REvil 團伙似乎已經消失,這些網絡犯罪分子的網絡基礎設施也處於離線狀態。米歇爾·斯卡帕的分析
REvil 網絡犯罪分子繼續被談論。
似乎對JBS和 Kaseya 的攻擊還不足以讓網絡團伙在全球臭名昭著,他們的突然失踪引起了分析人士的懷疑和困惑。要解決失踪問題,您需要清楚上次襲擊發生了什麼。所以一步一個腳印。
在最近一次公然攻擊 Kaseya 式 REvil 勒索軟件之後,該犯罪集團大驚小怪,引起了許多政府及其各自安全機構的關注。
對這家美國公司的攻擊引起了轟動,因為它是通過利用未知漏洞或“零日”(之所以這麼稱呼是因為一旦發現漏洞,軟件生產商有零日時間來修復它),在 Kaseya VSA, a IT 基礎設施管理。隨後,勒索病毒蔓延到了這家美國公司的所有客戶,一千多家公司成為受害者,大約有1500家。這是對到達最終用戶的供應鏈的一次攻擊,一場真正的災難。
有傳言說攻擊可以與 WannaCray 和 NotPetya 相媲美,但在傳播和造成的損害方面,它同時也呈現了針對 SolarWinds 的攻擊手法的特點。
除了損失之外,所要求的贖金也是高昂的,大約7000萬美元,這個數字如此之高,以至於一些分析人士懷疑贖金的嚴重性。
誰是REVIL?
該組織的名稱是“勒索軟件”和“邪惡”兩個詞的結合,也被稱為 Sodinokibi,似乎已成為網絡犯罪領域的主要參與者之一。
這個首字母縮略詞在犯罪領域似乎相對較新,但組成它的一些黑客卻不是。事實上,一些研究人員已經發現 REvil / Sodinokibi 惡意軟件的創建者與之前的 GandCrab 勒索軟件的作者之間存在聯繫。
GandCrab 勒索軟件的創建者(可能來自俄羅斯)直到幾年前還是惡意軟件市場的領導者,以至於卡巴斯基估計 2019 年 40% 的勒索軟件市場由 GrandCrab 控制。
GrandCrab 和現在的 REvil 一樣,是一種勒索軟件即服務 (RaaS),即由一些黑客開發的勒索軟件,他們沒有直接使用惡意軟件來攻擊特定係統,而是將其出租給其他網絡犯罪分子,後者將其用於非法目的.勒索軟件機制基本上包括加密受感染計算機的數據,然後要求支付贖金,通常是比特幣,以換取解密工具。 2019 年,GrandCrab 背後的黑客關閉了這個窩點,並宣佈在通過支付贖金成功賺取約 20 億美元後撤回他們的產品。
在 GrandCrab 關閉後,REvil 勒索軟件已成為最重要的勒索軟件即服務之一。然而,從對黑客技術的分析和兩種勒索軟件的受害者類型的比較來看,一些 GrandCrab 黑客現在可能是 REvil 的幕後黑手。證實這一假設的另一個因素是 REvil 的起源地理區域,對於 GrandCrab 來說,它是前蘇聯地區。事實上,這種勒索軟件的一個特點是,它會收集有關機器的信息(用戶名、計算機名稱、域或工作組,並讀取可用空間和現有捲),如果鍵盤佈局或系統語言對應於某個國家/地區,則會自行解除。 -蘇聯或敘利亞。從而暗示犯罪分子打算保護的區域。
現場拍攝
自周二以來,REvil 團伙似乎已經消失:可歸因於這些網絡犯罪分子的網站、基礎設施和計算機都處於離線狀態。原因不明,但假設基本上是三個。
在向 Kaseya 索要最大贖金後,犯罪分子可能已經關門大吉並決定消失,這是一種看似合理的策略,因為攻擊 SolarWinds 的犯罪集團已經使用了這種策略。或者其他假設涉及外部干預,例如美國或其盟國政府進行的武力干預(即使實際上在實踐網絡攻擊後美國採取更具反應性的政策,這種干預也是不可能的)或來自國家的壓力。犯罪分子,因此關注的是俄羅斯。
普京干預網絡團伙消失的假設是有道理的,特別是如果我們查看時間數據。
週五 9 日,美國總統拜登與俄羅斯總統普京通了電話,美國總統明確表示,他希望俄羅斯承諾阻止來自其領土的黑客攻擊,並表示:“我們希望他們採取行動”。因此,一些分析師認為,週二收盤更多地與政治壓力有關,而不是與某些機構的具體報復形式有關。
目前很難確定這種劃分背後的真正原因,然而,這種關閉很可能不會批准犯罪集團的終結(可能會在新的首字母縮略詞之後回歸),也不會標誌著犯罪集團的轉折點。打擊網絡犯罪,現在是我們社會面臨的最大危險之一。
這是在 Sun, 18 Jul 2021 07:59:29 +0000 在 https://www.startmag.it/mondo/revil-attacchi-hacker-stati-uniti-cosa-succede/ 的報紙 “Scenari Economici” 上發表的文章的翻譯。