量子位 发表于 2021-7-6 01:29:13

正让美国难以招架的俄罗斯黑客,靠勒索年收入过亿,特朗普、苹果都中过招

<p style="margin:20px 0px">9 个月内,<strong>186 家</strong>知名公司被攻破。</p><p style="margin:20px 0px">其中不乏美国核武器承包商、苹果供应商、日本富士等等行业巨头,被勒索金额动辄几千万美元。</p><p style="margin:20px 0px">这不就是打劫?</p><p style="margin:20px 0px">对,就有这样一个<strong>黑客组织</strong>,他们靠着 " 不给钱就公开你信息 " 的手段在网络上打家劫舍。</p><p style="margin:20px 0px">仅在 2020 年一年内就成功进账<strong>1 亿</strong>美元。</p><p style="margin:20px 0px">从 2019 年 " 出道 " 至今,两年迅速成为<strong>世界第二</strong>大黑客组织,近 300 家组织曾被攻击。</p><p style="margin:20px 0px">最可怕的是,目前还没有人能够阻止他们。</p><p style="margin:20px 0px">如果不幸被他们选中了,那能选择的只有两个字:<strong>给钱</strong>。</p><p style="margin:20px 0px">就连无法无天的特朗普,也一度被他们勒索 4200 万美元。</p><p style="margin:20px 0px">这……究竟是 " 何方神圣 " 啊?</p><p style="margin:20px 0px"><b>特朗普都拿他没辙</b></p><p style="margin:20px 0px">它就是备受争议的俄罗斯黑客组织:<strong>REvil</strong>。</p><p style="margin:20px 0px">去年 5 月,正在为大选忙得焦头烂额的特朗普先生,就不幸被 REvil 选中为 " 盘中餐 "。</p><p style="margin:20px 0px">他们声称已经从知名美国律师事务 Grubman Shire Meiselas&Sacks(GSM)服务器中窃取了<strong>756GB</strong>的数据。</p><p style="margin:20px 0px">并扬言:如果特朗普一星期内不支付 4200 万美元(折合人民币 2.7 亿元)的赎金,就会把这些数据通通泄露出去。</p><p style="margin:20px 0px">这样的小手段,能搞得定特朗普?</p><p style="margin:20px 0px">川普还在 Twitter 上取笑 REvil 是虚张声势:他们其实手里没有任何东西。</p><p style="margin:20px 0px">不过他马上尝到了被威胁的滋味:</p><p style="margin:20px 0px">2020 年 5 月 17 日,REvil 公开了<strong>169</strong><strong>封</strong>与特朗普有关的邮件。</p><p style="margin:20px 0px">他们还声称已经在暗网上将数据出售给了买方,不过对方只有副本。</p><p style="margin:20px 0px">而且由于黑客是在暗网上发布消息,所以 FBI 也追踪不到他们。</p><p style="margin:20px 0px">这一时期的 REvil 就像掌握了 " 财富密码 " 一般,可能他们感觉到从名人那里偷数据要简单、要钱更容易。</p><p style="margin:20px 0px">所以在同月,受到威胁的还有<strong>Lady Gaga</strong>和<strong>麦当娜</strong>等名人。</p><p style="margin:20px 0px">后来,事情都不了了之。</p><p style="margin:20px 0px">但是其成员曾提到过,2020 年该组织的进账有<strong>1 亿美元</strong>,不知道是不是暗示了什么。</p><p style="margin:20px 0px">事实上,截止目前 REvil 已经攻击了近<strong>300 家</strong>组织。</p><p style="margin:20px 0px">仅在今年就 " 战绩斐然 "。</p><p style="margin:20px 0px">3 月,REvil 宣布已入侵窃取宏碁(acer)数据;</p><p style="margin:20px 0px">4 月苹果新产品发布在即,收到 REvil 威胁:已掌握新产品设计图;</p><p style="margin:20px 0px">5 月,美国核武器承包商 Sol Oriens 公司遭遇 REvil 勒索病毒攻击,业务数据及员工信息被窃取;</p><p style="margin:20px 0px">同月,日本富士胶片因遭 REvil 袭击,被迫关闭公司部分网络及对外连接;全球最大肉制品供应商 JBS 在其勒索下,一度关闭美国所有工厂;</p><p style="margin:20px 0px">6 月,美国能源公司 Invenergy 报告自己遭到了勒索软件攻击,REvil 表示对此负责。</p><p style="margin:20px 0px">有人曾统计过,从去年 10 月到今年 6 月,REvil 就发起了<strong>186 次</strong>勒索。</p><p style="margin:20px 0px">从此前统计数据看,REvil 已经是目前世界上第二大黑客组织。</p><p style="margin:20px 0px"><strong>△</strong>数据截止今年 6 月前</p><p style="margin:20px 0px">就在最近,他们又搞出了个大新闻:</p><p style="margin:20px 0px">通过攻击供应链,REvil 在短短 1 天时间内造成了全球<strong>1000 多</strong>家公司被袭击。</p><p style="margin:20px 0px">从大型连锁超市、药店到铁路部门等,众多企业都被波及。</p><p style="margin:20px 0px">瑞典大型连锁超市 Coop 受此影响,甚至不得不关闭了全国约 800 家门店。</p><p style="margin:20px 0px">这甚至让美国总统拜登紧急下令,指示 FBI 调查此事。</p><p style="margin:20px 0px"><b>从供应链群体攻击</b></p><p style="margin:20px 0px">能够造成如此大的危害,是因为 REvil 袭击了一家管理软件服务商<strong>Kaseya</strong>。</p><p style="margin:20px 0px">欧美许多中小企业都在用 Kaseya 提供的软件。</p><p style="margin:20px 0px">因为无力自己组建 IT 部门,他们的管理软件都来自 Kaseya 公司,而黑客把将官网提供的软件全部换成了勒索病毒。</p><p style="margin:20px 0px">一下子,所有使用 Kaseya 软件的公司都暴露在风险之中。</p><p style="margin:20px 0px">REvil 通过软件官网或官方包管理工具传播病毒。</p><p style="margin:20px 0px">黑客将伪装的文件放入用于更新分发的 c:kworking 文件夹中,然后启动 PowerShell 命令禁用微软 Defender 功能。</p><p style="margin:20px 0px">然后,恶意软件将使用合法的 Windows certutil.exe 命令解码文件夹中的 agent.crt 文件,并将 agent.exe 文件解压缩到同一文件夹,然后启动加密过程。</p><p style="margin:20px 0px">agent.exe 中包括嵌入的 "MsMpEng.exe" 和 "mpsvc.dll",后者是 REvil 加密器,而前者是微软 Defender 可执行文件的旧版。</p><p style="margin:20px 0px">所以,用户一旦将 agent.exe 下载到本地,就会开始解压运行,并加密数据。</p><p style="margin:20px 0px">所以 Kaseya 就成了分发病毒的中心。</p><p style="margin:20px 0px">目前,为了防止危害继续扩大,Kaseya 不得不警告用户:<strong>请关掉你们的服务器。</strong></p><p style="margin:20px 0px">那些已经受感染的用户就没那么幸运了,黑客开始狮子大开口,向他们索要 500 万美元的赎金来恢复数据,若超过规定时间,赎金将翻倍。</p><p style="margin:20px 0px">不过,这是数据已经被勒索病毒加密的公司的赎金,如果只是网络受到影响,被勒索的赎金要少得多,约 4.5 万美元。</p><p style="margin:20px 0px">根据安全人员在暗网上收集到的消息,黑客的总赎金要求已经达到了 7000 万美元。</p><p style="margin:20px 0px">以此计算应该有 14 家企业数据遭殃。但严重的是,有更多没被感染的企业只能选择关停服务器。</p><p style="margin:20px 0px">这群黑客是来自俄罗斯的吗?其实美国也不知道他们是怎样一群人。</p><p style="margin:20px 0px">但是美国发现 REvil 似乎从不攻击俄罗斯和其他前苏联国家,因此有理由相信这是一个来自俄罗斯的黑客组织。</p><p style="margin:20px 0px"><b>REvil 究竟何许人也?</b></p><p style="margin:20px 0px">REvil 全称 Ransomware Evil,是一群专门靠勒索软件 " 打家劫舍 " 的黑客组织。</p><p style="margin:20px 0px">从 2019 年出现至今犯案无数。</p><p style="margin:20px 0px">而且他们的行径非常招摇,每次恶意攻击后,他们都会在自己的主页<strong>Happy Blog</strong>上发布勒索金额。</p><p style="margin:20px 0px">仅在今年,REvil 也已经有了 6 次犯案记录。</p><p style="margin:20px 0px">事情也一次比一次闹得大,从信托公司、网络安全公司,到窃取苹果新产品信息、攻击世界上最大的肉类加工厂,REvil 每一次都赚得盆满钵满。</p><p style="margin:20px 0px">值得一提的是,REvil 和此前搞瘫美国燃油管道运输管理系统的<strong>Darkside</strong>似乎有着千丝万缕的关系。</p><p style="margin:20px 0px">首先,他们两个都是 " 俄罗斯人不打俄罗斯人 ",不攻击俄罗斯或前苏联国家。</p><p style="margin:20px 0px">其次,他们使用的勒索软件代码、赎金票据、文件加密扩展名都非常相似,也用同样的方式来排除独联体国家。</p><p style="margin:20px 0px">Flashpoint 的研究人员此前表示,Darkside 很可能是 REvil 的分支或者团伙。</p><br>免责声明:如果本文章内容侵犯了您的权益,请联系我们,我们会及时处理,谢谢合作!
页: [1]
查看完整版本: 正让美国难以招架的俄罗斯黑客,靠勒索年收入过亿,特朗普、苹果都中过招