官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
事件报道
根据CNBC透露的消息,暗网中所有跟REvil勒索软件团伙相关的网站从7月13日开始就全部神秘消失了。目前我们还尚不清楚是什么原因导致的,因为这些网站最近一直都处于极度活跃状态,而现在当用户访问相关网站时,返回的只是“找不到具有指定主机名的服务器”。
勒索软件REvil也被称为Sodinokibi,是一个由俄罗斯网络犯罪团伙运营的勒索软件。REvil 勒索病毒称得上是 GandCrab的“接班人”。GandCrab 是曾经最大的 RaaS(勒索软件即服务)运营商之一,在赚得盆满钵满后于 2019 年 6 月宣布停止更新。
随后,另一个勒索运营商买下了 GandCrab 的代码,即最早被人们称作 Sodinokibi 勒索病毒。由于在早期的解密器中使用了“REvil Decryptor”作为程序名称,又被称为 REvil 勒索病毒。
网站消失原因暂且不知
目前,我们还不清楚是何原因导致跟REvil勒索软件相关的暗网网站消失下线。但这一事件已经引发了安全社区内研究人员的热烈讨论,很多人认为可能是当局所采取的措施。
众所周知,美俄两国在网络犯罪问题上的压力越来越大。
美国总统拜登还曾表示过,他上个月在日内瓦与俄罗斯总统普京举行峰会时讨论了这个问题,并于周五在电话中向普京提出了这个问题。拜登对记者表示,他已经“非常清楚地向他表明……我们期望他们对次采取行动。”并暗示美国可能对用于入侵的服务器采取直接的“报复”。
除此之外,美国国家安全委员会的一名官员在接受记者采访时也表示,美国当局预计不久将对勒索软件组织采取行动。
Mandiant威胁情报公司的John Hultquist在周二告诉CNBC称:“事件仍在发展中,但有证据表明,REvil的基础设施遭到了有计划的同时下线,要么是运营商自己做的,要么是有关当局做的。”
Hultquist在一封电子邮件中补充道:“如果这是一次有针对性的攻击行动,那么所有的事件细节可能永远都不会被曝光。”
一项分析显示,与REvil勒索软件(勒索软件即服务)有关的已知网站目前大部分都处于离线或无响应状态。
Hultquist提到:“跟REvil有关的暗网网站(.onion)和明网站点(decoder.re)目前均处于离线状态,尽管我们无法确切了解他们的暗网网站是如何被关闭的,但他们的明网网站的域名已经停止解析为IP地址了,不过其专用的域名服务器仍然在线。”
勒索软件已经严重影响个人和企业的正常生产生活
勒索软件攻击涉及对设备或网络上的文件进行加密的恶意软件,从而导致系统无法运行。这类网络攻击的幕后黑手通常要求支付费用,以换取数据的发布。
美国联邦调查局此前还专门警告过勒索软件攻击的受害者,支付赎金可能会鼓励进一步的恶意活动。
在此之前,美国的重要企业在今年曾遭遇了一系列备受瞩目的勒索软件攻击。美国联邦调查局(FBI)还指控了REvil上个月策划了一起针对全球最大肉类加工公司JBS的勒索软件攻击。
而就在上个星期,REvil还通过针对IT公司Kaseya和全球数百家企业的勒索软件攻击来要求支付巨额的比特币赎金。
据了解,本月早些时候,总部位于佛罗里达州的软件供应商Kaseya披露了最新的勒索软件攻击,该攻击蔓延至至少6个欧洲国家,并破坏了遍布美国的数千个网络系统。
REvil是所有勒索软件团伙中最多产、最令人恐惧的团伙之一,如果这真的是最后一次,那意义非凡。
有知情人士还透露称:“美国联邦调查局“取缔”了他们网站的内容,因此他们停止了其余的行动。除此之外,克里姆林宫也对其施加了压力,因为俄罗斯厌倦了美国和其他国家向他们哭诉勒索软件的事情。”