【為什麼我們要挑選這篇文章】近期在美國國慶日轟動全美的勒索軟體結合供應鏈攻擊 ,讓駭客組織 REvil 再次受到關注。事實上,這個組織僅出道 2 年,但其惡名昭彰的犯罪史包含川普、蘋果,甚至台灣大廠宏碁、廣達都深受其害,甚至有外媒以「犯罪界的麥當勞」稱呼 REvil,他們的背景是什麼?這次在美國發動的供應鏈攻擊,為何連 FBI 都加入調查?(責任編輯:何泰霖)
本文經 AI 新媒體量子位(公眾號 ID:QbitAI)授權轉載,轉載請連繫出處
作者:量子位
9 個月內,186 家知名公司被攻破。
其中不乏美國核武承包商、蘋果供應商、日本富士等等行業巨頭,被勒索金額動輒幾千萬美元。
這不就是搶劫?
對,就有這樣一個駭客組織,他們靠著「不給錢就公開你消息」的手段在網路上打家劫舍。
僅在 2020 年一年內就成功進帳 1 億美元。
從 2019 年「出道」至今,兩年便迅速成為世界第二大駭客組織,近 300 家組織曾被攻擊。
最可怕的是,目前還沒有人能夠阻止他們。
如果不幸被他們選中了,那能選擇的只有兩個字:給錢。
就連無法無天的川普,也一度被他們勒索 4200 萬美元。
這……究竟是「何方神聖」啊?
川普、蘋果到 IT 軟體管理商都受「駭」,REvil 的惡行錄
它就是備受爭議的俄羅斯駭客組織:REvil。
2020 年 5 月,正在為大選忙得焦頭爛額的川普,就不幸被 REvil 選中為「獵物」。
他們聲稱已經從知名美國律師事務 Grubman Shire Meiselas&Sacks (GSM)伺服器中竊取了 756 GB 的資料,並揚言:如果川普一星期內不支付 4200 萬美元的贖金,就會把這些資料通通洩露出去。
這樣的小手段,能搞得定川普?
川普還在 Twitter 上取笑 REvil 是虛張聲勢:他們其實手裡沒有任何東西。不過他馬上嚐到了被威脅的滋味:2020 年 5 月 17 日, REvil 公開了 169 封與川普有關的郵件。
https://twitter.com/UnderTheBreach/status/1261647783926341634
他們還聲稱已經在暗網上將資料出售給了買方,不過對方只有副本。而且由於駭客是在暗網上發布消息,所以 FBI 也追蹤不到他們。
這一時期的 REvil 就像掌握了「財富密碼」一般,他們覺得從名人那裡偷資料可能更簡單、要錢更容易。所以在同月,受到威脅的還有 Lady Gaga 和瑪丹娜等名人。不過後來,事情都不了了之。
但是其成員曾提到過,2020 年該組織的進帳就有 1 億美元,不知道是不是暗示了什麼。
事實上,截止目前 REvil 已經攻擊了近 300 家組織。僅在今年就「戰績斐然」。
3 月,REvil 宣布已入侵竊取宏碁(acer)的資料;
4 月蘋果新產品發佈在即,收到 REvil 威脅:已掌握新產品設計圖;
編按:事實上,REvil 在 4 月發出的威脅,是先勒索廣達,不成後才轉往向蘋果要求贖金。>>了解蘋果勒索事件的前因與後果
5 月,美國核武承包商 Sol Oriens 公司也遭遇 REvil 勒索病毒攻擊,業務資料及員工訊息被竊取;
同月,日本富士底片因遭 REvil 襲擊,被迫關閉公司部分網路及對外連接;全球最大肉製品供應商 JBS 也在其勒索下,一度關閉美國所有工廠;
6 月,美國能源公司 Invenergy 報告自己遭到了勒索軟體攻擊,REvil 表示是由他們所發起。
有人曾統計過,從 2020 年 10 月到 2021 年 6 月,REvil 就發起了 186 次勒索。從過去的統計數據來看,REvil 已經是目前世界上第二大的駭客組織。
Of the existing darkweb ransomware gangs, #REvil ransomware gang attacked the second largest number of victims.
The victims' internal data was leaked to the DarkWeb. pic.twitter.com/RcRrqNfvgu
— Fusion Intelligence Center @ DarkTracer (@darktracer_int) July 4, 2021
就在近期,他們又搞出了個大新聞:透過攻擊供應鏈,REvil 在短短 1 天的時間內造成全球 1000 多家公司被襲擊。
從大型連鎖超市、藥局到鐵路部門等,眾多企業都被波及。瑞典大型連鎖超市 Coop 受此影響,甚至不得不關閉了全國約 800 家門市。
這甚至讓美國總統拜登緊急下令,指示 FBI 調查此事。
REvil 針對 Kaseya 發起的供應鏈攻擊為何驚動 FBI?
能夠造成如此大的危害,是因為 REvil 襲擊了一家 IT 軟體管理商 Kaseya。而歐美許多中小企業,因為無力自己組建 IT 部門,他們的管理軟體都來自 Kaseya 公司,而駭客把官網提供的軟體全部換成了勒索病毒。
一下子,所有使用 Kaseya 軟體的公司都暴露在風險之中。REvil 透過軟體官網或官方管理的工具套組傳播病毒,駭客將偽裝的文件放入用於更新的 c:kworking 文件夾中,然後啟動 PowerShell 命令禁用微軟 Defender 功能。
然後,惡意軟體將使用合法的 Windows certutil.exe 命令解碼文件夾中的 agent.crt 文件,並將 agent.exe 文件解壓縮到同一文件夾,然後啟動加密過程。
agent.exe 中包括嵌入的 「MsMpEng.exe」和「mpsvc.dll」,後者是 REvil 的加密器,而前者是微軟 Defender 可執行文件的舊版。
所以,用戶一旦將 agent.exe 下載到本地,就會開始執行解壓縮,並將資料加密。所以 Kaseya 就成了傳播病毒的中心。
目前,為了防止危害繼續擴大,Kaseya 不得不警告用戶:請關掉你們的伺服器。
那些受到感染的用戶就沒那麼幸運了,駭客開始獅子大開口,向他們索求 500 萬美元的贖金來恢復資料,若超過規定時間,贖金將翻倍。
不過,這個是資料已經被勒索病毒加密的公司所需支付的贖金,如果只是網路受到影響,被勒索的贖金僅約 4.5 萬美元。
根據安全人員在暗網上蒐集到的消息,駭客的總贖金要求已經達到了 7000 萬美元。以此計算應該有 14 家企業資料遭殃。但嚴重的是,有更多沒被感染的企業只能選擇關閉伺服器。
這群駭客是來自俄羅斯的嗎?其實美國也不知道他們是怎樣一群人。但是美國發現 REvil 似乎從不攻擊俄羅斯和其他前蘇聯國家,因此有理由相信這是一個來自俄羅斯的駭客組織。
世界第二大駭客組織 REvil 還有什麼秘密?
REvil 全稱 Ransomware Evil,是一群專門靠勒索軟體「打家劫舍」的駭客組織,從 2019 年出現至今犯案無數。
而且他們的行徑非常招搖,每次惡意攻擊後,他們都會在自己的主頁 Happy Blog 上發布勒索金額。
僅在今年, REvil 就已經有了 6 次犯案記錄。
事情也一次比一次鬧得大,從信託公司、網路安全公司,到竊取蘋果新產品資訊、攻擊世界上最大的肉類加工廠, REvil 每一次都賺好賺滿。
值得一提的是, REvil 和之前搞癱美國輸油管線系統的 Darkside 似乎有著千絲萬縷的關係。
編按:今年 5 月報導, Cybereason 資安專家曾點出,DarkSide 在攻擊後發道歉聲明不像是駭客老手的慣用手法,曾推論他們可能是新組織,然而這次或許更能看出這個新組織,為何能在短時間內有如此完善的策略。
首先,他們兩個都是「俄羅斯人不打俄羅斯人」,不攻擊俄羅斯或前蘇聯國家。
其次,他們使用的勒索軟體程式碼、贖金票據、文件加密擴展名稱都非常相似,也用同樣的方式來排除獨立國家國協。
Flashpoint 的研究人員先前表示, Darkside 很可能是 REvil 的分支或者同夥。
參考資料:Wired、DarkTracer Twitter、BleepingComputer
(本文經 AI 新媒體量子位 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈正讓美國難以招架的俄羅斯黑客,靠勒索年收入過億,特朗普、蘋果都中過招〉;首圖來源:Shutterstock)
你可能有興趣
