索引
REvil(Ransomware Evil)又可以称为「Sodinokibi」,是一种私有勒索软件服务(Raas)的操作,当Revil成功攻击目标后,它们会威胁受害者,若收不到赎金,它们会将受害者的信息公布到一个名为「快乐博客(Happy Blog)」的网站中,而这些信息不外乎就是公司的机密资讯(例如产品设计图)。
REvil最早出现于2019年4月,在另一个名为 GandCrab 的 RaaS 团伙关闭其服务后声名鹊起。REvil 的早期,研究人员和安全公司将其确定为 GandCrab 的一种菌株,或者至少在两者之间建立了多重联系。该组织的一名涉嫌成员使用 Unknown 句柄,在最近的一次采访中证实,该勒索软件不是新产品,而是建立在该组织获得的旧代码库之上。
RaaS 运营背后的开发人员依靠其他称为附属机构的网络犯罪分子为他们分发勒索软件。事实上,勒索软件开发人员赚取了 20% 到 30% 的非法收益,其余部分则流向了从事访问公司网络和部署恶意软件的跑腿工作的附属公司。
RaaS 运营越成功,就越有可能吸引熟练的附属公司,如果一项运营关闭,附属公司会迅速转移到另一家。 GandCrab 过去曾发生过这种情况,最近发生在 Maze 组织中,该组织的成员本月早些时候宣布退休,其附属公司迅速转移到一个名为 Egregor(也称为 Sekhmet)的新勒索软件家族。
著名 REvil 攻击事件
REvil 使用的勒索软件代码类似于不同的黑客组织DarkSide使用的代码;REvil 的代码不公开,表明 DarkSide 是 REvil 的一个分支或 REvil 的合作伙伴。 REvil 和 Darkside 使用类似结构的赎金票据和相同的代码来检查受害者是否位于独立国家联合体(CIS) 国家。
网络安全专家认为,REvil 是之前臭名昭著但现已解散的黑客团伙 GandCrab 的分支。这被怀疑是因为 REvil 在 GandCrab 关闭后立即开始活跃,并且勒索软件共享大量代码。
Grubman Shire Meiselas & Sacks 娱乐法律事务所
在2020年5月,REvil 发动攻击窃取律师事务所将近1 TB的信息,里面包括特朗普、Lady Gaga、麥當娜(Madonna)、Nicki Minaj、Bruce Springsteen、Mary J. Blige、Ella Mai,Christina Aguilera和Mariah Carey等人的资讯。
它们利用 Elliptic-curve cryptography(ECC)的技术来破译事务所的相关文件。
Quanta Computer 广达电脑
在2021年4月,REvil 入侵窃取广达电脑的未公布信息,其中包括 Macbook Air M1 、Apple Macbook Pro、Apple Watch、ThinkPad Z60m,要求赎金5千万美金,但当时广达电脑拒绝支付赎金,REvil进而转向勒索苹果公司支付1亿赎金。
Harris Federation 哈里斯联盟
REvil在2021年3月公布 Harris Federation 的财务文件报表,导致系统关闭了数周,影响数万名学生。
JBS SA 巴西肉类加工公司
REvil 攻击导致所有美国牛肉工厂关闭,而 JBS 也向 REvil 支付赎金 1100万美金的比特币。
123