EVIL:觀察 | 還原最神秘的黑客組織—REvil

摘要：

烤仔觀察今天給大家介紹關于黑客組織——REvil的故事。

REvil突然從暗網消失了。

7月13日開始，這個全球臭名昭著的勒索軟件組織旗下曾經極度活躍的那些勒索頁面、支付入口以及聊天功能，訪問時返回的只是“找不到具有指定主機名的服務器”。

英國廣播公司14日援引一名自稱是REvil黑客成員的話稱，FBI停用了REvil網頁的部分功能，因此他們干脆將網頁徹底關停。他還稱，該組織也受到來自克里姆林宮的壓力，“俄羅斯已經厭倦了美國和其他國家向他們哭訴”。

在這之前，美國總統拜登要求俄羅斯總統普京對REvil采取行動，而克里姆林宮發言人佩斯科夫則要求美國拿出黑客在俄羅斯領土活動的證據。

為什么美國緊盯著REvil不放？這還要從REvil索要史上最高贖金7000萬美元，一場竹籃打水一場空的勒索。

贖金“團購價”，REvil破勒索記錄

Kaseya是一家來自瑞典的IT公司，于1999年獲得了美國專利局認證的KaseyaVSA專利和連接算法專利。

KaseyaVSA是一個基于云的MSP平臺，MSP是一種通過建立自己的網絡運作中心來為企業提供24×7×365的系統管理服務的業務。MSP可以實現遠程的管理、實時的監控和對企業系統運作情況的統計。

Kaseya在全球已經擁有了超過10000家客戶，其中50%以上的全球100強IT管理服務提供商及各大龍頭企業，分別來自銀行業、金融業、零售業、貿易業、教育機構、政府機構、醫療機構和交通運輸業等領域。截止2011年底，全球有超過1300萬臺以上的終端和設備通過Kaseya的軟件進行管理。

正是因為很多大型企業和技術服務供應商都選擇使用KaseyaVSA，Kaseya才被選中成為此次的攻擊對象。

火幣全球觀察區項目PHA日內上漲58.14%:據火幣全球站行情顯示，9月13日火幣全球觀察區項目 PHA 強勢上漲，最高漲至0.1434 USDT，日內最高漲幅達117%；截至19時30分，PHA 報價為0.1045 USDT ，日內漲幅為58.14%。行情波動較大，請做好風險控制。

據悉，火幣“鎖倉HT參與新幣挖礦”二期活動提供500萬枚PHA 代幣用于獎勵參與鎖倉的用戶，按照 0.1045 USDT價格，鎖倉HT參與PHA 新幣挖礦的用戶可以獲得較高的年化收益。[2020/9/13]

因為對于勒索軟件團伙來說，MSP實在是一個高價值的“獵物”。通過MSP，可以通過單一漏洞感染許多公司的渠道，但發起攻擊需要黑客對MSP及其使用的軟件有深入了解。REvil可是深諳此道。

REvil擁有一個專門針對MSP的技術分支機構，長期以來一直針對這些公司及其常用軟件進行研究。與其他勒索軟件一樣，REvil的勒索軟件會鎖住受害者的電腦，直到受害者以他們要求的形式支付贖金。

被勒索企業終端界面示例

REvil為此次攻擊精心準備過。

通常，大規模勒索軟件都將攻擊時間放在周末的深夜，因為在那個時間段監控網絡的人員最少。然而這次，REvil反其道而行之，選擇在周五中午10時-12時發起攻擊，因為在工作日，購買Kaseya服務的企業都在工作狀態，可以將勒索攻擊的效果最大化，同時周五又是員工們周末之前最松解的時間，工作效率并不高，很大程度上不會在第一時間對攻擊作出防御反應。

REvil精心策劃的攻擊實施得相當順利。

7月2日周五中午開始，Kaseya陸續收到了客戶報告，報告顯示KaseyaVSA本地產品管理的端點出現了異常狀況。基于報告，Kaseya執行團隊發現勒索軟件正在端點上執行。他們向本地客戶發送通知，要求用戶關閉他們的VSA服務器，同時關閉Kaseya的VSASaaS基礎設施。

可惜他們的反應還是慢了一步。

幣情觀察室 | 精準把控短線高低位:4月14日11:30，行情大V滅霸比特幣幣談做客《幣情觀察室》直播間，將分享《精準把控短線高低位》敬請關注，欲觀看直播掃描下圖二維碼即可！[2020/4/14]

REvil攻擊路徑

通過調查，Kaseya的安全團隊發現勒索軟件使用了KaseyaVSA中的一個漏洞，并宣布將盡快發布補丁。

在KaseyaVSA服務器淪陷后，勒索軟件隨即被部署到其他使用Kaseya遠程桌面管理軟件的公司。由于Kaseya的客戶中有大型IT服務供應商，這些公司又會為數百間公司提供外包IT服務，預估受影響的公司多達數千家，遍布英國、加拿大和南非等至少17個國家。

根據REvil于7月4日在暗網博客上發布的信息，聲稱已經鎖定了超過100萬個系統或終端，并要求7,000萬美元“團購價”贖金，以BTC形式支付。按照網頁形式，收到贖金后，REvil將發布解密器，可在1小時內解密所有被鎖住的系統/終端。

REvil在暗網的博客頁面

根據參與此次事件響應的安全公司之一Huntress的數據表明，此次網絡攻擊是REvil有史以來發起的規模最大的一次攻擊，超過3100個暴露在公網的KaseyaVSA服務器，其中包括中國香港的9臺服務器，50余個MSP及超過1000家下游企業受影響。并且可能已導致全球多達4萬臺電腦被感染。

受害者分布，顏色越深數量越多受影響越大

美國弗吉尼亞理工大學、瑞典Coop雜貨連鎖店、瑞典國有鐵路運營商SJ、意大利Mirogliogroup、美國零售ExtendaRetail均在被影響之列，英國時尚品牌FrenchConnection、巴西醫療診斷公司GrupoFleury、西班牙電信運營商MasMovilIbercom均在被勒索的行列。

事情到了這個地步，就已經不是一兩家企業與黑客組織之間的事情了。

聲音 | 花旗銀行高管：Libra還需要時間來觀察:據每日經濟新聞消息，7月1日上午，以“領導力4.0：全球化新時代的成功之道”為主題的2019年世界經濟論壇新領軍者年會（夏季達沃斯）在大連拉開帷幕。花旗銀行亞太區資本市場與咨詢業務負責人Jan Metzger在年會現場談及Facebook的加密貨幣Libra時表示，花旗銀行始終擁抱技術，但重要的是要用一種讓監管機構感到舒適和愉快的方式來擁抱。這里面包含很多考慮，包括客戶的考慮，“我們覺得這些發展很有意思，但還需要一點時間來觀察發展的情況。”[2019/7/1]

7月4日，美國總統拜登下令啟動全面的聯邦調查。9日，拜登與普京進行了通話。通話后拜登告訴媒體：“我對他明確的表態，美國希望俄羅斯能夠對它國境內的勒索軟件組織立刻采取行動，即便這個組織不是由國家贊助的。美國可以為此提供充足的攻擊者的信息。”拜登后來補充道：“如果普京不這樣做，美國將關閉該組織的服務器”。

而據俄塔社報道，佩斯科夫當天表示，克里姆林宮對REvil從暗網中消失的原因并不知情。他強調，俄羅斯認為任何網絡犯罪都是不可接受的。“俄羅斯和美國應該合作打擊這一犯罪。不幸的是，我不掌握有關該團體的詳細信息。但俄羅斯和美國已開始就打擊網絡犯罪進行雙邊磋商。”

業內“勞模”，酷愛“頂風作案”

7000萬美元贖金，聽上去是一個天文數字，但這不是REvil第一次獅子大開口了。

REvil也被稱為Sodinokibi。由于勒索病代碼源自曾經最大的RaaS運營商GandCrab的“Sodinokibi”病，REvil一直被視作GandCrab的“接班人”。

“名師“出”高徒“。起點夠高，REvil的膽子也更大。

因為從服務于全球影視娛樂巨星的律師事務所——GrubmanShireMeiselas&Sacks竊取了近1TB的信息，使REvil“一戰成名”。自此之后，REvil的名字就與LadyGaga、埃爾頓·約翰、羅伯特·德尼羅和麥當娜等知名巨星緊緊聯系在了一起。

分析 | coindesk分析：比特幣走勢未明 需進一步觀察:據coindesk分析，昨日比特幣再度沖高回落，給探底后快速復蘇的牛市情緒澆了一盆冷水，目前前景是中立的。從技術面看，如果比特幣價格上漲至3897美元以上，將再次看漲；若跌破3658美元，則將加強看跌觀點，并可能進一步跌至3400美元。[2019/3/1]

2020年5月，REvil聲稱破譯了其時美國總統唐納德·特朗普旗下公司用于保護其數據的橢圓曲線密碼術，并為他們盜竊的數據索要4200萬美元的贖金。

打出名號之后，作為黑客界的“SuperStar”，REvil的犯案頻率簡直可以被評為業界“勞模”，僅2021年就憑借其每月至少一起的作案頻率常年占據頭版頭條。

3月，REvil附屬組織在網絡上聲稱，他們已從跨國硬件和電子公司宏碁安裝勒索軟件并盜取大量數據，并為此索取5000萬美元的贖金；3月，REvil攻擊哈里斯聯盟，并在其博客上發布了聯盟的多份財務文件；4月，REvil竊取了廣達電腦即將推出的蘋果產品的計劃，并威脅要公開發布這些計劃，除非他們收到5000萬美元作為贖金；5月，全球最大肉類供應商JBS受到REvil勒索軟件的攻擊，該公司不得不將所有美國牛肉工廠暫時關閉，并中斷了家禽和豬肉工廠的運營。最終，JBS還是向REvil支付了1100萬美元的比特幣贖金；6月，全球再生能源巨擘Invenergy證實其作業系統遭到了勒索軟件的攻擊，REvil聲稱對此事負責。對REvil，各國政府也是深惡痛絕，多次下令進行嚴厲打擊，美國尤甚。

在5月遭受REvil攻擊，JBSFoods公司在美加工廠全部關停。而作為全球最大的牛肉和家禽生產商、全球第二大豬肉生產商，JBSFoods肩負著美國、澳大利亞、加拿大、英國等地業務肉食供應的大宗供應。美國加工廠的關停會直接導致至少美國境內短期的肉食產品供應短缺。

如果說經濟和民生上短暫的波動還不足以撼動白宮的神經，那么國土安全就是頭號大事了。

美國能源部的分包商與國家核安全局合作開發核武系統的SolOriens公司在6月遭遇勒索病攻擊。經過比對，專家稱“攻擊來自REvil勒索軟件”。

ICX Token發現交易控制Bug,移入評級觀察列表:6月16日，在幣安、OKex、火幣等著名交易所都有上線交易的ICX幣發現Bug，該項目的官方github倉庫中有人提出一個使得transfer功能失效的Bug，任何人都能隨意開啟和關停合約的主要功能（包括轉賬，授權和燒幣）。

安比（SECBIT）實驗室對該合約代碼進行分析指出，合約中存在一個變量isTokenTransfer，當該變量為true時，合約中所有的賬戶(被鎖定的賬戶除外)才可以進行轉賬、授權他人轉賬和燒幣等操作，但其在onlyFromWallet中的判斷條件卻寫反了，也就是說，除了walletAddress以外，所有賬戶都可以調用enableTokenTransfer和disableTokenTransfer函數，開關Token的交易相關功能。

經過與項目方接觸，對方已經采取措施，保護交易不受影響，同時也在積極修復此Bug。雖然該Bug使得任何人都可以操控合約中轉賬，授權和燒幣功能的開啟和關停，可能會導致這部分功能暫時無法正常使用，但并不會影響對賬戶本身的安全造成實質性的影響。

評級機構TokenInsight決定將ICX移入觀察列表，待定觀察，ICX目前評級為BBB。

Bug原始出處點擊\"原文鏈接\"[2018/6/16]

來源：https://threatpost.com/revil-hits-us-nuclear-weapons-contractor-sol-oriens/166858/

安全研究員稱，SolOriens公司被入侵，可能來源于RDP服務被REvil弱口令爆破攻擊。

攻擊肉制品加工企業，會導致城市肉食供應受影響；而針對國防承包商的攻擊活動，誰知道被攻擊者拿走多少絕密文件呢？也無怪乎美國要對REvil“追著打”。

不過REvil有恃無恐，否則也不會7月僅僅過去兩天，就迫不及待地對Kaseya出手了。

不過結局大家也已經知道了，現在REvil在暗網的網站和應用，都處于關停狀態。

勒索犯“跑路”，被勒索的企業何去何從

黑客組織傾向于勒索比特幣作為贖金。這其中最廣為人知的，就是REvil要求Kaseya支付7000萬美元比特幣的這起案件。

事實上，比特幣不是黑客組織的的唯一選擇。REvil就曾經要求以門羅幣Monero作為贖金。

一旦REvil惡意軟件進入計算機系統，會加密所有受害者儲存在終端的文件，然后留下一個包含贖金記錄的文本文件。這個文本會引導受害者到Tor上的網站，等待下一步指示。

受害者門戶網站將顯示贖金要求，比如這個是價值50,000美元的門羅幣。如果贖金未在特定時間范圍內支付，贖金將翻倍至100,000美元。

受害者門戶網站甚至還為這些被勒索的傳統企業提供了有關可以在哪里購買門羅幣，以及應該將其發送到哪里的說明：

該門戶還允許受害者通過“聊天支持”選項卡直接與REvil交談。在這里，受害者可以發起與REvil的對話，協商贖金。

如何能讓受害者相信一個黑客組織？REvil簡直不要太專業。

他們會提供一個試用功能，受害者可以提供幾個加密文件，REvil解密后將文件返還，以此來確認受害者沒有找錯人，并證明他們確實有能力提供解密器。

難以想象的是，REvil居然“接受小刀”。受害者先是爭取了20%的折扣，繼而經過了一系列你來我往，最終同意支付25,000美元的贖金，在原價的基礎上整整打了5折。

而且，REvil不強求受害者一定要用門羅幣來支付，因為他們發現門羅幣的知名度太差了，知道門羅幣的受害者和支持門羅幣流通的交易平臺都太少。于是，如果受害者要求用比特幣支付，REvil會同意。而且從Kaseya的案件中來看，REvil后期會直接索要比特幣作為贖金。

一旦支付了贖金，受害者門戶就會更新以提供對解密器的訪問。

對于受害者來說，與REvil接觸的過程已經全部完成，他們可以使用解密器工具重新獲得對其文件的訪問權限。這就是一套完整REvil索要贖金的過程。

那么在Kaseya事件中，有企業支付贖金嗎？答案是：有。目前已經統計到的數據中，部分受害者向REvil支付了共計45,000美元的贖金。

勒索軟件修復公司CriticalInsight信息安全官MikeHamilton表示，公司的一位不愿透露姓名的客戶，就是為數不多的向REvil勒索軟件組織支付贖金的Kaseya受害者之一。

而現在REvil突然關停，消失在茫茫網絡中，支付贖金和未支付贖金的受害者們，又將何去何從？

MikeHamilton透露，用戶找到了保險公司支付了贖金，也拿到了解密器，發現解密器并非對所有的被加密的文件都有效。這個時候卻發現REvil的網站全部都下線了。

"They'regoingtoenduplosingalotofdataandthey'regoingtoendupspendingalotofmoneytocompletelyrebuildtheirnetworkfromscratch."

勒索軟件專家AllanLiska認為，這是由于REvil的解密器管理混亂造成的。

Myguessishasshitdecryptorkeymanagementsotheymaynotknowwhichkeytogiveouttoeachinpidualvictim.

無論是否交付過贖金，擺在受害企業和個人面前的，都是被一堆被加密的文件，和消失的黑客。

當然，勒索軟件修復相關的機構和企業都在積極地幫助那些日常未及時備份數據的受害企業，但并不是所有企業都能等得起，畢竟在商業游戲里，時間就是金錢。

最后

REvil“閉麥”，但人們的猜測還沒有停下。

有些人認為REvil這一次是被永久關停，沒有機會再復出，有些人相信這是美俄聯合打擊網絡犯罪的國際合作成果，也有一些人，認為REvil只是全員休假，畢竟2021年的上半年他們高強度作案已經賺得盆滿缽滿，沒有理由不在風聲緊的時候去享受一下沙灘紅酒的美妙人生。

雖然目前REvil不在江湖，但勒索軟件組織和黑客組織還有很多。只要互聯網依然存在，關于網絡安全的攻防雙方的對抗，就會始終存在。而各國也在加緊網絡安全領域的聯合協作工作。

前有境內141萬名醫生的個人信息和聯系方式被盜取公開售賣，后有最大燃油管道運營商Colonial系統被入侵被迫關閉了整個管道系統，現在又添了肉類供應商JBS和辦公網絡服務商Kaseya被勒索的案件，美國的網絡安全事件頻發，拜登政府也開始著手研究通證在黑客攻擊事件中的地位和作用。

6月，美國國家安全顧問AnneNeuberger在致商界領袖的一封信中表示，美國政府正在與國際伙伴合作，制定一致政策，以決定當遭遇黑客勒索時何時支付贖金以及如何追蹤贖金去向。

而在本周二，美國參議院國土安全和政府事務委員會主席的美國參議員GaryPeters宣布，委員會正在對通證在最近的勒索軟件攻擊中的作用展開調查。調查將側重于可確保美國人從這一新資產類別中受益，而不會面臨勒索軟件風險的通證法規。

白宮表示，在留意到近期發生的規模巨大的網絡攻擊之后，他們將把勒索軟件攻擊視同于恐怖主義。而一系列的這些行動都表明，美國政府對網絡犯罪的態度，已經發生了重大的轉變。畢竟在頻繁的黑客攻擊面前，已然很難通過傳統外交和執法手段，來應對政企所面臨的相關網絡威脅。

黑客組織和網絡犯罪的危害，從不局限于一國一地。這種新型的影響巨大的犯罪形式，正在挑戰著疫情過去后全球復蘇的經濟社會生活。電子證據的跨國調取、對跨國網絡犯罪的域外管轄、網絡犯罪的預防等等議題，都將是接下來各國將共同努力的方向。

REvil是所有勒索軟件團伙中最多產、最令人恐懼的團伙之一。如果Kaseya事件真的是這個組織的最后一次作案，一定會為今年愈演愈烈的勒索軟件威脅趨勢，帶來些新的反思和思考。

Tags：EVILREVEVIKASShiba Evilrevv幣怎么樣Max Revivekasta幣怎么挖

中幣