澳洲同城网

标题: 正让美国难以招架的俄罗斯黑客，靠勒索年收入过亿，特朗普、苹果都中过招 [打印本页]

作者: 量子位 时间: 2021-7-6 01:29
标题: 正让美国难以招架的俄罗斯黑客，靠勒索年收入过亿，特朗普、苹果都中过招

9 个月内，186 家知名公司被攻破。

其中不乏美国核武器承包商、苹果供应商、日本富士等等行业巨头，被勒索金额动辄几千万美元。

这不就是打劫？

对，就有这样一个黑客组织，他们靠着 " 不给钱就公开你信息 " 的手段在网络上打家劫舍。

仅在 2020 年一年内就成功进账1 亿美元。

从 2019 年 " 出道 " 至今，两年迅速成为世界第二大黑客组织，近 300 家组织曾被攻击。

最可怕的是，目前还没有人能够阻止他们。

如果不幸被他们选中了，那能选择的只有两个字：给钱。

就连无法无天的特朗普，也一度被他们勒索 4200 万美元。

这……究竟是 " 何方神圣 " 啊？

特朗普都拿他没辙

它就是备受争议的俄罗斯黑客组织：REvil。

去年 5 月，正在为大选忙得焦头烂额的特朗普先生，就不幸被 REvil 选中为 " 盘中餐 "。

他们声称已经从知名美国律师事务 Grubman Shire Meiselas＆Sacks（GSM）服务器中窃取了756GB的数据。

并扬言：如果特朗普一星期内不支付 4200 万美元（折合人民币 2.7 亿元）的赎金，就会把这些数据通通泄露出去。

这样的小手段，能搞得定特朗普？

川普还在 Twitter 上取笑 REvil 是虚张声势：他们其实手里没有任何东西。

不过他马上尝到了被威胁的滋味：

2020 年 5 月 17 日，REvil 公开了169封与特朗普有关的邮件。

他们还声称已经在暗网上将数据出售给了买方，不过对方只有副本。

而且由于黑客是在暗网上发布消息，所以 FBI 也追踪不到他们。

这一时期的 REvil 就像掌握了 " 财富密码 " 一般，可能他们感觉到从名人那里偷数据要简单、要钱更容易。

所以在同月，受到威胁的还有Lady Gaga和麦当娜等名人。

后来，事情都不了了之。

但是其成员曾提到过，2020 年该组织的进账有1 亿美元，不知道是不是暗示了什么。

事实上，截止目前 REvil 已经攻击了近300 家组织。

仅在今年就 " 战绩斐然 "。

3 月，REvil 宣布已入侵窃取宏碁（acer）数据；

4 月苹果新产品发布在即，收到 REvil 威胁：已掌握新产品设计图；

5 月，美国核武器承包商 Sol Oriens 公司遭遇 REvil 勒索病毒攻击，业务数据及员工信息被窃取；

同月，日本富士胶片因遭 REvil 袭击，被迫关闭公司部分网络及对外连接；全球最大肉制品供应商 JBS 在其勒索下，一度关闭美国所有工厂；

6 月，美国能源公司 Invenergy 报告自己遭到了勒索软件攻击，REvil 表示对此负责。

有人曾统计过，从去年 10 月到今年 6 月，REvil 就发起了186 次勒索。

从此前统计数据看，REvil 已经是目前世界上第二大黑客组织。

△数据截止今年 6 月前

就在最近，他们又搞出了个大新闻：

通过攻击供应链，REvil 在短短 1 天时间内造成了全球1000 多家公司被袭击。

从大型连锁超市、药店到铁路部门等，众多企业都被波及。

瑞典大型连锁超市 Coop 受此影响，甚至不得不关闭了全国约 800 家门店。

这甚至让美国总统拜登紧急下令，指示 FBI 调查此事。

从供应链群体攻击

能够造成如此大的危害，是因为 REvil 袭击了一家管理软件服务商Kaseya。

欧美许多中小企业都在用 Kaseya 提供的软件。

因为无力自己组建 IT 部门，他们的管理软件都来自 Kaseya 公司，而黑客把将官网提供的软件全部换成了勒索病毒。

一下子，所有使用 Kaseya 软件的公司都暴露在风险之中。

REvil 通过软件官网或官方包管理工具传播病毒。

黑客将伪装的文件放入用于更新分发的 c:kworking 文件夹中，然后启动 PowerShell 命令禁用微软 Defender 功能。

然后，恶意软件将使用合法的 Windows certutil.exe 命令解码文件夹中的 agent.crt 文件，并将 agent.exe 文件解压缩到同一文件夹，然后启动加密过程。

agent.exe 中包括嵌入的 "MsMpEng.exe" 和 "mpsvc.dll"，后者是 REvil 加密器，而前者是微软 Defender 可执行文件的旧版。

所以，用户一旦将 agent.exe 下载到本地，就会开始解压运行，并加密数据。

所以 Kaseya 就成了分发病毒的中心。

目前，为了防止危害继续扩大，Kaseya 不得不警告用户：请关掉你们的服务器。

那些已经受感染的用户就没那么幸运了，黑客开始狮子大开口，向他们索要 500 万美元的赎金来恢复数据，若超过规定时间，赎金将翻倍。

不过，这是数据已经被勒索病毒加密的公司的赎金，如果只是网络受到影响，被勒索的赎金要少得多，约 4.5 万美元。

根据安全人员在暗网上收集到的消息，黑客的总赎金要求已经达到了 7000 万美元。

以此计算应该有 14 家企业数据遭殃。但严重的是，有更多没被感染的企业只能选择关停服务器。

这群黑客是来自俄罗斯的吗？其实美国也不知道他们是怎样一群人。

但是美国发现 REvil 似乎从不攻击俄罗斯和其他前苏联国家，因此有理由相信这是一个来自俄罗斯的黑客组织。

REvil 究竟何许人也？

REvil 全称 Ransomware Evil，是一群专门靠勒索软件 " 打家劫舍 " 的黑客组织。

从 2019 年出现至今犯案无数。

而且他们的行径非常招摇，每次恶意攻击后，他们都会在自己的主页Happy Blog上发布勒索金额。

仅在今年，REvil 也已经有了 6 次犯案记录。

事情也一次比一次闹得大，从信托公司、网络安全公司，到窃取苹果新产品信息、攻击世界上最大的肉类加工厂，REvil 每一次都赚得盆满钵满。

值得一提的是，REvil 和此前搞瘫美国燃油管道运输管理系统的Darkside似乎有着千丝万缕的关系。

首先，他们两个都是 " 俄罗斯人不打俄罗斯人 "，不攻击俄罗斯或前苏联国家。

其次，他们使用的勒索软件代码、赎金票据、文件加密扩展名都非常相似，也用同样的方式来排除独联体国家。

Flashpoint 的研究人员此前表示，Darkside 很可能是 REvil 的分支或者团伙。

免责声明：如果本文章内容侵犯了您的权益，请联系我们，我们会及时处理，谢谢合作！

欢迎光临澳洲同城网 (https://www.tongchengau.com/)