kaiyun官方注册
您所在的位置: 首页> 通信与网络> 业界动态> REvil正式同名复出,消失内幕曝光

REvil正式同名复出,消失内幕曝光

2021-11-09
来源:红数位
关键词: REvil

近日,REvil勒索软件操作的暗网服务器在下线近两个月后突然重新启动。该网站名为Happy Blog,是今年早些时候REvil成员于7月13日关闭的众多服务器之一。

  昨日我们对此进行了报道:

  REvil重出江湖?

  今天,红数位正式定义REvil已经正式同名(未改名)复出,且其短期关闭内幕也曝光出来。

  2021年7月2日,REvil勒索软件团伙(又名 Sodinokibi)利用Kaseya VSA远程管理软件中的零日漏洞对大约60家托管服务提供商(MSP) 及其1500多家企业客户进行加密。然后,REvil要求MSP提供500万美元用于解密器,或44999美元用于各个企业的每个加密扩展。该团伙还要求提供7000万美元的主解密密钥来解密所有Kaseya受害者,但很快将价格降至5000万美元。(延伸阅读:史上最高勒索费:4.52亿人民币!(附IoC))

  袭击发生后,勒索软件团伙面临来自执法部门和白宫的越来越大的压力,他们警告说,如果俄罗斯不对境内的威胁行为者采取行动,美国将自行采取行动。不久之后,REvil勒索软件团伙似乎彻底消失了,他们所有的暗网服务器和基础设施都被关闭。

  REvil带着新的受害者同名回归

  关闭后,研究人员和执法部门认为REvil将在某个时候重新命名为新的勒索软件操作。然而,令我们惊讶的是,REvil勒索软件团伙本周以同名复活。

  9月7日,也就是他们失踪近两个月后,暗网支付/谈判和数据泄露站点突然重新打开并可以访问。一天后,又可以登录暗网支付网站,与勒索软件团伙交涉。所有之前的受害者都被重置了计时器,而且他们的赎金要求似乎与7月份勒索软件团伙关闭时一样。

  但是,直到9月10日,有人将9月5日编译的新REvil勒索软件样本上传到 VirusTotal时,REvil有新攻击的证据开始被正式确认。今天,我们看到了他们再次发动攻击的进一步证据,因为勒索软件团伙在他们的数据泄露站点上发布了新受害者被盗数据的屏幕截图。

  新的REvil代表出现,短期消失内幕曝光

  过去,REvil勒索集团的公共代表是一个被称为“Unknown”(未知)或“UNKN”的威胁行为者,他经常在黑客论坛上发帖以招募新的分支机构或发布有关勒索软件操作的新闻。

微信图片_20211109085247.jpg

  REvil的UNKN的论坛帖子

  9月10日,在勒索软件操作回归后,一个简单地名为“REvil”的新代表开始在黑客论坛上发帖,声称该团伙在Unknown被捕并且服务器遭到入侵后短暂关闭。

微信图片_20211109085250.jpg

  REvil发布到俄语黑客论坛

  这些帖子的翻译如下:

  “随着Unknown(又名8800)消失,我们(编码人员)备份并关闭了所有服务器。以为他被捕了。我们试图搜索,但无济于事。我们等待-他没有出现,我们恢复了一切都来自备份。UNKWN消失后,主办方通知我们Clearnet服务器遭到入侵,他们立即将其删除。之后我们立即使用密钥关闭了主服务器。据称被执法部门泄露的Kaseya解密器,实际上是在解密器生成期间被我们的一位运营商泄露的。”- REvil

  根据这些说法,执法部门在获得对REvil的某些服务器的访问权限后获得了Kaseya的通用解密器。

  然而,许多消息来源透露,REvil的失踪和其他人一样让执法部门感到惊讶。

  据信是一名安全研究人员和REvil之间的聊天描绘了一个不同的故事,一名REvil操作员声称他们只是休息了一下。

微信图片_20211109085252.jpg

  研究人员和REvil关于他们失踪的聊天

  虽然我们可能永远不知道REvil短期失踪的真正原因或Kaseya是如何获得解密密钥的,但最重要的是要知道REvil又回到了,目标将继续针对全球大公司。

  凭借其熟练的附属机构和执行复杂攻击的能力,所有网络管理员和安全专业人员都提高警惕,必须熟悉他们的策略和技术(我们将在明天发布REvil策略和技术解密)。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。
Baidu
map