這恐怕是史上最高的黑客贖金記錄。

索要歷史最高記錄贖金

近日，REvil（又名Sodinokibi）勒索病毒團伙在其網站上公布，他們已經成功入侵了某計算機巨頭企業的內部系統，對其重要數據進行了竊取和加密，并公開了部分數據截圖以證明真實性：

圖片來源于海外媒體

從Tor付款站點上顯示，得知該團伙共向該企業勒索 5000萬美金的贖金，折合人民幣約 3.25 億元，是勒索病毒歷史上索要贖金的最高記錄。

圖片來源于海外媒體

當然，黑客還是有條件的。

攻擊者在談判中稱，如果在周三前支付贖金，那么可以提供 20% 的折扣，收款后會提供解密工具、所利用的漏洞報告并刪除竊取的數據文件。

據悉，該企業已經不是第一次遭該團伙攻擊了。深信服了解到該企業曾被 REvil 團伙利用 Microsoft Exchange漏洞攻擊過。

目前官方暫未對事件進行更詳細的說明。

REvil（Sodinokibi）團伙的“前世今生”

REvil 勒索病毒稱得上是 GandCrab的“接班人”。GandCrab 是曾經最大的 RaaS（勒索軟件即服務）運營商之一，在賺得盆滿缽滿后于 2019 年 6 月宣布停止更新。

隨后，另一個勒索運營商買下了 GandCrab 的代碼，即最早被人們稱作 Sodinokibi 勒索病毒。由于在早期的解密器中使用了“REvil Decryptor”作為程序名稱，又被稱為 REvil 勒索病毒。

REvil 勒索團伙在過去兩年內頻繁作案，一直以國內外中大型企業為攻擊目標，每次攻擊索要的贖金不低于20 萬人民幣，并且，該犯罪團伙已經形成產業化運作：

攻擊者負責完成勒索攻擊過程，與受害者通過網頁進行溝通的則是非常擅長“交易談判”的線上客服。

深信服終端安全團隊一直對該勒索團伙進行深度追蹤：

深信服終端安全團隊曾深度揭露 Sodinokibi 產業運作模式進行追蹤，并深度揭露了產業運營模式：【預警】Sodinokibi勒索病毒運營團伙猖獗，針對國內用戶大肆斂財。

與此同時，REvil 勒索團伙的攻擊手法也在不斷的發展。比起大多數只靠 RDP暴力破解進行攻擊的團伙，REvil 似乎更愿意使用不同的攻擊技術，從暴力破解到釣魚郵件，從利用僵尸網絡分發到利用高危漏洞進行攻擊，從單純的文件加密到通過竊取數據增加勒索的籌碼。

REvil（Sodinokibi）團伙的“談判技巧”

在溝通贖金的過程中，REvil 客服會甄別聯系人是否為真正的受害者，并拒絕與解密代理商進行談判；REvil客服通常會向受害者提供一些折扣，引導受害者盡快的、一次性的支付更多贖金。 

舉個例子，大家就明白了。2021 年 3 月，國外媒體對 REvil 勒索病毒的運營商進行了一次采訪，在采訪中該運營商提到：

圖片來源于海外媒體

“REvil 的成功在于提供了更好更優質的服務”，同時在與受害者談判時，如果有“代理商”想要故意壓低價格，那么受害者就需要支付更多的贖金。

解決方案

深信服EDR 產品基于勒索病毒攻擊鏈，從預防、防護、檢測與響應整個生命周期進行全面防護。

預防：通過安全基線檢查、漏洞檢測與修復等提前識別系統脆弱面，并封堵勒索病毒攻擊入口。

防護：開啟RDP爆破檢測、無文件防護、勒索誘餌防護以及遠程登錄保護等安全策略，對勒索病毒的各種攻擊手段進行針對性的對抗與防護。

檢測與響應：通過 SAVE 人工智能引擎進行文件實時檢測、全網威脅定位、網端云聯動等對勒索病毒進行全網快速定位、處置與阻斷，阻止威脅爆破。深信服安全團隊再次提醒廣大用戶，勒索病毒以防為主，目前大部分勒索病毒加密后的文件都無法解密，注意日常防范措施：

勒索病毒日常防范建議

及時升級系統和應用，修復常見高危漏洞；

對重要的數據文件定期進行異地多介質備份；

不要點擊來源不明的郵件附件，不從不明網站下載軟件；

盡量關閉不必要的文件共享權限；

更改賬戶密碼，設置強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃；

如果業務上無需使用RDP的，建議關閉RDP，盡量避免直接對外網映射RDP服務。

如有需要，可撥打400-050-5530 專線咨詢。