据《华盛顿邮报》报道,联邦调查局已渗透REvil团伙的服务器并成功获取了密钥,但在与其他机构商量后,该局决定暂缓向受害者公开该密钥,以免走漏风声。知情人士告诉《华盛顿邮报》,联邦调查局不想告发REvil团伙,并希望取缔他们的业务。
结果出人意料的是,FBI还没有介入,REvil就于7月13日宣布解体。由于尚未解释的原因,联邦调查局直到7月21日才交出了密钥。
联邦调查局局长Christopher Wray对国会的说辞是,“延缓释放密钥是共同协商的结果,而不是我们单方面的决定。这是一个非常复杂的决定,旨在尽可能发挥最大效用。而且对抗攻击者确实需要时间,我们不仅需要在全国范围内还需要在全世界范围内调配资源。”
REvil勒索组织的那些年
REvil组织在使用高压策略勒索受害者方面有着悠久的历史。这个位于俄罗斯的团伙于2019年首次出现,并在今年早些时候大放异彩。3月份,该组织入侵了一家代表U2、麦当娜和Lady Gaga的名人律师事务所,并索要2100万美元。当该律师事务所犹豫不决时,REvil又将赎金要求增加了一倍,并公布了Lady Gaga的一些文件;4月份,该团伙又从中国台湾制造商广达电脑(Quanta Computer)获取了大量机密图纸和数以GB计的个人数据。广达电脑为苹果、戴尔、HPE、联想、思科以及许多其他顶级科技公司代工。然后在5月份,它又针对Colonial Pipeline发起攻击,导致燃料短缺。
该组织在今年夏天重新浮出水面,中断了巴西肉类加工商JBS的运营,并导致美国、加拿大和澳大利亚的数家工厂关闭。之后,该组织又利用Kaseya远程管理工具中的零日漏洞,该漏洞允许REvil访问54家服务提供商(MSP),这些提供商为多达 1500 家企业和其他组织管理网络。
瑞典的连锁店、马里兰州的市政厅、新西兰的学校以及罗马尼亚的一家医院都受到了攻击的影响。其中,瑞典杂货连锁店Coop关闭了大约700家商店,并花了大约6天时间才重新恢复运营。其他受害者也花了数周时间才恢复系统运行。
他们回来了
上周四,网络安全公司Bitdefender发布了一种通用解密工具,用于解密REvil宣布解体前加密的网络和计算机。Bitdefender的一位高管表示,到目前为止,约有250名受害者使用了该工具。据报道,使该工具成为可能的关键来自执法机构,但不是联邦调查局。
据《华盛顿邮报》报道,尽管FBI努力将其取缔,但REvil本月又卷土重来,发动了一系列新的攻击,至少攻击了8名新受害者。然而,Bitdefender工具不适用于新的受害者,这表明REvil在经历短暂的解体后又重组了其运营策略。