9个月内,186家知名公司遭到入侵。其中不乏美国核武器承包商、苹果供应商、日本富士等行业巨头,敲诈数额达数千万美元。这不是抢劫吗?是的,就是有这样一个黑客组织,他们就是靠“不给钱就泄露信息”的方式在网上进行抢劫。仅在2020年就成功赚取了1亿美元。自2019年“出道”以来,两年时间迅速成为全球第二大黑客组织,近300家组织遭到攻击。最可怕的是,还没有人能够阻止他们。如果不幸被他们选中,那么只能选择两个字:给钱。就连无法无天的特朗普也曾被他们勒索4200万美元。这……是《圣地何在》?特朗普与他无关。它就是备受争议的俄罗斯黑客组织:REvil。去年5月,忙于筹备大选的特朗普先生不幸被REvil选为“晚宴”。他们声称从美国著名律师事务所GrubmanShireMeiselas&Sacks(GSM)的服务器上窃取了756GB的数据。并威胁说:如果特朗普在一周内不支付4200万美元(折合人民币2.7亿元)的赎金,这些数据将全部泄露。这么小的手段能搞定特朗普吗?特朗普还在推特上调侃REvil是在虚张声势:他们手里其实什么都没有。但他立即尝到了威胁的滋味:2020年5月17日,REvil发布了169封与特朗普有关的电子邮件。他们还声称已将暗网上的数据出售给只有副本的买家。而且由于黑客将他们的消息发布在暗网上,联邦调查局也无法追踪到他们。在此期间,REvil似乎掌握了“财富密码”。也许他们觉得从名人那里窃取数据更容易,要钱更容易。所以在同一个月,LadyGaga、麦当娜等名人也受到了威胁。之后,什么也没有发生。但其成员曾提到,该组织2020年的收入将达到1亿美元。不知道是不是在暗示什么。事实上,到目前为止,REvil已经攻击了近300个组织。仅今年就有“非凡的记录”。3月,REvil宣布入侵并窃取宏碁数据;4月,苹果新品发布会在即,REvil扬言已掌握新品设计图纸;5月,美国核武器承包商SolOriens遭到REvil勒索软件的攻击。业务数据和员工信息被盗;同月,日本富士胶片因REvil攻击被迫关闭部分公司网络和外部连接;能源公司Invenergy报告说它受到了勒索软件攻击,REvil声称对此负责。据统计,从去年10月到今年6月,REvil发起了186起敲诈勒索。据此前统计,REvil已经是全球第二大黑客组织。△数据截至今年6月就在最近,他们又爆出一则重磅消息:REvil通过攻击供应链,仅一天时间就导致全球超过1000家企业被攻击。许多企业都受到了影响,从大型连锁超市和药店到铁路部门。瑞典大型连锁超市Coop受此影响,甚至不得不关闭全国约800家门店。这甚至让美国总统拜登紧急下令,指示FBI调查此事。来自供应链组织的攻击之所以能造成如此大的破坏,是因为REvil攻击了管理软件服务提供商Kaseya。欧美很多中小企业都在使用Kaseya提供的软件。由于无法成立自己的IT部门,管理软件来自Kaseya,黑客将官网提供的软件全部替换为勒索软件。突然之间,所有使用Kaseya软件的公司都曝光了。REvil通过官方软件网站或官方包管理工具传播病毒。黑客将伪装后的文件放在用于更新分发的c:\kworking文件夹中,然后启动PowerShell命令禁用MicrosoftDefender功能。然后,恶意软件会使用合法的Windowscertutil.exe命令解码文件夹中的agent.crt文件,将agent.exe文件解压缩到同一文件夹,并启动加密过程。agent.exe包括嵌入的“MsMpEng.exe”和“mpsvc.dll”,后者是REvil加密器,前者是MicrosoftDefender可执行文件的旧版本。因此,一旦用户在本地下载了agent.exe,就会开始解压运行,并对数据进行加密。于是,加濑谷就成了传播病毒的中心。目前,为防止损害继续扩大,Kaseya不得不警告用户:请关闭您的服务器。那些已经被感染的用户就没那么幸运了。黑客开始向他们索要500万美元的赎金来恢复数据。如果超过指定时间,赎金将加倍。然而,这是数据被勒索病毒加密的公司的赎金。如果只是网络受到影响,赎金就少很多,大约4.5万美元。据安全人员在暗网收集到的信息显示,黑客索要的赎金总额高达7000万美元。以此计算,应该有14家公司的数据受到影响。但严重的是,还有更多的公司没有被感染,只能选择关闭服务器。这些黑客来自俄罗斯吗?事实上,美国并不知道他们是什么样的人。但美国发现REvil似乎从未攻击过俄罗斯和其他前苏联国家,因此有理由相信它是一个起源于俄罗斯的黑客组织。REvil是谁?REvil的全称是RansomwareEvil,是一群依靠勒索软件进行“抢房”的黑客组织。自2019年出现以来,其作恶无数。而且他们的行为非常招摇。每次恶意攻击后,他们都会在首页快乐博客上公布勒索金额。仅今年一年,REvil就有6起前科。事情每次都变得越来越大。从信托公司和网络安全公司,到窃取苹果新产品信息,再到攻击全球最大的肉类加工厂,REvil每次都赚得盆满钵满。值得一提的是,REvil似乎与此前曾瘫痪美国燃料管道运输管理系统的Darkside有着千丝万缕的联系。首先,他们两个都是“俄罗斯人不打俄罗斯人”,不攻击俄罗斯或前苏联国家。其次,他们使用非常相似的勒索软件代码、勒索票据、文件加密扩展,并以相同的方式排除独联体国家。Flashpoint研究人员此前曾表示,Darkside很可能是REvil的分支或帮派。
