官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
近期,三位网络安全专家向路透社透露,在美国FBI、USSS、USCYBERCOM,以及其他国家相关组织的联合打击下,著名的俄罗斯勒索软件组织REvil已经下线。
此前,REvil的Tor支付门户和数据泄露站点Haapy Blog被匿名劫持,引发业界猜测,如今终于真相大白。
REvil被美国政府打垮
根据美国财政部公布的数据,REvil是最大的勒索软件集团之一。该勒索组织曾开发了多款勒索攻击软件,对美国企业、组织、政府部门、公共设施等发起恶意攻击,造成了严重的经济损失。
例如在2021年7月初,REvil 勒索软件团伙利用Kaseya软件更新实施了供应链攻击,波及美国数千家企业,导致数百万台设备被加密。REvil更是狮子大开口,直接索要 7000 万美元的赎金,被认为是目前最大的勒索攻击事件,一时风头无两。
但恰恰也是在Kaseya供应链攻击事件中,REvil被美国政府逮到了“尾巴”。国外某权威媒体在 9 月的一篇报道中指出,FBI已经在Kaseya 攻击事件中获得了REvil勒索组织的加密密钥。
几天后(2021年7月13日),REvil勒索软件团伙的基础设施和网站已经无法访问。但在9月7日,REvil 勒索软件卷土重来,Tor支付门户和数据泄露站点重新恢复访问,新的REvil勒索软件被上传至VirusTotal。正因为这些消息,专家认为REvil勒索软件已经全面恢复运营。
短短一个多月后,REvil勒索软件最终还是倒在了美国政府和其他国家的联合打击之下。全球也正在加大对勒索软件的打击力度,这已是业界的共识。
究其原因,勒索攻击已成为全球企业和组织面临的严重威胁之一。不少企业因为勒索软件攻击付出了惨重的代价,不仅要支付赎金,还严重影响了企业业务和品牌价值。
Groove 呼吁“团结起来,共同对抗美国”
为了应对日益严峻的勒索攻击形势,美国邀请30多个国家,在白宫组织的反勒索联盟会议上,正式确立了制裁行动,一面不断打击勒索软件组织,另一方面则是制裁加密货币,以此遏制勒索攻击蔓延的趋势。
而REvil就成了美国反勒索联盟会议之后,首个倒在了美国政府和其他国家联合打击下的勒索软件组织。REvil是勒索软件中的代表者,曾对苹果供应商进行攻击,还策划了对大型肉类加工厂 JBS、IT 管理软件开发商Travelex 和 Acer 的攻击等,凶名赫赫。
美国此番干净利落拿下REvil勒索软件,颇有些杀鸡儆猴的意味。受此消息影响,勒索软件组织人人自危。
另外两大著名的勒索软件组织,Darkside和BlackMatter勒索软件的运营商已经开始转移比特币。仅10月22日,勒索软件组织就转移了大约107个BTC(680万美元)。之所以确定是勒索软件,是因为此次比特币转移是分割成小份进行的,而执法机构通常的做法是直接将比特币转移,一般不会进行分割。这也是洗钱的常规步骤,由此可见美国此番对REvil下手,对于其他勒索软件组织也产生了一定的影响。
当然,面对这一情况,Groove 勒索组织则发文呼吁,“勒索软件之间应停止竞争,共同联合起来对抗美国,加大对美国公共设施的打击力度。”
该勒索软件组织在其泄密网站上用俄语发布了一条这样的消息:“在美国政府联合其他国家对我们进行打击的困难时期,我呼吁所有的合作伙伴停止竞争,团结起来共同攻击美国公共部门,以此报复美国对勒索软件组织的制裁。”
该消息还称,勒索软件组织应停止对俄罗斯等国家的攻击,避免被全球所有的国家共同打击,为勒索软件组织保留一些安全的场所。
参考来源:
https://thehackernews.com/2021/10/feds-reportedly-hacked-revil-ransomware.html
https://securityaffairs.co/wordpress/123684/malware/groove-ransomware-gang-call-to-action.html