REvil 是一種勒索軟件即服務(RaaS)勒索軟件攻擊,影響了許多大公司和名人。閱讀本文以了解有關 REvil 勒索軟件的更多信息、其幕后黑手,以及如何預防和減輕類似的網絡攻擊。
什么是 REvil 勒索軟件?
REvil 是一家總部位于俄羅斯的 RaaS 運營商,可能成立于 2019 年,并通過附屬公司運營以分發惡意軟件。在感染系統后,勒索軟件會加密文件,攻擊者威脅要在他們名為“快樂博客”的頁面上發布被盜數據,除非他們收到贖金。REvil 勒索軟件類似于位于東歐的黑客組織DarkSide使用的代碼和勒索信。它也是在另一個 RaaS 模型 GandCrab 關閉后制定的,研究人員已經能夠在兩者之間建立一些聯系。
勒索軟件的名稱 REvil 是“勒索軟件”和“邪惡”的組合;該勒索軟件也稱為 Sodinokibi。REvil 于 2019 年首次制定,2021 年被國際部隊解散,2022 年 1 月被俄羅斯官員解散。一些安全專家認為,2022 年 4 月的泄漏站點與 REvil 的新實例有關,但尚未得到任何證實。
REvil 勒索軟件攻擊背后有哪些攻擊者?
研究人員和安全公司認為,Gold Southfield 是一群受經濟利益驅使的網絡犯罪分子,是 REvil勒索軟件的幕后黑手。REvil 于 2019 年 4 月首次出現,當時 Gold Southfield 收到了來自 Gold Garden 的 GandCrab源代碼,Gold Garden 是 GandCrab 勒索軟件背后的另一個黑客組織。
REvil 勒索軟件的影響是什么?
REvil 勒索軟件以公司和個人為目標,竊取他們的私人信息并威脅要在攻擊者的網站上公開發布。美國前總統唐納德·特朗普、Lady Gaga 和麥當娜是 REvil 勒索軟件最著名的個人受害者。
受影響的公司包括:
- 哈里斯聯合會
- 宏碁支付了 5000 萬美元的贖金
- Quanta Computer,支付了 5000 萬美元的贖金
- 能源
- JBS,支付了 1100 萬美元的贖金
- Kaseya,支付了 7000 萬美元的贖金
- HX5
REvil 勒索軟件如何工作?
REvil 勒索軟件主要通過服務器漏洞和網絡釣魚傳播。例如,REvil 勒索軟件攻擊者使用 Kaseya VSA 服務器平臺(請參閱Kaseya 勒索軟件攻擊)將其勒索軟件投放到公司的數百家托管服務提供商(MSP)。
進入目標系統后,REvil 能夠下載包含勒索代碼的.zip 文件,對文件進行加密,并附加隨機擴展名。盡管受感染的系統仍然可以運行,但存儲在系統上的所有重要信息都不再可用。加密后,新安裝的惡意軟件通過 C2 服務器與受害者進行通信,攻擊者使用該服務器與受感染的系統進行通信并提供密鑰。
用戶應該采取哪些具體步驟來防止類似 REvil 的攻擊?
以下是用戶可以采取的一些安全措施,以防止像 REvil 這樣的勒索軟件攻擊:
- 經常備份數據。
- 培訓員工避免使用惡意電子郵件和可疑軟件。
- 使用安全補丁和最新的錯誤修復保持系統更新。
- 部署多重身份驗證(MFA)。
許多專門的安全工具可用于檢測、阻止和緩解勒索軟件攻擊。在此處了解一些最佳勒索軟件保護。
