
REvil勒索软件采勒索软件即服务RaaS方式经营,TeamT5杜浦数位安全首席执行官蔡松廷指出,背后主事者会征求执行攻击的合作伙伴(Affiliates),并拒绝与讲英语的网络犯罪分子合作。
今年上半年,台湾大型科技业者接连传出遭遇勒索软件攻击,并被骇客要求支付高额赎金,在3月下旬到4月下旬期间,已曝光的业者就包括:台湾电脑大厂宏碁,封测大厂日月光集团旗下孙公司Asteelflash Group,以及笔电代工大厂广达。
而这三起事件的共通点,背后都是同一骇客组织所为,其中日月光集团孙公司事发后已公布调查结果,是遭REvil勒索软件攻击,至于宏碁与广达的事件,他们虽没有说明是哪支勒索软件,但有不少资安专家都明确指出:应是遭到REvil勒索软件攻击。
到底这个REvil的身份与来历是什么?在今年台湾资安大会上,长期追踪研究骇客活动的TeamT5杜浦数位安全首席执行官蔡松廷,特别针对REvil的背景,将目前已经曝光的资讯做出全面统整,透过对此犯罪组织的侧写与描述,帮助台湾资安界对REvil背后的攻击族群,能有更全面的了解。
关于REvil这支勒索软件,虽然今年才深受台湾企业重视,但在国际上已经相当猖獗。它还有另一个名称Sodinokibi,近两年,我们也常在国际上的资安重大事件中,看到相关消息,甚至有一家专门处理勒索软件的业者Coveware,在之前的观察报告就指出,Sodinokibi在2019年第四季曾一跃成为最猖獗的勒索软件。
REvil在国际上早已出现许多勒索攻击事件,蔡松廷举出几个知名案例。在2019年6月,就曾针对服务供应商发动攻击,以及美国佛罗里达两个-单位被加密;在2019年8月,美国德州数过机关单位遭骇,还有牙科诊所的资讯服务业者遇难;在2020年1月,伦敦外汇交易公司Travlex遭骇;在2020年5月,美国纽约知名法律事务所遭骇。
近期REvil的攻击对象,还包括2020年6月,阿根廷的电信公司,以及2021年1月,东南亚连锁零售Dairy Farm。
(图片来源:TeamT5)
幕后攻击者来自俄罗斯,是GandCrab的后继者
勒索软件Revil的幕后主使者是谁?蔡松廷表示,目前这批藏镜人的身份仍然不明,但大家公认他们是来自俄罗斯,而这个背后组织被称为Gold Southfield,或Pinchy Spider。
在锁定的目标上,Revil勒索软件一开始都是攻击美国企业,现在也是如此。蔡松廷表示,据他们所知,有许多未曝光于媒体的受害者,也几乎都是美国相关的企业,尽管近期REvil也会攻击欧洲、亚洲地区,但他们就是不会攻击俄罗斯,或者是前苏联相关国家。
不仅如此,他们还拒绝与讲英语的网络犯罪分子合作,因此,要跟他们联手攻击的人员一定要会讲俄语。
关于REvil在近年的窜起,其实与稍早之前恶名昭彰的GandCrab有关。
曾被称为史上最赚钱的勒索软件GandCrab,在2019年6月收山,而Revil出现的时间,是在2019年4月,而在当时,就有资安专家认为REvil是GandCrab的分支,到了后来,在一个访问到REvil勒索软件作者的报导中,受访者表示,他们买下了GandCrab架构、程式码,另起炉灶继续维护经营。
不只攻击美国企业,专门锁定付赎金概率大的企业攻击
至于这个攻击族群有哪些特性?从REvil过去的攻击目标来看,锁定的产业领域很广,不过,这些目标仍有共通点──REvil被认为是目前最获利的勒索软件之一,最大原因在于,他们锁定的目标都是有钱的企业,并且是锁定有高概率付款的企业。
以上述攻击事件而言,就是最好的例子。蔡松廷说,像是最早他们勒索美国佛罗里达两个-单位时,通常-单位不愿意付款,然而,该次-付赎金的消息也被媒体披露,还有像是伦敦外汇交易公司Travlex遇害,最后也是付赎金解决。
其他事件也闹得很大,而这也成为这个骇客组织的杀手锏。因为REvil除了勒索加密,骇客还会用公布资料的方式,来逼迫受害企业解决问题,或是影响企业商誉。
例如,他们在暗网经营了一个Happy Blog部落格。在加密勒索之外,也会在这个网站释出部分窃取自目标企业的资料,证明他们已经窃取相关内容,而网站上贩售的这些资料也会有期限与价格,一旦超过期限,他们表示将会公开资料。
举例来说,身受REvil危害的纽约知名法律事务所,由于其客户包含川普、Lady Gaga等众多名人,骇客先公布了2.4GB的Lady Gaga法律文件来施压,虽然这起事件是否付赎金,并没有确定的答案,但他认为,依照后来的状况推测,研判双方有可能达成一些交易。
再从近期台湾发生的勒索软件攻击事故来看,遭勒索5千万美元的宏碁已明确表示不会付款之外,广达也因为没有付赎金,遭到骇客借由公布他们客户苹果公司的产品设计图,此举等于也向苹果公司施压,由于后续公布的资料已经被攻击者撤下来,在5月初当时,此事可能还在处理中,最终结果尚无法知晓。
因此,关于这个骇客族群的特性该如何解读,蔡松廷强调,REvil对于攻击目标的事前调查做得相当仔细,知道谁可能愿意付赎金,而这些受害单位付赎金的比例也是比较高。
REvil是否还有其他要胁目标的方式?答案是肯定的,TeamT5观察到这群骇客还会拨电话给合作伙伴、客户与媒体,透过语音留言,让受害企业商誉不断受影响。那么,对于有些勒索攻击搭配DDoS来进行要胁的作法,他们会使用吗?据REvil作者表示,并不那么有效。
这群骇客在暗网设了名为Happy Blog的部落格,当中会公布窃取的资料,用以再勒索遭加密但不愿付赎金的企业,这些资料也会有贩售期限与价格。
采用RaaS模式,在多起重大事件,都滥用N-day漏洞
与许多勒索软件集团一样,REvil目前所采取的营运模式,正是所谓的“勒索软件即服务(RaaS)”。
蔡松廷表示,这群幕后藏镜人始终保持神秘,他们会在暗网上征求合作伙伴,经过线上接触,认为对方可信任之后,才能成为同伙,而这些合作伙伴,在RaaS模式中,通常被称为Affiliates,也就是可以替他们执行攻击的打手。
简单来说,集团背后的主事者只负责勒索软件的开发与维护,并建立赎金支付的金流架构,而实际的攻击发动,则是由这些合作伙伴来进行,也等于让无法自行开发勒索软件的网络犯罪分子,可以透过他们的服务并发动勒索软件攻击。
因此,在这样的运作架构之下,一旦勒索成功,REvil收到付来的赎金后,将先抽取25%到40%的赎金,再将其余75%到60%的赎金,分给执行该次攻击的合作伙伴。这些合作伙伴抽成之所以比较高,原因很简单,就是他们面对的风险较大,而对于幕后集团而言,即使前面某一个合作伙伴被抓,REvil还是可以继续攻击。
蔡松廷指出,在这种RaaS的分散式营运模式下,也造成整个攻击族群的手法不太一样,不像一般APT攻击族群有较固定的特性。
(图片来源:TeamT5)
至于REvil的规模有多大?蔡松廷表示,根据REvil作者描述,他们最多曾经有80个合作伙伴,其中有些属于攻击技术很强又很活跃的人士,也不怕其他勒索软件即服务的竞争,甚至有些合作伙伴与其他RaaS合作后,又回锅与他们一起策画与发动攻击。
从REvil过去的攻击手法来看,包括透过RDP猜密码的方式,以及寄送钓鱼邮件的方式入侵,这些无数资安厂商与专家已经多次提醒、要大家注意的问题,对于骇客而言,却还是非常有效的勒索软件渗透管道。蔡松廷举例,像是假冒DHL通知信,邮件附档的虽然是Word图示,但档案名称是DHL海关申报单.doc.exe,都明显有问题,但仍是攻击者持续采用的渗透手段。
而就更高级、进阶的手法而言,REvil也很擅长利用N-day漏洞攻击。而所谓的N-Day漏洞攻击,是指厂商及开发人员刚针对漏洞提供修补更新,由于骇客手上有勒索软件,又有现成的漏洞,此时他们若迅速研究漏洞或出现PoC攻击程式时,可随即利用,接着趁目标企业还没修补的空窗期,发动攻击。
在过去发生的多起攻击事件中,Revil多次利用不同N-day漏洞攻击,像是2019年攻击MSP供应商,就是利用Oracle WebLogic刚被修补的漏洞入侵,而今年宏碁传出遭骇事件之后,有些资安专家研判此次攻击,可能就是利用Exchange甫修补的ProxyLogon漏洞入侵。
遭遇REvil勒索软件的受害者,可从对方在电脑上留下的文字档得到勒索讯息。受害者需下载Tor浏览器,连至暗网的一个网址后,之后将看到具体勒索画面(如图中内容所示),而这里也会显示受害者仍可支付赎金的时间,一旦超过期限,金额将会翻倍,以及赎金使用的货币是暗网常用的门罗币(XMR)。
相关文章
YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作2023-12-27 18:34:43
刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人2023-09-26 21:55:08
WebOS新系统:Palm Pre手机最新款高价登港2023-06-23 15:39:14
帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应2023-06-22 09:36:10
蔚来全系产品降价3万 取消免费换电 换一次电池180元2023-06-12 17:27:49
电商平台三巨头开打最大规模折扣 价格战再次打响2023-03-05 18:58:40
爱立信节省成本裁员四千人 爱立信全球员工总数五分之一2023-02-24 22:27:29
蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭2023-02-23 16:18:14
联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出2023-02-18 12:45:25
蓝色光标2022营收亏损18亿 客户预算减少明显2023-02-18 12:40:08
三星工厂或将80%生产转至越南 因本地劳动力成本上升2023-02-17 23:09:16
香港八达通卡如何激活?没用失效过期余额怎么办2023-02-17 18:34:51
中兴通讯被曝将裁员20% 称只裁国外的2023-02-17 18:33:26
苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出2023-02-17 16:57:22
突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌2023-02-16 14:31:19
三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?2023-02-14 00:53:17
Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要2023-02-14 00:32:08
谷歌google计划重返进入中国市场?但结果可能令你失望2023-02-13 16:57:15
Zoom紧急裁员1300人 佔员工总数15%2023-02-08 14:59:11
最新资讯
炒港股要补交多少税?我也接到催交补税特别行动的电话了2025-07-23 17:36:43
淘宝天猫仅退款属于诈骗吗?淘宝天猫开始部分取消仅退款2024-10-01 13:01:28
哈啰app借钱|哈啰借钱app下载安装免费小小上当和电话骚扰2024-10-01 11:22:38
白嫖党|山西大同大学学生网购申请“仅退款”被拒骂客服一小时2024-09-27 09:10:44
北大数学教授袁新意《姜萍事件的疑点分析》点评姜萍板书 阿里巴巴竞赛受质疑2024-06-28 10:07:40
手机
中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09
科大讯飞同传同声翻译软件造假 浮夸不能只罚酒三杯2023-02-17 18:46:15