinokibi”病,REvil一直被视作GandCrab的“接班人”。

币情观察室 | BTC重回10000美金,追涨还是下车?:2月9日16:00,金色盘面邀请无人区、保罗大帝、荀森森、半木夏BTC、科十八、安迪ANDY、狙神、币圈仲达、我的暴富日记、CallmePope、比特章鱼、数字货币大空头、EOS君、区块掘金者、MXC抹茶副总裁Henry、百晓生说、LBank何伟、缠生论币、Abit交易所分析师James Li、大币网(Dcoin)首席分析师Paul、泰迪帮主、币业生等二十多位大咖做客金色财经《币情观察》,共同讨论《BTC重回10000美金,追涨还是下车?》,敬请关注!欲观看直播扫描下图二维码即可![2020/2/9]

“名师“出”高徒“。起点够高,REvil的胆子也更大。

因为从服务于全球影视娱乐巨星的律师事务所——GrubmanShireMeiselas&Sacks窃取了近1TB的信息,使REvil“一战成名”。自此之后,REvil的名字就与LadyGaga、埃尔顿·约翰、罗伯特·德尼罗和麦当娜等知名巨星紧紧联系在了一起。

2020年5月,REvil声称破译了其时美国总统唐纳德·特朗普旗下公司用于保护其数据的椭圆曲线密码术,并为他们盗窃的数据索要4200万美元的赎金。

打出名号之后,作为黑客界的“SuperStar”,REvil的犯案频率简直可以被评为业界“劳模”,仅2021年就凭借其每月至少一起的作案频率常年占据头版头条。

3月,REvil附属组织在网络上声称,他们已从跨国硬件和电子公司宏碁安装勒索软件并盗取大量数据,并为此索取5000万美元的赎金;3月,REvil攻击哈里斯联盟,并在其博客上发布了联盟的多份财务文件;4月,REvil窃取了广达电脑即将推出的苹果产品的计划,并威胁要公开发布这些计划,除非他们收到5000万美元作为赎金;5月,全球最大肉类供应商JBS受到REvil勒索软件的攻击,该公司不得不将所有美国牛肉工厂暂时关闭,并中断了家禽和猪肉工厂的运营。最终,JBS还是向REvil支付了1100万美元的比特币赎金;6月,全球再生能源巨擘Invenergy证实其作业系统遭到了勒索软件的攻击,REvil声称对此事负责。对REvil,各国政府也是深恶痛绝,多次下令进行严厉打击,美国尤甚。

在5月遭受REvil攻击,JBSFoods公司在美加工厂全部关停。而作为全球最大的牛肉和家禽生产商、全球第二大猪肉生产商,JBSFoods肩负着美国、澳大利亚、加拿大、英国等地业务肉食供应的大宗供应。美国加工厂的关停会直接导致至少美国境内短期的肉食产品供应短缺。

如果说经济和民生上短暂的波动还不足以撼动白宫的神经,那么国土安全就是头号大事了。

声音 | 南都观察:区块链可助力公益事业发展:南都观察发表博客文章《徐永光:解放互联网公益生产力》。文章提及,相比之互联网把公益融于商业的无心插柳,区块链则直接举起公益大旗或与公益组织结成联盟。公益公信力不高是社会痛点,如何让公益资金的流向保持自律互律,公开透明,不做假账,在公众监督中一目了然,是区块链应用的最佳场域,也是成本最低的技术开发测试场。当前,越来越多的互联网公司、数字交易平台、资金结算平台、互助保险平台、众筹平台,区块链公司借助公益筹款、公益资源配制流动或个人求助募款来做区块链技术开发的模拟,同时作为构建公益信用体系的“卖点”。[2019/1/4]

美国能源部的分包商与国家核安全局合作开发核武系统的SolOriens公司在6月遭遇勒索病攻击。经过比对,专家称“攻击来自REvil勒索软件”。

来源:https://threatpost.com/revil-hits-us-nuclear-weapons-contractor-sol-oriens/166858/

安全研究员称,SolOriens公司被入侵,可能来源于RDP服务被REvil弱口令爆破攻击。

攻击肉制品加工企业,会导致城市肉食供应受影响;而针对国防承包商的攻击活动,谁知道被攻击者拿走多少绝密文件呢?也无怪乎美国要对REvil“追着打”。

不过REvil有恃无恐,否则也不会7月仅仅过去两天,就迫不及待地对Kaseya出手了。

不过结局大家也已经知道了,现在REvil在暗网的网站和应用,都处于关停状态。

勒索犯“跑路”,被勒索的企业何去何从

黑客组织倾向于勒索比特币作为赎金。这其中最广为人知的,就是REvil要求Kaseya支付7000万美元比特币的这起案件。

事实上,比特币不是黑客组织的的唯一选择。REvil就曾经要求以门罗币Monero作为赎金。

一旦REvil恶意软件进入计算机系统,会加密所有受害者储存在终端的文件,然后留下一个包含赎金记录的文本文件。这个文本会引导受害者到Tor上的网站,等待下一步指示。

受害者门户网站将显示赎金要求,比如这个是价值50,000美元的门罗币。如果赎金未在特定时间范围内支付,赎金将翻倍至100,000美元。

受害者门户网站甚至还为这些被勒索的传统企业提供了有关可以在哪里购买门罗币,以及应该将其发送到哪里的说明:

该门户还允许受害者通过“聊天支持”选项卡直接与REvil交谈。在这里,受害者可以发起与REvil的对话,协商赎金。

如何能让受害者相信一个黑客组织?REvil简直不要太专业。

他们会提供一个试用功能,受害者可以提供几个加密文件,REvil解密后将文件返还,以此来确认受害者没有找错人,并证明他们确实有能力提供解密器。

难以想象的是,REvil居然“接受小刀”。受害者先是争取了20%的折扣,继而经过了一系列你来我往,最终同意支付25,000美元的赎金,在原价的基础上整整打了5折。

而且,REvil不强求受害者一定要用门罗币来支付,因为他们发现门罗币的知名度太差了,知道门罗币的受害者和支持门罗币流通的交易平台都太少。于是,如果受害者要求用比特币支付,REvil会同意。而且从Kaseya的案件中来看,REvil后期会直接索要比特币作为赎金。

一旦支付了赎金,受害者门户就会更新以提供对解密器的访问。

对于受害者来说,与REvil接触的过程已经全部完成,他们可以使用解密器工具重新获得对其文件的访问权限。这就是一套完整REvil索要赎金的过程。

那么在Kaseya事件中,有企业支付赎金吗?答案是:有。目前已经统计到的数据中,部分受害者向REvil支付了共计45,000美元的赎金。

勒索软件修复公司CriticalInsight信息安全官MikeHamilton表示,公司的一位不愿透露姓名的客户,就是为数不多的向REvil勒索软件组织支付赎金的Kaseya受害者之一。

而现在REvil突然关停,消失在茫茫网络中,支付赎金和未支付赎金的受害者们,又将何去何从?

MikeHamilton透露,用户找到了保险公司支付了赎金,也拿到了解密器,发现解密器并非对所有的被加密的文件都有效。这个时候却发现REvil的网站全部都下线了。

"They'regoingtoenduplosingalotofdataandthey'regoingtoendupspendingalotofmoneytocompletelyrebuildtheirnetworkfromscratch."

勒索软件专家AllanLiska认为,这是由于REvil的解密器管理混乱造成的。

Myguessishasshitdecryptorkeymanagementsotheymaynotknowwhichkeytogiveouttoeachinpidualvictim.

无论是否交付过赎金,摆在受害企业和个人面前的,都是被一堆被加密的文件,和消失的黑客。

当然,勒索软件修复相关的机构和企业都在积极地帮助那些日常未及时备份数据的受害企业,但并不是所有企业都能等得起,毕竟在商业游戏里,时间就是金钱。

最后

REvil“闭麦”,但人们的猜测还没有停下。

有些人认为REvil这一次是被永久关停,没有机会再复出,有些人相信这是美俄联合打击网络犯罪的国际合作成果,也有一些人,认为REvil只是全员休假,毕竟2021年的上半年他们高强度作案已经赚得盆满钵满,没有理由不在风声紧的时候去享受一下沙滩红酒的美妙人生。

虽然目前REvil不在江湖,但勒索软件组织和黑客组织还有很多。只要互联网依然存在,关于网络安全的攻防双方的对抗,就会始终存在。而各国也在加紧网络安全领域的联合协作工作。

前有境内141万名医生的个人信息和联系方式被盗取公开售卖,后有最大燃油管道运营商Colonial系统被入侵被迫关闭了整个管道系统,现在又添了肉类供应商JBS和办公网络服务商Kaseya被勒索的案件,美国的网络安全事件频发,拜登政府也开始着手研究通证在黑客攻击事件中的地位和作用。

6月,美国国家安全顾问AnneNeuberger在致商界领袖的一封信中表示,美国政府正在与国际伙伴合作,制定一致政策,以决定当遭遇黑客勒索时何时支付赎金以及如何追踪赎金去向。

而在本周二,美国参议院国土安全和政府事务委员会主席的美国参议员GaryPeters宣布,委员会正在对通证在最近的勒索软件攻击中的作用展开调查。调查将侧重于可确保美国人从这一新资产类别中受益,而不会面临勒索软件风险的通证法规。

白宫表示,在留意到近期发生的规模巨大的网络攻击之后,他们将把勒索软件攻击视同于恐怖主义。而一系列的这些行动都表明,美国政府对网络犯罪的态度,已经发生了重大的转变。毕竟在频繁的黑客攻击面前,已然很难通过传统外交和执法手段,来应对政企所面临的相关网络威胁。

黑客组织和网络犯罪的危害,从不局限于一国一地。这种新型的影响巨大的犯罪形式,正在挑战着疫情过去后全球复苏的经济社会生活。电子证据的跨国调取、对跨国网络犯罪的域外管辖、网络犯罪的预防等等议题,都将是接下来各国将共同努力的方向。

REvil是所有勒索软件团伙中最多产、最令人恐惧的团伙之一。如果Kaseya事件真的是这个组织的最后一次作案,一定会为今年愈演愈烈的勒索软件威胁趋势,带来些新的反思和思考。

标签:REVEVIEVILKASrev币价格Shiba EvilEVILSQUID币BKASPA

币安币热门资讯
区块链:区块链初创公司BlockCrushr撤销指控ConsenSys窃取其IP的诉讼_bloc币发行量

据Cointelegraph7月29日消息,加拿大区块链初创公司BlockCrushr已同意撤销针对专注于以太坊的软件工程公司ConsenSys的知识产权(IP)诉讼.

1900/1/1 0:00:00
比特币:哪些PoW币最容易受到51%攻击?_LANA

在比特币发明之前,也曾出现过多个数字货币的实验性项目,不过他们全都失败了。DigiCash于1996年申请破产,E-gold在2008年被美国政府叫停,还有其他一些不知名的项目在默默无闻中消亡.

1900/1/1 0:00:00
区块链:华为区块链张小军:区块链须有技术联合体,将以四大领域为主流应用方向丨2021世界区块链大会_IOT

7月24日,2021世界区块链大会·杭州正式开幕。本次大会由杭州时戳信息科技有限公司主办。华为区块链首席战略官张小军,发表主题演讲《华为链,链未来》.

1900/1/1 0:00:00
比特币:数据:以太坊伦敦升级完成后6日内燃烧超过2.7万ETH,价值8800多万美元_以太坊

巴比特讯,根据etherchain以及ultrasound.money数据显示,自8月5日20:33以太坊伦敦升级后,截至8月11日20:33已经有27271枚ETH被烧毁.

1900/1/1 0:00:00
SUB:SubGame发起人兼CEO王庆进:创建良好的商业模式对区块链游戏设计至关重要丨2021世界区块链大会_Froyo Games

巴比特讯,7月25日,“2021世界区块链大会·杭州”在杭州未来科技城学术交流中心举行。本次大会由杭州时戳信息科技有限公司主办.

1900/1/1 0:00:00
区块链:莫晓康:没有隐私计算,区块链这个美丽的梦想就不能落地丨2021世界区块链大会_ELOC币

7月24日,2021世界区块链大会·杭州正式开幕。本次大会由杭州时戳信息科技有限公司主办,杭州未来科技城管委会等机构支持.

1900/1/1 0:00:00