REvil勒索軟件開(kāi)發(fā)商說(shuō)，他們通過(guò)從世界各地的各行業(yè)勒索大型企業(yè)，在一年內(nèi)賺了超過(guò)1億美元。

他們受利潤(rùn)驅(qū)動(dòng)，希望從勒索軟件服務(wù)中賺取20億美元，在追求財(cái)富時(shí)采用最有利可圖的趨勢(shì)。

[[349535]]

一位在網(wǎng)絡(luò)犯罪論壇上使用化名“UNKN”和“Unknown”的REvil代表接受了科技博客Russian OSINT的采訪，提供了該組織活動(dòng)的一些細(xì)節(jié)，并暗示了他們未來(lái)的打算。

像今天幾乎所有的勒索團(tuán)伙一樣，雷維爾經(jīng)營(yíng)著勒索軟件即服務(wù)(RaaS)行動(dòng)。在這種模式下，開(kāi)發(fā)者向附屬公司提供文件加密惡意軟件，他們從受害者那里獲得了最大的份額。

有了REvil，開(kāi)發(fā)者可以獲得20-30%的收益，剩下的支付贖金就交給了附屬公司，他們負(fù)責(zé)攻擊，竊取數(shù)據(jù)，并在公司網(wǎng)絡(luò)上引爆勒索軟件。

“大部分工作是由分銷商完成的，勒索軟件只是一種工具，所以他們認(rèn)為這是公平的分割，”不詳?shù)腞Evil代表告訴俄羅斯新聞報(bào)。

這意味著開(kāi)發(fā)商設(shè)定了贖金數(shù)額，進(jìn)行了談判，并收取了后來(lái)與附屬公司分割的資金。

這起網(wǎng)絡(luò)犯罪行動(dòng)已對(duì)知名公司的電腦進(jìn)行加密，其中包括Travelex、Grubman Shire Meiselas&Sacks(GSMLaw)、Brown Forman、SeaChange International、CyrusOne、Artech Information Systems、奧爾巴尼國(guó)際機(jī)場(chǎng)、Kenneth Cole和GEDIA Automotive Group。

Unknown表示，REvil的子公司利用Pulse Secure 虛擬專用網(wǎng)中的漏洞，在修補(bǔ)程序可用后數(shù)月內(nèi)未修補(bǔ)，從而在短短三分鐘內(nèi)攻破Travelex和GSMLaw的網(wǎng)絡(luò)[1,2]。

REvil面向公眾的代表說(shuō)，該集團(tuán)已經(jīng)攻擊了一家“大型游戲公司”的網(wǎng)絡(luò)，并將很快宣布攻擊。

他們還說(shuō)，雷維爾對(duì)9月份針對(duì)智利公共銀行BancoEstado的襲擊負(fù)責(zé)。這一事件促使該行關(guān)閉所有分支機(jī)構(gòu)一天，但沒(méi)有影響在線銀行、應(yīng)用程序和自動(dòng)取款機(jī)。

除了可以訪問(wèn)多個(gè)組織網(wǎng)絡(luò)的托管服務(wù)提供商(MSP)，REvil最賺錢的目標(biāo)是保險(xiǎn)、法律和農(nóng)業(yè)部門的公司 。

至于初始訪問(wèn)，Unknown提到了暴力攻擊以及遠(yuǎn)程桌面協(xié)議(RDP)和新的漏洞。

一個(gè)例子是被跟蹤為CVE-2020-0609和CVE-2020-0610漏洞的漏洞，稱為BlueGate。它們?cè)试S在運(yùn)行Windows Server(2012、2012 R2、2016和2019)的系統(tǒng)上執(zhí)行遠(yuǎn)程代碼。

新的賺錢途徑

REvil最初從受害者支付贖金來(lái)解鎖加密文件中獲利。由于攻擊者還鎖定了備份服務(wù)器，受害者幾乎沒(méi)有辦法恢復(fù)，而付費(fèi)是最快的方式。

勒索軟件業(yè)務(wù)在去年發(fā)生了變化，當(dāng)時(shí)運(yùn)營(yíng)商看到了從被破壞的網(wǎng)絡(luò)中竊取數(shù)據(jù)的機(jī)會(huì)，并開(kāi)始用可能對(duì)公司造成更嚴(yán)重影響的破壞性泄密威脅受害者。

即使需要更長(zhǎng)的時(shí)間并導(dǎo)致嚴(yán)重的挫折，大型企業(yè)也可以從脫機(jī)備份中恢復(fù)加密文件。然而，在公共空間擁有敏感數(shù)據(jù)或?qū)⑵涑鍪劢o利益相關(guān)方，可能意味著失去競(jìng)爭(zhēng)優(yōu)勢(shì)和難以重建的聲譽(yù)受損。

這種方法被證明是如此的有利可圖，REvil現(xiàn)在從不公布被盜數(shù)據(jù)中賺的錢比解密贖金賺得多。

Unknown說(shuō)，目前三分之一的受害者愿意支付贖金以防止公司數(shù)據(jù)泄露。這可能是勒索軟件業(yè)務(wù)的下一步。

REvil還考慮采用另一種策略來(lái)增加他們獲得報(bào)酬的幾率：用分布式拒絕服務(wù)(DDoS)攻擊攻擊受害者，迫使他們至少(重新)開(kāi)始協(xié)商支付。

SunCrypt勒索軟件最近對(duì)一家已經(jīng)停止談判的公司使用了這種策略。攻擊者明確表示，他們發(fā)動(dòng)了DDoS攻擊，并在談判恢復(fù)后終止了攻擊。雷維爾計(jì)劃實(shí)施這個(gè)想法。

雷維爾的賺錢模式正在發(fā)揮作用，這個(gè)團(tuán)伙已經(jīng)有了足夠的資金。為了尋找新的分支機(jī)構(gòu)，他們?cè)谝粋€(gè)講俄語(yǔ)的論壇上存入了100萬(wàn)美元的比特幣。

此舉旨在表明，他們的業(yè)務(wù)能帶來(lái)大量利潤(rùn)。據(jù)Unknown稱，這一步是招募新的血液來(lái)分發(fā)惡意軟件，因?yàn)槔账鬈浖F(xiàn)場(chǎng)充斥著專業(yè)的網(wǎng)絡(luò)罪犯。

盡管他們有一卡車的錢，REvil開(kāi)發(fā)商僅限于獨(dú)立國(guó)家聯(lián)合體(獨(dú)聯(lián)體，前蘇聯(lián)國(guó)家)地區(qū)的邊界。

其中一個(gè)原因是襲擊了大量知名受害者，這促使世界各地的執(zhí)法機(jī)構(gòu)展開(kāi)調(diào)查。因此，旅行是開(kāi)發(fā)人員不愿承擔(dān)的風(fēng)險(xiǎn)。

基于舊代碼的REvil

這個(gè)勒索軟件集團(tuán)也被稱為索丁或索迪諾基比，但這個(gè)名字的靈感來(lái)源于《生化危機(jī)》電影，代表勒索軟件邪惡。

他們的惡意軟件于2019年4月首次被發(fā)現(xiàn)，在GandCrab勒索軟件關(guān)閉商店后不久，該組織就開(kāi)始尋找熟練的黑客(精英滲透測(cè)試人員)。

Unknown說(shuō)該組織并不是從頭開(kāi)始創(chuàng)建文件加密惡意軟件，而是購(gòu)買源代碼并在其基礎(chǔ)上進(jìn)行開(kāi)發(fā)，以使其更有效。

它使用的橢圓曲線密碼(ECC)比基于RSA的公鑰系統(tǒng)具有更小的密鑰大小，在安全性上沒(méi)有任何妥協(xié)。Unknown說(shuō)這是子公司選擇REvil而不是其他RaaS運(yùn)營(yíng)商，如Maze或LockBit的原因之一。

在關(guān)閉業(yè)務(wù)之前，GandCrab的開(kāi)發(fā)商說(shuō)他們賺了1.5億美元，而整個(gè)行動(dòng)收取了超過(guò)20億美元的贖金。

顯然，REvil developer的野心更大。

BleepingComputer被告知，Unknown證實(shí)了采訪(俄語(yǔ))是真實(shí)的。