REvil 是一种勒索软件即服务(RaaS)勒索软件攻击,影响了许多大公司和名人。阅读本文以了解有关 REvil 勒索软件的更多信息、其幕后黑手,以及如何预防和减轻类似的网络攻击。
什么是 REvil 勒索软件?
REvil 是一家总部位于俄罗斯的 RaaS 运营商,可能成立于 2019 年,并通过附属公司运营以分发恶意软件。在感染系统后,勒索软件会加密文件,攻击者威胁要在他们名为“快乐博客”的页面上发布被盗数据,除非他们收到赎金。REvil 勒索软件类似于位于东欧的黑客组织DarkSide使用的代码和勒索信。它也是在另一个 RaaS 模型 GandCrab 关闭后制定的,研究人员已经能够在两者之间建立一些联系。
勒索软件的名称 REvil 是“勒索软件”和“邪恶”的组合;该勒索软件也称为 Sodinokibi。REvil 于 2019 年首次制定,2021 年被国际部队解散,2022 年 1 月被俄罗斯官员解散。一些安全专家认为,2022 年 4 月的泄漏站点与 REvil 的新实例有关,但尚未得到任何证实。
REvil 勒索软件攻击背后有哪些攻击者?
研究人员和安全公司认为,Gold Southfield 是一群受经济利益驱使的网络犯罪分子,是 REvil勒索软件的幕后黑手。REvil 于 2019 年 4 月首次出现,当时 Gold Southfield 收到了来自 Gold Garden 的 GandCrab源代码,Gold Garden 是 GandCrab 勒索软件背后的另一个黑客组织。
REvil 勒索软件的影响是什么?
REvil 勒索软件以公司和个人为目标,窃取他们的私人信息并威胁要在攻击者的网站上公开发布。美国前总统唐纳德·特朗普、Lady Gaga 和麦当娜是 REvil 勒索软件最著名的个人受害者。
受影响的公司包括:
- 哈里斯联合会
- 宏碁支付了 5000 万美元的赎金
- Quanta Computer,支付了 5000 万美元的赎金
- 能源
- JBS,支付了 1100 万美元的赎金
- Kaseya,支付了 7000 万美元的赎金
- HX5
REvil 勒索软件如何工作?
REvil 勒索软件主要通过服务器漏洞和网络钓鱼传播。例如,REvil 勒索软件攻击者使用 Kaseya VSA 服务器平台(请参阅Kaseya 勒索软件攻击)将其勒索软件投放到公司的数百家托管服务提供商(MSP)。
进入目标系统后,REvil 能够下载包含勒索代码的.zip 文件,对文件进行加密,并附加随机扩展名。尽管受感染的系统仍然可以运行,但存储在系统上的所有重要信息都不再可用。加密后,新安装的恶意软件通过 C2 服务器与受害者进行通信,攻击者使用该服务器与受感染的系统进行通信并提供密钥。
用户应该采取哪些具体步骤来防止类似 REvil 的攻击?
以下是用户可以采取的一些安全措施,以防止像 REvil 这样的勒索软件攻击:
- 经常备份数据。
- 培训员工避免使用恶意电子邮件和可疑软件。
- 使用安全补丁和最新的错误修复保持系统更新。
- 部署多重身份验证(MFA)。
许多专门的安全工具可用于检测、阻止和缓解勒索软件攻击。在此处了解一些最佳勒索软件保护。
