本文經(jīng)AI新媒體量子位（公眾號(hào)ID:QbitAI）授權(quán)轉(zhuǎn)載，轉(zhuǎn)載請(qǐng)聯(lián)系出處。

9個(gè)月內(nèi)，186家知名公司被攻破。

其中不乏美國(guó)核武器承包商、蘋果供應(yīng)商、日本富士等等行業(yè)巨頭，被勒索金額動(dòng)輒幾千萬美元。

這不就是打劫？

對(duì)，就有這樣一個(gè)黑客組織，他們靠著“不給錢就公開你信息”的手段在網(wǎng)絡(luò)上打家劫舍。

僅在2020年一年內(nèi)就成功進(jìn)賬1億美元。

從2019年“出道”至今，兩年迅速成為世界第二大黑客組織，近300家組織曾被攻擊。

最可怕的是，目前還沒有人能夠阻止他們。

如果不幸被他們選中了，那能選擇的只有兩個(gè)字：給錢。

就連無法無天的特朗普，也一度被他們勒索4200萬美元。

這……究竟是“何方神圣”??？

特朗普都拿他沒轍

它就是備受爭(zhēng)議的俄羅斯黑客組織：REvil。

?[[409519]]?

去年5月，正在為大選忙得焦頭爛額的特朗普先生，就不幸被REvil選中為“盤中餐”。

他們聲稱已經(jīng)從知名美國(guó)律師事務(wù)Grubman Shire Meiselas＆Sacks（GSM）服務(wù)器中竊取了756GB的數(shù)據(jù)。

并揚(yáng)言：如果特朗普一星期內(nèi)不支付4200萬美元（折合人民幣2.7億元）的贖金，就會(huì)把這些數(shù)據(jù)通通泄露出去。

這樣的小手段，能搞得定特朗普？

川普還在Twitter上取笑REvil是虛張聲勢(shì)：他們其實(shí)手里沒有任何東西。

不過他馬上嘗到了被威脅的滋味：

2020年5月17日，REvil公開了169封與特朗普有關(guān)的郵件。

他們還聲稱已經(jīng)在暗網(wǎng)上將數(shù)據(jù)出售給了買方，不過對(duì)方只有副本。

而且由于黑客是在暗網(wǎng)上發(fā)布消息，所以FBI也追蹤不到他們。

這一時(shí)期的REvil就像掌握了“財(cái)富密碼”一般，可能他們感覺到從名人那里偷數(shù)據(jù)要簡(jiǎn)單、要錢更容易。

所以在同月，受到威脅的還有Lady Gaga和麥當(dāng)娜等名人。

后來，事情都不了了之。

但是其成員曾提到過，2020年該組織的進(jìn)賬有1億美元，不知道是不是暗示了什么。

[[409520]]

事實(shí)上，截止目前REvil已經(jīng)攻擊了近300家組織。

僅在今年就“戰(zhàn)績(jī)斐然”。

3月，REvil宣布已入侵竊取宏碁（acer）數(shù)據(jù)；

4月蘋果新產(chǎn)品發(fā)布在即，收到REvil威脅：已掌握新產(chǎn)品設(shè)計(jì)圖；

5月，美國(guó)核武器承包商Sol Oriens公司遭遇REvil勒索病毒攻擊，業(yè)務(wù)數(shù)據(jù)及員工信息被竊??；

同月，日本富士膠片因遭REvil襲擊，被迫關(guān)閉公司部分網(wǎng)絡(luò)及對(duì)外連接；全球最大肉制品供應(yīng)商JBS在其勒索下，一度關(guān)閉美國(guó)所有工廠；

6月，美國(guó)能源公司Invenergy報(bào)告自己遭到了勒索軟件攻擊，REvil表示對(duì)此負(fù)責(zé)。

有人曾統(tǒng)計(jì)過，從去年10月到今年6月，REvil就發(fā)起了186次勒索。

從此前統(tǒng)計(jì)數(shù)據(jù)看，REvil已經(jīng)是目前世界上第二大黑客組織。

△數(shù)據(jù)截止今年6月前

就在最近，他們又搞出了個(gè)大新聞：

通過攻擊供應(yīng)鏈，REvil在短短1天時(shí)間內(nèi)造成了全球1000多家公司被襲擊。

從大型連鎖超市、藥店到鐵路部門等，眾多企業(yè)都被波及。

瑞典大型連鎖超市Coop受此影響，甚至不得不關(guān)閉了全國(guó)約800家門店。

這甚至讓美國(guó)總統(tǒng)拜登緊急下令，指示FBI調(diào)查此事。

從供應(yīng)鏈群體攻擊

能夠造成如此大的危害，是因?yàn)镽Evil襲擊了一家管理軟件服務(wù)商Kaseya。

歐美許多中小企業(yè)都在用Kaseya提供的軟件。

因?yàn)闊o力自己組建IT部門，他們的管理軟件都來自Kaseya公司，而黑客把將官網(wǎng)提供的軟件全部換成了勒索病毒。

一下子，所有使用Kaseya軟件的公司都暴露在風(fēng)險(xiǎn)之中。

REvil通過軟件官網(wǎng)或官方包管理工具傳播病毒。

黑客將偽裝的文件放入用于更新分發(fā)的c:\kworking文件夾中，然后啟動(dòng)PowerShell命令禁用微軟Defender功能。

然后，惡意軟件將使用合法的Windows certutil.exe命令解碼文件夾中的agent.crt文件，并將 agent.exe文件解壓縮到同一文件夾，然后啟動(dòng)加密過程。

agent.exe中包括嵌入的“MsMpEng.exe”和“mpsvc.dll”，后者是REvil加密器，而前者是微軟Defender可執(zhí)行文件的舊版。

所以，用戶一旦將agent.exe下載到本地，就會(huì)開始解壓運(yùn)行，并加密數(shù)據(jù)。

所以Kaseya就成了分發(fā)病毒的中心。

目前，為了防止危害繼續(xù)擴(kuò)大，Kaseya不得不警告用戶：請(qǐng)關(guān)掉你們的服務(wù)器。

那些已經(jīng)受感染的用戶就沒那么幸運(yùn)了，黑客開始獅子大開口，向他們索要500萬美元的贖金來恢復(fù)數(shù)據(jù)，若超過規(guī)定時(shí)間，贖金將翻倍。

不過，這是數(shù)據(jù)已經(jīng)被勒索病毒加密的公司的贖金，如果只是網(wǎng)絡(luò)受到影響，被勒索的贖金要少得多，約4.5萬美元。

根據(jù)安全人員在暗網(wǎng)上收集到的消息，黑客的總贖金要求已經(jīng)達(dá)到了7000萬美元。

以此計(jì)算應(yīng)該有14家企業(yè)數(shù)據(jù)遭殃。但嚴(yán)重的是，有更多沒被感染的企業(yè)只能選擇關(guān)停服務(wù)器。

這群黑客是來自俄羅斯的嗎？其實(shí)美國(guó)也不知道他們是怎樣一群人。

但是美國(guó)發(fā)現(xiàn)REvil似乎從不攻擊俄羅斯和其他前蘇聯(lián)國(guó)家，因此有理由相信這是一個(gè)來自俄羅斯的黑客組織。

REvil究竟何許人也？

REvil全稱Ransomware Evil，是一群專門靠勒索軟件“打家劫舍”的黑客組織。

從2019年出現(xiàn)至今犯案無數(shù)。

而且他們的行徑非常招搖，每次惡意攻擊后，他們都會(huì)在自己的主頁(yè)Happy Blog上發(fā)布勒索金額。

僅在今年，REvil也已經(jīng)有了6次犯案記錄。

事情也一次比一次鬧得大，從信托公司、網(wǎng)絡(luò)安全公司，到竊取蘋果新產(chǎn)品信息、攻擊世界上最大的肉類加工廠，REvil每一次都賺得盆滿缽滿。

值得一提的是，REvil和此前搞癱美國(guó)燃油管道運(yùn)輸管理系統(tǒng)的Darkside似乎有著千絲萬縷的關(guān)系。

首先，他們兩個(gè)都是“俄羅斯人不打俄羅斯人”，不攻擊俄羅斯或前蘇聯(lián)國(guó)家。

其次，他們使用的勒索軟件代碼、贖金票據(jù)、文件加密擴(kuò)展名都非常相似，也用同樣的方式來排除獨(dú)聯(lián)體國(guó)家。

Flashpoint的研究人員此前表示，Darkside很可能是REvil的分支或者團(tuán)伙。

??