最新的网络安全新闻与俄罗斯入侵乌克兰有关
威胁情报 / REvil勒索软件:下一步是什么?

REvil勒索软件:下一步是什么?

REvil勒索软件:下一步是什么?
光子研究小组
更多信息请访问光子研究团队
2021年7月15日 | 10 分钟阅读

当勒索软件进入新闻周期, 甚至非网络安全人士也有疑问, 你知道它已经大了. 这次又是REvil,美高梅集团app下载似乎无法逃脱. 在过去的几天里,整个安全部门都在关注REvil发生了什么, 还有任何对安全稍有兴趣的记者或研究人员. 美高梅集团app下载已经通过美高梅集团app下载的数据和公开报告对此进行了调查, 但遗憾的是, 美高梅集团app下载目前的评估是美高梅集团app下载也不知道. 在情报游戏中,有时很难说, 但美高梅集团app下载会密切关注事态的发展.

在写这篇博客的时候, 雷维尔到底发生了什么还没有定论, 许多猜测仍然存在. 目前一些流行的理论:

  • 执法行动终止了行动,
  • 技术上的困难,
  • 集团或附属机构之间的冲突,
  • 重塑或重组,
  • (我最喜欢), 每个人的度假 在夏天

One thing’s for sure; they’ve had a pretty eventful year. 据报道, Ransomwhere 网站, 该集团的银行存款刚刚超过1200万美元, 已经进行了几次重大袭击. 回顾2021年第一季度,他们是在 前5名多产的攻击者 今年,美高梅集团app下载预计第二季度也会如此. 因为每个人都在想雷维尔, 让美高梅集团app下载花点时间来讨论一下他们是谁以及他们历史上的一些事件.

谁是REvil?

REvil(又名Sodinokibi或Sodin, 是2019年4月首次检测到的一种勒索软件变体. 最初的攻击主要针对亚洲的用户, 但REvil的攻击已经扩展到全球实体, 越来越多的勒索要求——最近的一次是对Kaseya的7000万美元的勒索. 从那时起, 该变体已被广泛用于针对世界各地不同部门的组织的勒索软件攻击, 包括卫生保健, 法律服务、科技、政府、零售和金融服务. 

目标信息来自探照灯公司的索迪诺基比人档案

除了在典型的勒索软件攻击中加密受害者的文件, 这种变体的运营商采用了越来越流行的方法,威胁要在他们的泄密网站“快乐博客”(Happy 博客)上公布从受害者那里窃取的数据.发布数据的做法与当代其他演员的趋势类似 迷宫、DoppelPaymer、NetWalker和Ragnar.

在某些情况下,有一种广泛流传的理论认为REvil与GandCrab勒索软件有关. This idea was based on some circumstantial evidence; 然而, 这种联系尚未得到官方证实. GandCrab勒索软件的运营商宣布,该变种将于2019年5月31日退役. 巧合的是, 公告发布后,涉及REvil和Sodinokibi的活动越来越频繁. 对Sodinokibi和之前的GandCrab勒索软件的技术分析表明,这两种版本是相似的:这两种版本在运行时使用相同的方法来构建url和解码字符串, 等. Sodinokibi没有被归因于一个民族国家或地理位置. 仍然, 根据特定的恶意软件组件,可能会得出与俄语有关的结论, 即通过检查键盘和系统上的位置和语言设置.

Sodinokibi作用于 ransomware-as-a-service(老城) 模型和出租给子公司或利益相关者进行攻击和传播勒索软件. 自2019年发现以来,Sodinokibi使用了各种方法来伤害受害者. 除了使用网络钓鱼或广告传播勒索软件, 该变种的操作人员利用了软件漏洞, 包括Oracle WebLogic Server漏洞(CVE-2019-2725)和Windows零日漏洞(CVE-2018-8453), 以及最近的Exchange漏洞. Sodinokibi运营商还违反了管理服务提供商(MSPs)的规定,在MSPs的客户身上部署了勒索软件, 正如美高梅集团app下载最近在2021年7月看到的 Kaseya VSA事件. 

以下是REvil近期发生的一些重大事件的时间线:

  • 2019年5月:GandCrab变黑了
  • 2019年7月:美国联邦调查局发布GandCrab主解密密钥
  • 2019年8月:供应商入侵,将勒索软件传播到德克萨斯州的22个城市
  • 2020年1月:Sodinokibi通过在论坛线程上发布受害者数据,将数据泄露的元素纳入其勒索软件攻击, 后来被“快乐博客”网站所取代, 在没有支付赎金的情况下,他们用来公布从受害者那里窃取的数据.
  • 2020年3月:代表们宣布计划在比特币上使用Monero, 在论坛上呼吁对未指明业务进行投资 
  • 2020年4月:广泛利用COVID-19大流行传播勒索软件
  • 2020年5月:涉嫌违反和出售特朗普相关信息, 以及接下来几个月里的多位名人, 可能是由于违反了GSMS律师事务所
  • 2020年6月:研究人员发现了PoS扫描软件的变体,并利用Cobalt Strike交付了勒索软件. REvil在“快乐博客”上增加了一个拍卖页面.”
  • 2021年3月:哈里斯联盟突破, 这会导致网络关闭数周吗, 硬件和电子制造商宏基的入侵
  • 2021年4月:在攻破硬件供应商广达电脑(Quanta)后,将苹果的原理图和其他公司数据出售
  • 2021年5月:攻击JBS, 迫使美国牛肉工厂关闭,并扰乱了家禽和猪肉工厂的运营
  • 2021年6月:攻击英能 
  • 2021年7月:与REvil相关的网站关闭, representative banned from XSS forum; attacks on US DoD contractor HX5 and Kaseya MSP

卡塞亚事件发生了什么?

就像斯特凡诺写的 初始阶段 卡塞亚事件, 最近报道的一次零日袭击被用来攻击Kaseya网络并在其中获得立脚点, 影响大约1,500客户. 据Kaseya称,这至少涉及三家cve 据报道,已于2021年7月12日修正: CVE-2021-30116、CVE-2021-30119和CVE-2021-30120. 这些漏洞解决了凭据泄露的问题, 绕过两因素身份验证, 和跨站点脚本编制. 

值得注意的是,这些漏洞的迅速武器化发生在同样问题的另一个负责任的披露之后. 这一消息表明,犯罪方面的专业化程度有所提高. 从历史上看, 在零日前后开发利用通常被视为民族国家行为者的专属行为, 哪一个REvil可能归功于高技术水平和合理的预算.

美高梅集团app下载公司一直在监测探照灯公司的Kaseya事件.

从那时起有什么更新?

在Kaseya事件发生前的几个小时,我在博客上发表了自己的感想, REvil公司也取得了一些令人兴奋的进展, 也就是他们所有的网站, 包括“快乐的博客,“是. 此外,他们的代表“未知”已被禁止进入广受欢迎的论坛XSS. 

推特verse意识到REvil网站不可用.

REvil的论坛代表Unknown被XSS禁止.

在最近几天, 关于停电的地下讨论一直很有限, 可能是因为一些俄语论坛对讨论勒索软件持敌对态度. 一些威胁演员推测,即使执法机构已经成功打击了REvil, 这并不意味着该组织活动的结束. 仍然, 其他人则预测,该组织将以另一个名字重新出现,或分裂成更小的组织,以吸引较少的关注, 这是一些研究人员在推特上分享的想法吗. 失去对XSS的访问可能有几个目的:减少对论坛本身的关注,或在执法行动时先发制人地禁止成员访问论坛以外的网站.

然而, 你旋转, REvil勒索软件集团的网站无法被访问是不寻常的,因为该集团的基础设施历来比其他勒索软件集团更稳定. 网站可能因为临时技术问题或升级而宕机, 但这也可能意味着执法部门对该组织的运作造成了干扰. 鉴于最近REvil代表的缺席,这的确提出了一些有趣的问题.

俄罗斯《美高梅体育官方app》(Russia 's Life News) 2021年6月的一篇报道在西方没有得到太多传播, 可能是由于历史上亲克里姆林宫的故事. 但, 有趣的是,这篇文章证明了俄罗斯联邦安全局(FSB)愿意与美国合作打击黑客. 这篇报道直接引用了俄罗斯联邦安全局局长亚历山大·博尔特尼科夫的话,并在七国集团峰会后发表. 如果真的愿意与美国合作的话, 这为联合执法行动的可能性增加了一点色彩.

据报道,俄罗斯联邦安全局局长博尔特尼科夫已准备好与美国合作

根据目前的公开报道, 然而, 从历史上看, 美俄联合行动的结果喜忧参半. 考虑到两国之间目前的不信任气氛, 其他地方缺乏大量的媒体报道, 以及出了名的守口如瓶的美国联邦调查局(FBI),他们对目前的调查不予置评, 这很难说. 如果这是真的, 这可能是两国在政治资本方面的巨大胜利, 尤其是像REvil这样多产的运营商, 谁被证明是每个人的眼中钉. 美高梅集团app下载的感觉是如果这真的是一次执法行动的话, 美高梅集团app下载现在应该听到或看到了什么, 就像之前针对其他勒索软件运营商的突袭和逮捕一样.

最后一个想法, REvil并没有,但REvil似乎并没有逃避恶名, 因此,这种突然的平静很奇怪. 2021年6月初, 在JBS遭受网络攻击后,REvil的一名代表在Telegram上告诉记者,尽管美国采取了更加强硬的立场和政治举措,但关键的基础设施和美国目标不会成为禁区. 更不用说,REvil似乎并不关心热门论坛上的勒索软件禁令.

JBS攻击事件后,REvil的一位代表接受了采访.

这次采访也发生在美国公司Colonial Pipeline及其基础设施遭到DarkSide攻击的几周后. 在本质上, 尽管禁令, REvil不再对在论坛上运营感兴趣, as they had plenty of business from affiliates by word of mouth; and they were okay with operating without restrictions on the types of targets because there was money to be made regardless. 这样的公开招生办似乎会把一群人置于某人的枪口之下, 但, 再一次, 谁会是扳倒他们的组织?

最后, 在我写这篇文章的时候,各种可能性似乎预示着一个冷静期, 这可能与品牌重塑有关. 据报道,这种情况以前在GandCrab身上发生过,可能会在他们的下一步行动中再次发生. 也, 尽管不活跃或禁止从特定论坛, 还有很多其他的选择, 还有社交媒体的可能性. 也, 实际上,这可能只是他们退休前最后一次需要的大比分. 

保护您的组织免受勒索软件参与者的侵害

如果你想要保护自己免受快速增长的勒索软件威胁, 美高梅集团app下载公司的探照灯(探照灯)是最新的 威胁情报 在战术、操作和战略层面上,像REvil这样不断上升的威胁行为者. 从Photon团队获得快速的更新和行业领先的分析和报告, 包括MITRE关联和缓解, 与一个 7天免费试用 这里的探照灯. 你还可以得到一个 定制的演示 来了解你的组织所面临的威胁和潜在的风险.

欲了解更多信息,请参阅美高梅集团app下载之前的博客文章 探照灯内追踪勒索软件 向你展示了探照灯是如何追踪新兴变体的, 允许您导出和阻止各种格式的相关恶意指标, 即时分析热门目标, 并轻松映射到您的安全控制.

雷维尔在探照灯中的威胁情报简介

在试驾中访问美高梅集团app下载的威胁情报

试驾探照灯免费 7
现在试一试

与美高梅集团app下载联系

友情链接: 1 2 3 4 5 6 7 8 9 10