正让美国难以招架的俄罗斯黑客,靠勒索年收入过亿,苹果都中过招

安全
从2019年“出道”至今,两年迅速成为世界第二大黑客组织,近300家组织曾被攻击。

本文经AI新媒体量子位(公众号ID:QbitAI)授权转载,转载请联系出处。

9个月内,186家知名公司被攻破。

其中不乏美国核武器承包商、苹果供应商、日本富士等等行业巨头,被勒索金额动辄几千万美元。


这不就是打劫?


对,就有这样一个黑客组织,他们靠着“不给钱就公开你信息”的手段在网络上打家劫舍。

仅在2020年一年内就成功进账1亿美元。

从2019年“出道”至今,两年迅速成为世界第二大黑客组织,近300家组织曾被攻击。

最可怕的是,目前还没有人能够阻止他们。

如果不幸被他们选中了,那能选择的只有两个字:给钱

就连无法无天的特朗普,也一度被他们勒索4200万美元。

这……究竟是“何方神圣”啊?

特朗普都拿他没辙

它就是备受争议的俄罗斯黑客组织:REvil

[[409519]]

去年5月,正在为大选忙得焦头烂额的特朗普先生,就不幸被REvil选中为“盘中餐”。

他们声称已经从知名美国律师事务Grubman Shire Meiselas&Sacks(GSM)服务器中窃取了756GB的数据。

并扬言:如果特朗普一星期内不支付4200万美元(折合人民币2.7亿元)的赎金,就会把这些数据通通泄露出去。

这样的小手段,能搞得定特朗普?

川普还在Twitter上取笑REvil是虚张声势:他们其实手里没有任何东西。


不过他马上尝到了被威胁的滋味:

2020年5月17日,REvil公开了169封与特朗普有关的邮件。

他们还声称已经在暗网上将数据出售给了买方,不过对方只有副本。

而且由于黑客是在暗网上发布消息,所以FBI也追踪不到他们。

这一时期的REvil就像掌握了“财富密码”一般,可能他们感觉到从名人那里偷数据要简单、要钱更容易。

所以在同月,受到威胁的还有Lady Gaga麦当娜等名人。

后来,事情都不了了之。

但是其成员曾提到过,2020年该组织的进账有1亿美元,不知道是不是暗示了什么。

[[409520]]

事实上,截止目前REvil已经攻击了近300家组织。

仅在今年就“战绩斐然”。

3月,REvil宣布已入侵窃取宏碁(acer)数据;

4月苹果新产品发布在即,收到REvil威胁:已掌握新产品设计图;

5月,美国核武器承包商Sol Oriens公司遭遇REvil勒索病毒攻击,业务数据及员工信息被窃取;

同月,日本富士胶片因遭REvil袭击,被迫关闭公司部分网络及对外连接;全球最大肉制品供应商JBS在其勒索下,一度关闭美国所有工厂;

6月,美国能源公司Invenergy报告自己遭到了勒索软件攻击,REvil表示对此负责。

有人曾统计过,从去年10月到今年6月,REvil就发起了186次勒索。

正让美国难以招架的俄罗斯黑客,靠勒索年收入过亿,苹果都中过招

从此前统计数据看,REvil已经是目前世界上第二大黑客组织。

正让美国难以招架的俄罗斯黑客,靠勒索年收入过亿,苹果都中过招

△数据截止今年6月前

就在最近,他们又搞出了个大新闻:

通过攻击供应链,REvil在短短1天时间内造成了全球1000多家公司被袭击。

从大型连锁超市、药店到铁路部门等,众多企业都被波及。

瑞典大型连锁超市Coop受此影响,甚至不得不关闭了全国约800家门店。

这甚至让美国总统拜登紧急下令,指示FBI调查此事。

从供应链群体攻击

能够造成如此大的危害,是因为REvil袭击了一家管理软件服务商Kaseya

欧美许多中小企业都在用Kaseya提供的软件。

因为无力自己组建IT部门,他们的管理软件都来自Kaseya公司,而黑客把将官网提供的软件全部换成了勒索病毒。

一下子,所有使用Kaseya软件的公司都暴露在风险之中。

REvil通过软件官网或官方包管理工具传播病毒。

黑客将伪装的文件放入用于更新分发的c:\kworking文件夹中,然后启动PowerShell命令禁用微软Defender功能。

然后,恶意软件将使用合法的Windows certutil.exe命令解码文件夹中的agent.crt文件,并将 agent.exe文件解压缩到同一文件夹,然后启动加密过程。

正让美国难以招架的俄罗斯黑客,靠勒索年收入过亿,苹果都中过招

agent.exe中包括嵌入的“MsMpEng.exe”和“mpsvc.dll”,后者是REvil加密器,而前者是微软Defender可执行文件的旧版。

所以,用户一旦将agent.exe下载到本地,就会开始解压运行,并加密数据。

所以Kaseya就成了分发病毒的中心。

目前,为了防止危害继续扩大,Kaseya不得不警告用户:请关掉你们的服务器。

那些已经受感染的用户就没那么幸运了,黑客开始狮子大开口,向他们索要500万美元的赎金来恢复数据,若超过规定时间,赎金将翻倍。

正让美国难以招架的俄罗斯黑客,靠勒索年收入过亿,苹果都中过招

不过,这是数据已经被勒索病毒加密的公司的赎金,如果只是网络受到影响,被勒索的赎金要少得多,约4.5万美元。

根据安全人员在暗网上收集到的消息,黑客的总赎金要求已经达到了7000万美元。

正让美国难以招架的俄罗斯黑客,靠勒索年收入过亿,苹果都中过招

以此计算应该有14家企业数据遭殃。但严重的是,有更多没被感染的企业只能选择关停服务器。

这群黑客是来自俄罗斯的吗?其实美国也不知道他们是怎样一群人。

但是美国发现REvil似乎从不攻击俄罗斯和其他前苏联国家,因此有理由相信这是一个来自俄罗斯的黑客组织。

REvil究竟何许人也?

REvil全称Ransomware Evil,是一群专门靠勒索软件“打家劫舍”的黑客组织。

从2019年出现至今犯案无数。

而且他们的行径非常招摇,每次恶意攻击后,他们都会在自己的主页Happy Blog上发布勒索金额。

正让美国难以招架的俄罗斯黑客,靠勒索年收入过亿,苹果都中过招

仅在今年,REvil也已经有了6次犯案记录。

事情也一次比一次闹得大,从信托公司、网络安全公司,到窃取苹果新产品信息、攻击世界上最大的肉类加工厂,REvil每一次都赚得盆满钵满。

值得一提的是,REvil和此前搞瘫美国燃油管道运输管理系统的Darkside似乎有着千丝万缕的关系。

首先,他们两个都是“俄罗斯人不打俄罗斯人”,不攻击俄罗斯或前苏联国家。

其次,他们使用的勒索软件代码、赎金票据、文件加密扩展名都非常相似,也用同样的方式来排除独联体国家。

Flashpoint的研究人员此前表示,Darkside很可能是REvil的分支或者团伙。

 

 

责任编辑:张燕妮 来源: 量子位
相关推荐

2009-05-31 10:33:43

2013-04-28 15:12:12

亚马逊云计算

2011-11-21 12:38:30

2024-09-06 15:53:31

2012-07-19 09:21:18

2020-05-22 23:29:09

阿里云财报阿里巴巴

2012-04-19 10:20:52

甲骨文SaaS

2022-04-10 23:48:32

勒索软件安全俄罗斯

2011-09-13 10:27:08

华为云计算数据中心

2011-03-28 14:44:29

RedHat

2021-02-05 10:21:31

AWS

2020-07-09 09:31:51

黑客网络安全网络攻击

2010-07-02 21:44:06

中兴印度

2020-12-14 09:06:45

Microsoft 微软黑客

2020-10-22 07:58:31

黑客组织勒索软件网络攻击

2024-11-20 13:14:09

2021-03-30 11:13:35

吸费APP欺诈

2020-06-24 07:45:38

黑客恶意软件密码

2019-05-13 09:25:18

黑客源码反病毒
点赞
收藏

51CTO技术栈公众号