无端消失的黑客组织REvil
一、震惊世界的黑客袭击
就在一个月前,IT管理软件制造商Kaseya及其客户的网络受到了黑客的攻击,大约有50个Kaseya客户受到此次攻击的直接影响。但他们的很多客户都是托管服务提供商,专门为其他企业提供IT服务,Kaseya的CEO表示实际受到影响的企业大约达到800至1500家。
此次勒索软件攻击由一个名为REvil(又名Sodinokibi)的网络犯罪团伙发起,受影响的客户使用了Kaseya的VSA(远程监控和管理软件工具)。攻击者对受害者的所有数据进行加密,导致其电脑无法使用。
REvil似乎利用了Kaseya的一个漏洞,而荷兰披露研究所之前已经发现该漏洞,并在研究解决方案。Kaseya VSA用户在遭受攻击后始终处于离线状态。
REvil通过暗网上的官方博客要求受害者通过比特币支付 7000万美元赎金 ,才能公开披露解密密钥——而这无意中创下迄今为止最高的黑客索要赎金纪录 。
作为技术勒索界的大拿,REvil早已经是臭名昭著,事实上,REvil在5月底发动的一次大规模攻击行为也引发了全球关注——巴西肉制品巨头JBS公司服务器遭到该组织攻击,被迫暂停了美国分公司和澳大利亚分公司的部分工厂作业,JBS为此迫不得已向其支付了价值1100万美元的比特币。
REvil实际造成的危害远比人们想象中的还要严重,勒索软件运营商的目标是除了数据加密之外还窃取数据,这种行为被称为"双重勒索"。通常,这种行为还意味着攻击者会尽可能长时间地安插各种工具在受害者的网络中,并从关键资产中获取数据。
因为REvil一贯进行加密资产的索要,加密数字界也对该组织谈虎色变。
如果说一举要求7000万美元的比特币赎金已经骇人听闻的话,更蹊跷的事情也接连发生了。
二、突如其来的"神隐"行为
REvil gang的网站突然下线
此前REvil声称已经加密了超过一百万个系统,但受害方尚未向REvil支付赎金,而因Kaseya公司攻击事件受到影响的上千家公司电脑及系统也仍未完全恢复正常。但是REvil忽然留下"一地鸡毛",销声匿迹了。
安全专家表示,REvil包括支付网站和数据泄露网站等所有网站都关闭了,目前对于该组织突然下线是何原因还不得而知。
REvil这一"神隐"行为立刻引发广泛猜测,从该组织有计划地"自动系统停机"到政府协调下的封锁,各种理论不一而足。但在现阶段尚无定论。
网络安全公司CrowdStrike的联合创始人德米特里·阿尔佩罗维奇(Dmitri Alperovitch)猜测,西方政府可能在向互联网基础设施公司施压,要求它们不要完成REvil网站的浏览器请求。
网络服务公司GuidePoint Security的首席威胁情报分析师德鲁·施密特(Drew Schmitt)警告称,尽管现在无法连接到REvil的网站"可能是执法部门介入的迹象",但这一点还没得到最终证实。他说,上周REvil的网站也曾一度宕机。
事实上,就在此次大规模攻击事件发生当日,美国国土安全部网络安全和基础设施安全局即宣布,他们正与联邦调查局(FBI)合作,"采取行动了解并解决最近针对IT管理平台Kaseya的供应链勒索软件攻击事件"。
当地时间7月3日,美国总统拜登也表示,他已经下令情报机构全面调查VSA软件遭攻击事件。有分析指出,由于黑客组织频繁的攻击行为,显示出其可能破坏美国的关键基础设施,拜登政府越来越多地将勒索软件视为对国家和经济安全的威胁。
不管是哪种猜测,有一件事是肯定的,即使业界的所有力量都联合起来,剿灭像REvil这样的有建制、成规模、实力强的黑客组织还是具有挑战性的,毕竟明枪易躲,暗箭难防。REvil可能会消失,但邪恶会以不同的名字卷土重来。