本文经AI新媒体量子位(微信官方账号)ID:QbitAI)请联系出处授权转载。
9个月内,186家知名公司被打破。
不乏美国核武器承包商、苹果供应商、日本富士等行业巨头,被勒索数千万美元。
这不是抢劫吗?
是的,有这样一个黑客组织,他们靠着“不给钱就公开你的信息”网上打家劫舍的手段。
仅2020年一年就成功进入账户1亿美元。
从2019年“出道”到目前为止,两年迅速成为世界第二近300个大黑客组织受到攻击。
最可怕的是,没有人能阻止他们。
如果不幸被他们选中,只能选两个字:给钱。
就连无法无天的特朗普也曾被他们勒索4200万美元。
这……究竟是“何方神圣”啊?
特朗普对他无能为力
俄罗斯黑客组织备受争议:REvil。
去年5月,正忙于大选的特朗普先生不幸被选中REvil选中为“盘中餐”。
他们声称自己已经从美国著名律师事务所开始Grubman Shire Meiselas&Sacks(GSM)偷了服务器756GB的数据。
并威胁说,如果特朗普一周内不支付4200万美元(相当于人民币)2.71亿元的赎金将泄露所有这些数据。
这么小的手段,能搞定特朗普吗?
川普还在Twitter上取笑REvil是虚张声势:他们手里什么都没有。
但他立刻尝到了被威胁的滋味:
2020年5月17日,REvil公开了169封邮件与特朗普有关。
他们还声称数据已经在暗网上卖给买方,但对方只有副本。
而且因为黑客在暗网上发布消息,FBI也跟不上他们。
这一时期的REvil就像掌握了“财富密码”一般来说,他们可能会觉得从名人那里偷数据和要钱更容易。
因此,在同一个月,威胁仍然存在Lady Gaga和麦当娜等名人。
后来,一切都结束了。
但其成员曾提到,2020年该组织的收入是有的1亿美元,不知道暗示了什么。
事实上,截止目前REvil攻击已近300家组织。
仅在今年就“战绩斐然”。
3月,REvil宣布已入侵盗窃宏碁(acer)数据;
4月苹果新产品即将发布,收到REvil威胁:掌握新产品设计图纸;
5美国核武器承包商Sol Oriens公司遭遇REvil勒索病毒攻击、业务数据和员工信息被盗;
同月,日本富士胶片遭遇痛苦REvil袭击迫使公司关闭部分网络和外部连接;世界上最大的肉制品供应商JBS在其勒索下,美国所有工厂一度关闭;
6美国能源公司月Invenergy报告自己遭到了勒索软件攻击,REvil表示对此负责。
有人曾统计过,从去年10月到今年6月,REvil就发起了186次勒索。
从之前的统计数据来看,REvil它是世界上第二大黑客组织。
△截至今年6月前
就在最近,他们又做了一个大新闻:
攻击供应链,REvil短短一天,全球就被造成了1000多该公司遭到袭击。
许多企业受到影响,从大型连锁超市、药店到铁路部门。
瑞典大型连锁超市Coop受此影响,全国约800家门店甚至不得不关闭。
这甚至让美国总统拜登紧急下令FBI调查此事。
攻击供应链群体
会造成如此大的伤害,因为REvil管理软件服务提供商攻击Kaseya。
欧美很多中小企业都在用Kaseya提供的软件。
因为无法自己组建IT他们的管理软件来自部门Kaseya公司,而黑客把将官网提供的软件全部换成了勒索病毒。
突然,全部使用Kaseya所有软件公司都暴露在风险之中。
REvil病毒通过软件官网或官方包管理工具传播。
黑客将伪装文件放入更新分发的文件中c:\kworking然后在文件夹中启动PowerShell禁止微软的命令Defender功能。
然后,恶意软件将合法使用Windows certutil.exe解码文件夹中的命令agent.crt并将 文件agent.exe将文件压缩到同一文件夹中,然后启动加密过程。
agent.exe包括嵌入“MsMpEng.exe”和“mpsvc.dll”,后者是REvil加密器,而前者是微软Defender旧版本的可执行文件。
因此,一旦用户将agent.exe当下载到本地时,将开始解压和加密数据。
所以Kaseya成为病毒分发的中心。
目前,为防止危害继续扩大,Kaseya必须警告用户:请关掉你们的服务器。
被感染的用户就没那么幸运了。黑客开始向狮子要求500万美元的赎金来恢复数据。如果超过规定时间,赎金将翻倍。
然而,这是被勒索病毒加密的数据公司的赎金。如果只是网络受到影响,被勒索的赎金就会少得多,大约4.5万美元。
根据安全人员在暗网上收集的消息,黑客的总赎金要求已达7000万美元。
应该有14家企业数据受到影响。但严重的是,更多没有感染的企业只能选择关闭服务器。
这群黑客来自俄罗斯吗?事实上,美国不知道他们是什么样的人。
但是美国发现了REvil它似乎从不攻击俄罗斯和其他前苏联国家,所以有理由相信这是一个来自俄罗斯的黑客组织。
REvil谁也是谁?
REvil全称Ransomware Evil,一群专门依赖勒索软件的软件“打家劫舍”黑客组织。
自2019年以来,犯罪数不胜数。
而且他们的行为很招摇。每次恶意攻击后,他们都会在自己的主页上Happy Blog勒索金额金额。
仅在今年,REvil也有六次犯罪记录。
从信托公司、网络安全公司到窃取苹果新产品信息,攻击世界上最大的肉类加工厂,事情也一次又一次地闹得很大,REvil每次都赚盆满钵满。
值得一提的是,REvil以及之前从事美国燃油管道运输管理系统瘫痪的人Darkside似乎有千丝万缕的关系。
首先,他们都是“俄罗斯人不打俄罗斯人”,不攻击俄罗斯或前苏联国家。
其次,他们使用的勒索软件代码、赎金票据和文件加密扩展名称非常相似,以同样的方式排除独联体国家。
Flashpoint研究人员此前表示,Darkside很可能是REvil分支或团伙。
