本文經AI新媒體量子位（公眾號ID:QbitAI）授權轉載，轉載請聯系出處。

9個月內，186家知名公司被攻破。

其中不乏美國核武器承包商、蘋果供應商、日本富士等等行業巨頭，被勒索金額動輒幾千萬美元。

這不就是打劫？

對，就有這樣一個黑客組織，他們靠著“不給錢就公開你信息”的手段在網絡上打家劫舍。

僅在2020年一年內就成功進賬1億美元。

從2019年“出道”至今，兩年迅速成為世界第二大黑客組織，近300家組織曾被攻擊。

最可怕的是，目前還沒有人能夠阻止他們。

如果不幸被他們選中了，那能選擇的只有兩個字：給錢。

就連無法無天的特朗普，也一度被他們勒索4200萬美元。

這……究竟是“何方神圣”啊？

特朗普都拿他沒轍

它就是備受爭議的俄羅斯黑客組織：REvil。

?[[409519]]?

去年5月，正在為大選忙得焦頭爛額的特朗普先生，就不幸被REvil選中為“盤中餐”。

他們聲稱已經從知名美國律師事務Grubman Shire Meiselas＆Sacks（GSM）服務器中竊取了756GB的數據。

并揚言：如果特朗普一星期內不支付4200萬美元（折合人民幣2.7億元）的贖金，就會把這些數據通通泄露出去。

這樣的小手段，能搞得定特朗普？

川普還在Twitter上取笑REvil是虛張聲勢：他們其實手里沒有任何東西。

不過他馬上嘗到了被威脅的滋味：

2020年5月17日，REvil公開了169封與特朗普有關的郵件。

他們還聲稱已經在暗網上將數據出售給了買方，不過對方只有副本。

而且由于黑客是在暗網上發布消息，所以FBI也追蹤不到他們。

這一時期的REvil就像掌握了“財富密碼”一般，可能他們感覺到從名人那里偷數據要簡單、要錢更容易。

所以在同月，受到威脅的還有Lady Gaga和麥當娜等名人。

后來，事情都不了了之。

但是其成員曾提到過，2020年該組織的進賬有1億美元，不知道是不是暗示了什么。

[[409520]]

事實上，截止目前REvil已經攻擊了近300家組織。

僅在今年就“戰績斐然”。

3月，REvil宣布已入侵竊取宏碁（acer）數據；

4月蘋果新產品發布在即，收到REvil威脅：已掌握新產品設計圖；

5月，美國核武器承包商Sol Oriens公司遭遇REvil勒索病毒攻擊，業務數據及員工信息被竊取；

同月，日本富士膠片因遭REvil襲擊，被迫關閉公司部分網絡及對外連接；全球最大肉制品供應商JBS在其勒索下，一度關閉美國所有工廠；

6月，美國能源公司Invenergy報告自己遭到了勒索軟件攻擊，REvil表示對此負責。

有人曾統計過，從去年10月到今年6月，REvil就發起了186次勒索。

從此前統計數據看，REvil已經是目前世界上第二大黑客組織。

△數據截止今年6月前

就在最近，他們又搞出了個大新聞：

通過攻擊供應鏈，REvil在短短1天時間內造成了全球1000多家公司被襲擊。

從大型連鎖超市、藥店到鐵路部門等，眾多企業都被波及。

瑞典大型連鎖超市Coop受此影響，甚至不得不關閉了全國約800家門店。

這甚至讓美國總統拜登緊急下令，指示FBI調查此事。

從供應鏈群體攻擊

能夠造成如此大的危害，是因為REvil襲擊了一家管理軟件服務商Kaseya。

歐美許多中小企業都在用Kaseya提供的軟件。

因為無力自己組建IT部門，他們的管理軟件都來自Kaseya公司，而黑客把將官網提供的軟件全部換成了勒索病毒。

一下子，所有使用Kaseya軟件的公司都暴露在風險之中。

REvil通過軟件官網或官方包管理工具傳播病毒。

黑客將偽裝的文件放入用于更新分發的c:\kworking文件夾中，然后啟動PowerShell命令禁用微軟Defender功能。

然后，惡意軟件將使用合法的Windows certutil.exe命令解碼文件夾中的agent.crt文件，并將 agent.exe文件解壓縮到同一文件夾，然后啟動加密過程。

agent.exe中包括嵌入的“MsMpEng.exe”和“mpsvc.dll”，后者是REvil加密器，而前者是微軟Defender可執行文件的舊版。

所以，用戶一旦將agent.exe下載到本地，就會開始解壓運行，并加密數據。

所以Kaseya就成了分發病毒的中心。

目前，為了防止危害繼續擴大，Kaseya不得不警告用戶：請關掉你們的服務器。

那些已經受感染的用戶就沒那么幸運了，黑客開始獅子大開口，向他們索要500萬美元的贖金來恢復數據，若超過規定時間，贖金將翻倍。

不過，這是數據已經被勒索病毒加密的公司的贖金，如果只是網絡受到影響，被勒索的贖金要少得多，約4.5萬美元。

根據安全人員在暗網上收集到的消息，黑客的總贖金要求已經達到了7000萬美元。

以此計算應該有14家企業數據遭殃。但嚴重的是，有更多沒被感染的企業只能選擇關停服務器。

這群黑客是來自俄羅斯的嗎？其實美國也不知道他們是怎樣一群人。

但是美國發現REvil似乎從不攻擊俄羅斯和其他前蘇聯國家，因此有理由相信這是一個來自俄羅斯的黑客組織。

REvil究竟何許人也？

REvil全稱Ransomware Evil，是一群專門靠勒索軟件“打家劫舍”的黑客組織。

從2019年出現至今犯案無數。

而且他們的行徑非常招搖，每次惡意攻擊后，他們都會在自己的主頁Happy Blog上發布勒索金額。

僅在今年，REvil也已經有了6次犯案記錄。

事情也一次比一次鬧得大，從信托公司、網絡安全公司，到竊取蘋果新產品信息、攻擊世界上最大的肉類加工廠，REvil每一次都賺得盆滿缽滿。

值得一提的是，REvil和此前搞癱美國燃油管道運輸管理系統的Darkside似乎有著千絲萬縷的關系。

首先，他們兩個都是“俄羅斯人不打俄羅斯人”，不攻擊俄羅斯或前蘇聯國家。

其次，他們使用的勒索軟件代碼、贖金票據、文件加密擴展名都非常相似，也用同樣的方式來排除獨聯體國家。

Flashpoint的研究人員此前表示，Darkside很可能是REvil的分支或者團伙。

??