近期台湾大型企业接连传出遭REvil攻击，该勒索软件背景与特性为何？TeamT5彻底剖析最新消息

REvil勒索软件采勒索软件即服务RaaS方式经营，TeamT5杜浦数位安全首席执行官蔡松廷指出，背后主事者会征求执行攻击的合作伙伴（Affiliates），并拒绝与讲英语的网络犯罪分子合作。

今年上半年，台湾大型科技业者接连传出遭遇勒索软件攻击，并被骇客要求支付高额赎金，在3月下旬到4月下旬期间，已曝光的业者就包括：台湾电脑大厂宏碁，封测大厂日月光集团旗下孙公司Asteelflash Group，以及笔电代工大厂广达。

而这三起事件的共通点，背后都是同一骇客组织所为，其中日月光集团孙公司事发后已公布调查结果，是遭REvil勒索软件攻击，至于宏碁与广达的事件，他们虽没有说明是哪支勒索软件，但有不少资安专家都明确指出：应是遭到REvil勒索软件攻击。

到底这个REvil的身份与来历是什么？在今年台湾资安大会上，长期追踪研究骇客活动的TeamT5杜浦数位安全首席执行官蔡松廷，特别针对REvil的背景，将目前已经曝光的资讯做出全面统整，透过对此犯罪组织的侧写与描述，帮助台湾资安界对REvil背后的攻击族群，能有更全面的了解。

关于REvil这支勒索软件，虽然今年才深受台湾企业重视，但在国际上已经相当猖獗。它还有另一个名称Sodinokibi，近两年，我们也常在国际上的资安重大事件中，看到相关消息，甚至有一家专门处理勒索软件的业者Coveware，在之前的观察报告就指出，Sodinokibi在2019年第四季曾一跃成为最猖獗的勒索软件。

REvil在国际上早已出现许多勒索攻击事件，蔡松廷举出几个知名案例。在2019年6月，就曾针对服务供应商发动攻击，以及美国佛罗里达两个-单位被加密；在2019年8月，美国德州数过机关单位遭骇，还有牙科诊所的资讯服务业者遇难；在2020年1月，伦敦外汇交易公司Travlex遭骇；在2020年5月，美国纽约知名法律事务所遭骇。

近期REvil的攻击对象，还包括2020年6月，阿根廷的电信公司，以及2021年1月，东南亚连锁零售Dairy Farm。

（图片来源：TeamT5）

幕后攻击者来自俄罗斯，是GandCrab的后继者

勒索软件Revil的幕后主使者是谁？蔡松廷表示，目前这批藏镜人的身份仍然不明，但大家公认他们是来自俄罗斯，而这个背后组织被称为Gold Southfield，或Pinchy Spider。

在锁定的目标上，Revil勒索软件一开始都是攻击美国企业，现在也是如此。蔡松廷表示，据他们所知，有许多未曝光于媒体的受害者，也几乎都是美国相关的企业，尽管近期REvil也会攻击欧洲、亚洲地区，但他们就是不会攻击俄罗斯，或者是前苏联相关国家。

不仅如此，他们还拒绝与讲英语的网络犯罪分子合作，因此，要跟他们联手攻击的人员一定要会讲俄语。

关于REvil在近年的窜起，其实与稍早之前恶名昭彰的GandCrab有关。

曾被称为史上最赚钱的勒索软件GandCrab，在2019年6月收山，而Revil出现的时间，是在2019年4月，而在当时，就有资安专家认为REvil是GandCrab的分支，到了后来，在一个访问到REvil勒索软件作者的报导中，受访者表示，他们买下了GandCrab架构、程式码，另起炉灶继续维护经营。

不只攻击美国企业，专门锁定付赎金概率大的企业攻击

至于这个攻击族群有哪些特性？从REvil过去的攻击目标来看，锁定的产业领域很广，不过，这些目标仍有共通点──REvil被认为是目前最获利的勒索软件之一，最大原因在于，他们锁定的目标都是有钱的企业，并且是锁定有高概率付款的企业。

以上述攻击事件而言，就是最好的例子。蔡松廷说，像是最早他们勒索美国佛罗里达两个-单位时，通常-单位不愿意付款，然而，该次-付赎金的消息也被媒体披露，还有像是伦敦外汇交易公司Travlex遇害，最后也是付赎金解决。

其他事件也闹得很大，而这也成为这个骇客组织的杀手锏。因为REvil除了勒索加密，骇客还会用公布资料的方式，来逼迫受害企业解决问题，或是影响企业商誉。

例如，他们在暗网经营了一个Happy Blog部落格。在加密勒索之外，也会在这个网站释出部分窃取自目标企业的资料，证明他们已经窃取相关内容，而网站上贩售的这些资料也会有期限与价格，一旦超过期限，他们表示将会公开资料。

举例来说，身受REvil危害的纽约知名法律事务所，由于其客户包含川普、Lady Gaga等众多名人，骇客先公布了2.4GB的Lady Gaga法律文件来施压，虽然这起事件是否付赎金，并没有确定的答案，但他认为，依照后来的状况推测，研判双方有可能达成一些交易。

再从近期台湾发生的勒索软件攻击事故来看，遭勒索5千万美元的宏碁已明确表示不会付款之外，广达也因为没有付赎金，遭到骇客借由公布他们客户苹果公司的产品设计图，此举等于也向苹果公司施压，由于后续公布的资料已经被攻击者撤下来，在5月初当时，此事可能还在处理中，最终结果尚无法知晓。

因此，关于这个骇客族群的特性该如何解读，蔡松廷强调，REvil对于攻击目标的事前调查做得相当仔细，知道谁可能愿意付赎金，而这些受害单位付赎金的比例也是比较高。

REvil是否还有其他要胁目标的方式？答案是肯定的，TeamT5观察到这群骇客还会拨电话给合作伙伴、客户与媒体，透过语音留言，让受害企业商誉不断受影响。那么，对于有些勒索攻击搭配DDoS来进行要胁的作法，他们会使用吗？据REvil作者表示，并不那么有效。

这群骇客在暗网设了名为Happy Blog的部落格，当中会公布窃取的资料，用以再勒索遭加密但不愿付赎金的企业，这些资料也会有贩售期限与价格。

采用RaaS模式，在多起重大事件，都滥用N-day漏洞

与许多勒索软件集团一样，REvil目前所采取的营运模式，正是所谓的“勒索软件即服务（RaaS）”。

蔡松廷表示，这群幕后藏镜人始终保持神秘，他们会在暗网上征求合作伙伴，经过线上接触，认为对方可信任之后，才能成为同伙，而这些合作伙伴，在RaaS模式中，通常被称为Affiliates，也就是可以替他们执行攻击的打手。

简单来说，集团背后的主事者只负责勒索软件的开发与维护，并建立赎金支付的金流架构，而实际的攻击发动，则是由这些合作伙伴来进行，也等于让无法自行开发勒索软件的网络犯罪分子，可以透过他们的服务并发动勒索软件攻击。

因此，在这样的运作架构之下，一旦勒索成功，REvil收到付来的赎金后，将先抽取25%到40%的赎金，再将其余75%到60%的赎金，分给执行该次攻击的合作伙伴。这些合作伙伴抽成之所以比较高，原因很简单，就是他们面对的风险较大，而对于幕后集团而言，即使前面某一个合作伙伴被抓，REvil还是可以继续攻击。

蔡松廷指出，在这种RaaS的分散式营运模式下，也造成整个攻击族群的手法不太一样，不像一般APT攻击族群有较固定的特性。

（图片来源：TeamT5）

至于REvil的规模有多大？蔡松廷表示，根据REvil作者描述，他们最多曾经有80个合作伙伴，其中有些属于攻击技术很强又很活跃的人士，也不怕其他勒索软件即服务的竞争，甚至有些合作伙伴与其他RaaS合作后，又回锅与他们一起策画与发动攻击。

从REvil过去的攻击手法来看，包括透过RDP猜密码的方式，以及寄送钓鱼邮件的方式入侵，这些无数资安厂商与专家已经多次提醒、要大家注意的问题，对于骇客而言，却还是非常有效的勒索软件渗透管道。蔡松廷举例，像是假冒DHL通知信，邮件附档的虽然是Word图示，但档案名称是DHL海关申报单.doc.exe，都明显有问题，但仍是攻击者持续采用的渗透手段。

而就更高级、进阶的手法而言，REvil也很擅长利用N-day漏洞攻击。而所谓的N-Day漏洞攻击，是指厂商及开发人员刚针对漏洞提供修补更新，由于骇客手上有勒索软件，又有现成的漏洞，此时他们若迅速研究漏洞或出现PoC攻击程式时，可随即利用，接着趁目标企业还没修补的空窗期，发动攻击。

在过去发生的多起攻击事件中，Revil多次利用不同N-day漏洞攻击，像是2019年攻击MSP供应商，就是利用Oracle WebLogic刚被修补的漏洞入侵，而今年宏碁传出遭骇事件之后，有些资安专家研判此次攻击，可能就是利用Exchange甫修补的ProxyLogon漏洞入侵。