标签: REvil

勒索软件 REvil 回归,新版本正在积极开发中

5月9日,Secureworks Counter Threat Unit (CTU) 的研究人员发布的报告显示,臭名昭著的勒索软件 REvil(又名 Sodin 或 Sodinokibi)在销声匿迹一段时间后再度开始活动。 研究人员对新发现的样本进行分析,发现在短时间内已经出现多个修改过的新版本,表明 REvil 再次处于积极的开发过程中。 4月20日,REvil 在 TOR 网络中的数据泄露站点开始重定向到新的主机,这是一个明显的复苏信号,网络安全公司 Avast 在一周后披露,他们已在野外阻止了一个看起来像新的 Sodinokibi / REvil的勒索软件样本变种。 根据对另一个时间戳为3月11日的样本源代码进行检查,发现与2021年10月的样本相比已经有了明显的更改,包括对其字符串解密逻辑、配置存储位置和硬编码公钥的更新,并修订了赎金记录中显示的 Tor 域,与上个月发现的新 Tor 域相匹配: REvil 泄露站点:blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion REvil 赎金支付网站:landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion 2022 年 3 月样本中的字符串解密逻辑更改(资料来源:Secureworks) 作为一种勒索软件即服务 (RaaS),REvil是最早采用双重勒索计划的组织之一,即以泄露窃取的数据为由威胁受害者支付赎金。该勒索软件组织自 2019 年开始运作,在2021年7月针对 Kaseya 云端系统供应链攻击中曾开出7000万美元的赎金要求,创勒索软件最高赎金记录。但在2021年10月份的多国联合执法行动中,REvil的服务器被查,今年1月初,俄罗斯联邦安全局 (FSB) 在该国多地进行突袭后,逮捕了多名组织成员。 REvil的复出被认为与俄乌战争有关,就在上个月,美国单方面退出了与俄罗斯为保护关键基础设施进行合作的计划。此外这也表明,勒索软件即使被打压或解散后,也能够很容易的死灰复燃,当下要彻底根除网络犯罪组织可谓困难重重。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332892.html 封面来源于网络,如有侵权请联系删除

一名 REvil 勒索软件团伙成员已在波兰落网

美国司法部已宣布逮捕并起诉臭名昭著的 REvil 黑客组织的一名涉案嫌疑人,据称其与针对 IT 管理企业 Kaseya 和苹果供应商的勒索软件攻击有关联。今年 8 月,美方已因涉嫌网络犯罪而起诉乌克兰国籍的 Yaroslav Vasinskyi 。然后 10 月份的时候,波兰当局对其采取了逮捕拘留措施。 正如一份已启封的法庭文件所揭示的那样,Yaroslav Vasinskyi 正面临被引渡到美国受审的问题。至于本次逮捕,波兰当局声称与嫌疑人运营的 REvil 相关资产有关。 美司法部还披露,其已从 FTX 交易所没收了 610 万美元的资产。据称这笔赃款来自俄罗斯籍的 Yevgeniy Polyanin,他同样涉嫌参与针对政企的勒索软件攻击,并于 8 月被提起诉讼(CNN / DOJ 报告称其尚未被捕)。 起诉书中写到,乌克兰人 Yaroslav Vasinskyi 涉嫌非法入侵和操控计算机网络、窃取政企数据、以及通过加密原始数据并删除任何备份而索取赎金。 若企业不愿屈服,REvil 团伙还会将数据转售或散布到网络上。受害者中包括了苹果供应商之一的广达(Quanta),泄露事件让外界提前知晓了新款 MacBook 的相关细节。 至于两名犯罪嫌疑人在 REvil 勒索软件攻击事件中分别扮演了怎样的角色,起诉书中并未明确提及,仅指责他们参与合谋发动网络攻击。若罪名成立,俩人都将面临百年以上的监禁。 最后,执法机构已经抓获了另外两名与 REvil 有染的嫌疑人,且政府愿意花费巨额悬赏来抓捕更多涉案成员。若帮助顺利抓捕 REvil 组织头目,举报人可获千万美元赏金(其他成员最高奖励 500 万美元)。   (消息及封面来源:cnBeta)

曾窃取了苹果 MacBook 原理图的勒索软件集团在联合行动中被关闭

时间回到今年4月,勒索软件集团REvil曾攻击了苹果供应商广达电脑并能够窃取概述本周早些时候宣布的14和16英寸MacBook Pro型号设计的原理图。这些原理图泄露了新机器的设计,当时,REvil威胁称,如果苹果不在5月1日前支付5000万美元的赎金就会公布其他文件。   不过这种情况在几天后就消失了,REvil神秘地从其网站上删除了所有跟苹果有关的文件和敲诈威胁。 此后,人们再也没有听到关于REvil攻击苹果的进一步消息,但事实证明,有一个多国行动正在进行以拿下这个勒索软件集团。据悉,几个政府机构在本周联手黑掉了REvil并使其下线。 一位知情人士披露称,美国政府的一个外国合作伙伴进行了黑客行动并渗透了REvil的计算机架构。一位不愿透露姓名的前美国官员表示,该行动仍在进行。 REvil用于泄露被盗文件的Happy Blog已被下线并不再可用。实际上,在执法和情报专家能够入侵REvil的计算机网络后,该黑客组织早在7月已经下线了,不过它在上个月又回来了,之前被政府破坏的服务器再次被用于这次的第二次攻坚。 REvil还对5月对Colonial Pipeline的网络攻击负责,该攻击造成了美国东海岸的天然气短缺。   (消息及封面来源:cnBeta)

REvil 勒索软件组织的基础设施和网站已神秘下线

昨晚,REvil 勒索软件组织的基础设施和网站已神秘下线。该组织又称之为 Sodinokibi,利用多个明网和暗网运作,用作赎金谈判网站、勒索软件数据泄露网站和后台基础设施。从昨晚开始,REvil 勒索软件组织所使用的网站和基础设施已经神秘地关闭了。 在接受外媒 BleepingComputer 采访的时候,Tor 项目的 Al Smith 表示:“简单来说,显示的这个错误通常意味着该 Onion 网站已经离线或者被禁用。如果你想要确认的话,你需要联系 Onion 网站的管理员”。虽然 REvil 网站在一段时间内失去连接并非闻所未闻,但所有网站同时关闭的情况并不常见。 此外,decoder[.]re 明网不再能被 DNS 查询解析,可能表明该域名的 DNS 记录已被撤销,或后端 DNS 基础设施已被关闭。Recorded Future 的 Alan Liska 说,REvil 网站在美国东部时间今天上午 1 点左右下线了。 今天下午,LockBit 勒索软件的代表在 XSS 俄语黑客论坛上发帖说,据传 REvil 团伙在得知政府的传票后删除了他们的服务器。 Advanced Intel 的 Vitali Kremez 将这段话翻译出来就是:“根据未经证实的信息,REvil 服务器基础设施收到了政府的法律要求,迫使 REvil 完全擦除服务器基础设施并消失。然而,这并没有得到证实”。Kremez 解释说:“根据经验,顶级论坛的管理部门在怀疑其用户被警方控制时,会对其进行禁言”。 不久之后,XSS 管理员禁止 REvil 的 “Unknown”账户,即勒索软件团伙面向公众的代表,离开论坛。     (消息及封面来源:cnBeta)

Kaseya 遭遇严重勒索软件攻击 REvil 团伙索要高达 7000 万美元赎金

上周五,美国软件开发商 Kaseya Ltd. 遭遇勒索软件攻击,攻击主要集中在 Kaseya VSA 软件上。据悉很多大型企业和技术服务供应商使用 Kaseya VSA 来管理软件更新,并向电脑网络上的系统发布软件更新。援引外媒 The Record 报道,REvil 勒索软件团伙索要7000 万美元的赎金,以发布一个通用的的解码器。 REvil 是一个臭名昭着的勒索软件团伙。勒索软件会锁住受害者的电脑,直到受害者支付数字赎金,通常以比特币形式支付。此次网络攻击似乎是 REvil 有史以来发起的规模最大的一次。据网络安全专家称,此次攻击事件可能已导致全球多达 4 万台电脑被感染。 在暗网博客上发布的一条信息中,REvil 勒索软件团伙声称锁定了超过 100 万个系统: 上周五(02.07.2021)我们对 MSP 供应商发起了一次攻击。超过 100 万的系统被感染。如果有人想就通用解密器进行谈判–我们的价格是 70000000 美元(BTC),我们将公开发布解密器,解密所有受害者的文件,所以每个人都将能够在不到一个小时内从攻击中恢复。如果你对这样的交易感兴趣,请按照受害者的 “readme”文件说明与我们联系。 如果兑现,该要求将成为有史以来最高的勒索软件赎金。Kaseya 发言人没有在现场评论该公司是否会考虑支付 REvil 团伙的赎金要求。在撰写本报告时,Kaseya 勒索软件事件据信已影响到全球数以千计的公司。   (消息及封面来源:cnBeta)

FBI 认定对 JBS 发起勒索软件攻击的幕后黑手是 REvil

美国联邦调查局(FBI)本周三证实,对全球最大肉类包装公司 JBS 发起持续勒索软件攻击的幕后黑手,就是臭名昭著的网络犯罪集团 REvil(又称Sodinokibi)。在事件曝光当天晚些时候发布的一份声明中,FBI 表示:“我们已经认定 JBS 攻击方为 REvil 和 Sodinokibi,正努力将攻击者绳之以法。现阶段我们的工作重点依然是处理攻击影响,并追究负责的网络行为者的责任”。 近年来,该组织因其大胆的攻击而引起网络安全生态系统内外的关注,这些攻击突破了勒索软件即服务行业的界限。在其他事件中,该组织去年试图敲诈时任总统唐纳德·特朗普,并发布或威胁出售与包括 Lady Gaga 在内的名人有关的文件。 REvil的一名代表在3月发表的一篇采访中说,该组织说它的目标是网络保险供应商,称它们是 “最美味的小菜之一”。该代表称:“尤其是先入侵保险公司,以获得他们的客户群,并在此基础上有针对性地开展工作。在你浏览完名单后,再攻击保险公司本身”。   (消息及封面来源:cnBeta)

勒索软件团伙试图在 Spring Loaded 活动前勒索苹果公司 要求支付赎金

据外媒The Record报道,REvil勒索软件的运营商要求苹果公司支付赎金,以避免其机密信息在暗网中遭泄露。REvil团队声称,他们是在对广达电脑公司进行网络攻击后掌握了苹果产品的数据,广达电脑公司是全球第一大笔记型电脑研发设计制造公司,也是根据预先提供的产品设计和原理图组装苹果官方产品的公司之一。REvil团伙在一个暗网门户网站上发布的信息中说,广达公司拒绝付款以取回其被盗的数据,因此,REvil运营商现在决定转而对付该公司的主要客户。 REvil团伙发布了21张描述MacBook原理图的截图,并威胁说每天都会发布新的数据,直到苹果或广达支付赎金要求。 此外,该勒索软件团伙还暗示,其他公司的数据也可能被泄露到网上。“我们的团队正在与几个大品牌协商出售大量的机密图纸和数千兆字节的个人数据,”REvil运营商写道。“我们建议苹果公司在5月1日前买回可用数据。” 广达电脑公司的已知客户包括一些世界上最大的笔记本电脑供应商,如惠普、戴尔、微软、东芝、LG、联想和许多其他公司。 一位熟悉广达谈判的消息人士说,REvil团伙要求的赎金为5000万美元,与他们上个月向笔记本电脑制造商宏基要求的金额相似。目前还不清楚REvil团伙现在期望从苹果公司得到多少钱。 这次勒索企图的时间安排与苹果公司宣布新产品和软件更新的Spring Loaded活动相吻合,以获得最大的知名度。 Dmitry Smilyanets是Recorded Future的威胁情报分析师,他告诉The Record,REvil的公共发言人,一个绰号为UNKN的人,在周日的论坛帖子中暗示了周一的公告,称今天的泄密是 “有史以来最引人关注的攻击”。 Smilyanets告诉The Record,这也是赎金软件团伙在被攻击的公司拒绝支付赎金费用后,公开向受害者的客户提出赎金要求的第一个重大事件。这是双重勒索中的一种新方法,即威胁者在与主要受害者谈判赎金未果后,与受影响的第三方进行接触。 苹果公司表示,它正在调查这一事件,目前没有什么消息可以分享。The Record无法联系到广达电脑公司的发言人进行评论,一位接听电话的人要求第二天再打电话。 两家公司仍极有可能淡化这一事件,并将被盗数据归类为非敏感信息。 周二泄露的文件显示了Macbook笔记本电脑的原理图,其中没有一个是特别敏感的,似乎也不包括组装信息和技术细节以外的内容。其中一个文件的日期是2021年3月9日,但不清楚所描述的产品是新产品还是只是更新的技术规格。 虽然广达被认为是世界上最大的笔记本电脑制造商,但第二家,同为中国台湾公司的仁宝在2020年11月遭遇了自己的勒索软件事件,当时它的一些文件被DoppelPaymer勒索软件团伙盗取,内部网络被加密。   (消息及封面来源:cnBeta)