马上注册,结交更多同城好友,享用更多功能!
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
9 个月内,186 家知名公司被攻破。 其中不乏美国核武器承包商、苹果供应商、日本富士等等行业巨头,被勒索金额动辄几千万美元。 这不就是打劫? 对,就有这样一个黑客组织,他们靠着 " 不给钱就公开你信息 " 的手段在网络上打家劫舍。 仅在 2020 年一年内就成功进账1 亿美元。 从 2019 年 " 出道 " 至今,两年迅速成为世界第二大黑客组织,近 300 家组织曾被攻击。 最可怕的是,目前还没有人能够阻止他们。 如果不幸被他们选中了,那能选择的只有两个字:给钱。 就连无法无天的特朗普,也一度被他们勒索 4200 万美元。 这……究竟是 " 何方神圣 " 啊? 特朗普都拿他没辙 它就是备受争议的俄罗斯黑客组织:REvil。 去年 5 月,正在为大选忙得焦头烂额的特朗普先生,就不幸被 REvil 选中为 " 盘中餐 "。他们声称已经从知名美国律师事务 Grubman Shire Meiselas&Sacks(GSM)服务器中窃取了756GB的数据。 并扬言:如果特朗普一星期内不支付 4200 万美元(折合人民币 2.7 亿元)的赎金,就会把这些数据通通泄露出去。 这样的小手段,能搞得定特朗普? 川普还在 Twitter 上取笑 REvil 是虚张声势:他们其实手里没有任何东西。 不过他马上尝到了被威胁的滋味:2020 年 5 月 17 日,REvil 公开了169封与特朗普有关的邮件。 他们还声称已经在暗网上将数据出售给了买方,不过对方只有副本。 而且由于黑客是在暗网上发布消息,所以 FBI 也追踪不到他们。 这一时期的 REvil 就像掌握了 " 财富密码 " 一般,可能他们感觉到从名人那里偷数据要简单、要钱更容易。 所以在同月,受到威胁的还有Lady Gaga和麦当娜等名人。 后来,事情都不了了之。 但是其成员曾提到过,2020 年该组织的进账有1 亿美元,不知道是不是暗示了什么。 事实上,截止目前 REvil 已经攻击了近300 家组织。仅在今年就 " 战绩斐然 "。 3 月,REvil 宣布已入侵窃取宏碁(acer)数据; 4 月苹果新产品发布在即,收到 REvil 威胁:已掌握新产品设计图; 5 月,美国核武器承包商 Sol Oriens 公司遭遇 REvil 勒索病毒攻击,业务数据及员工信息被窃取; 同月,日本富士胶片因遭 REvil 袭击,被迫关闭公司部分网络及对外连接;全球最大肉制品供应商 JBS 在其勒索下,一度关闭美国所有工厂; 6 月,美国能源公司 Invenergy 报告自己遭到了勒索软件攻击,REvil 表示对此负责。 有人曾统计过,从去年 10 月到今年 6 月,REvil 就发起了186 次勒索。 从此前统计数据看,REvil 已经是目前世界上第二大黑客组织。△数据截止今年 6 月前就在最近,他们又搞出了个大新闻: 通过攻击供应链,REvil 在短短 1 天时间内造成了全球1000 多家公司被袭击。 从大型连锁超市、药店到铁路部门等,众多企业都被波及。 瑞典大型连锁超市 Coop 受此影响,甚至不得不关闭了全国约 800 家门店。 这甚至让美国总统拜登紧急下令,指示 FBI 调查此事。 从供应链群体攻击 能够造成如此大的危害,是因为 REvil 袭击了一家管理软件服务商Kaseya。 欧美许多中小企业都在用 Kaseya 提供的软件。 因为无力自己组建 IT 部门,他们的管理软件都来自 Kaseya 公司,而黑客把将官网提供的软件全部换成了勒索病毒。 一下子,所有使用 Kaseya 软件的公司都暴露在风险之中。 REvil 通过软件官网或官方包管理工具传播病毒。 黑客将伪装的文件放入用于更新分发的 c:kworking 文件夹中,然后启动 PowerShell 命令禁用微软 Defender 功能。 然后,恶意软件将使用合法的 Windows certutil.exe 命令解码文件夹中的 agent.crt 文件,并将 agent.exe 文件解压缩到同一文件夹,然后启动加密过程。 agent.exe 中包括嵌入的 "MsMpEng.exe" 和 "mpsvc.dll",后者是 REvil 加密器,而前者是微软 Defender 可执行文件的旧版。所以,用户一旦将 agent.exe 下载到本地,就会开始解压运行,并加密数据。 所以 Kaseya 就成了分发病毒的中心。 目前,为了防止危害继续扩大,Kaseya 不得不警告用户:请关掉你们的服务器。 那些已经受感染的用户就没那么幸运了,黑客开始狮子大开口,向他们索要 500 万美元的赎金来恢复数据,若超过规定时间,赎金将翻倍。 不过,这是数据已经被勒索病毒加密的公司的赎金,如果只是网络受到影响,被勒索的赎金要少得多,约 4.5 万美元。根据安全人员在暗网上收集到的消息,黑客的总赎金要求已经达到了 7000 万美元。 以此计算应该有 14 家企业数据遭殃。但严重的是,有更多没被感染的企业只能选择关停服务器。这群黑客是来自俄罗斯的吗?其实美国也不知道他们是怎样一群人。 但是美国发现 REvil 似乎从不攻击俄罗斯和其他前苏联国家,因此有理由相信这是一个来自俄罗斯的黑客组织。 REvil 究竟何许人也? REvil 全称 Ransomware Evil,是一群专门靠勒索软件 " 打家劫舍 " 的黑客组织。 从 2019 年出现至今犯案无数。 而且他们的行径非常招摇,每次恶意攻击后,他们都会在自己的主页Happy Blog上发布勒索金额。 仅在今年,REvil 也已经有了 6 次犯案记录。事情也一次比一次闹得大,从信托公司、网络安全公司,到窃取苹果新产品信息、攻击世界上最大的肉类加工厂,REvil 每一次都赚得盆满钵满。 值得一提的是,REvil 和此前搞瘫美国燃油管道运输管理系统的Darkside似乎有着千丝万缕的关系。 首先,他们两个都是 " 俄罗斯人不打俄罗斯人 ",不攻击俄罗斯或前苏联国家。 其次,他们使用的勒索软件代码、赎金票据、文件加密扩展名都非常相似,也用同样的方式来排除独联体国家。 Flashpoint 的研究人员此前表示,Darkside 很可能是 REvil 的分支或者团伙。
免责声明:如果本文章内容侵犯了您的权益,请联系我们,我们会及时处理,谢谢合作!
| 
发表于 2021-7-6 01:29:13
支持
反对
