与对JBS和Kaseya的高调攻击有牵连的 REvil 勒索软件团伙似乎突然从互联网上消失了。网络安全研究人员报告说,该组织的整个基础设施,从勒索页面到服务器,都已下线。该组织甚至关闭了在暗网上宣传其服务的页面。
可能是拜登政府对采取更激进行动的警告将黑客吓到了阴影,但也可能是战术上的撤退。众所周知,勒索软件组织会在热火朝天时解散并长时间休息,然后重组并以另一个名字重新出现——这是 REvil 过去已经做过的事情。
即使在暗网上,REvil 勒索软件基础设施也会变暗
安全研究人员不知道 REvil 勒索软件组织是否已永久退出,但目前它已将其运营的每个元素都脱机。这是该组织自 2019 年初首次出现以来,第一次让自己完全不可用。
REvil 勒索软件本质上可以被其他犯罪分子“租用”,这意味着该组织通常很容易在暗网上访问。但是,它第一次将所有面向客户的基础设施都下线了;当目标感染勒索软件时链接到的支付门户、聊天室和信息勒索页面。一些研究人员指出,该组织的客户联系工作中的个别元素,例如臭名昭著的“快乐博客”,几天前就已经消失了。但是,它以前从未像这样在很长一段时间内取消整个暗网设置。
Neil Jones,Egnyte 的网络安全布道者,指出这种消失并不一定意味着该组织的攻击能力也消失了:“当恶意软件基础设施离线——即使是暂时的——这对企业来说显然是个好消息。但是,我鼓励组织不要放松警惕,并继续采用已使他们度过最近的勒索软件危机的行之有效的检测和缓解策略。实际上,新的勒索软件基础设施可以快速上线,因此我们都需要保持警惕。虽然现在确定网站中断的原因还为时过早,但必须采取持续措施来挫败勒索软件组织,公共和私营部门必须以最高级别联合起来,挑战价值数百万美元的网络犯罪团伙。”
美国对网络攻击者更积极
此举是在美国总统乔拜登发表声明之际关于对网络攻击者更具侵略性,并表示他已向俄罗斯总统弗拉基米尔普京施压,要求其对在其领土上活动的犯罪分子采取行动。长期以来,普京政府一直默认允许犯罪黑客在该国开展活动,只要他们避开可能导致外交或法律问题的国内目标或任何盟国或外国目标。REvil 是最近真正推动这种不言而喻的安排极限的团体之一,REvil 勒索软件用于攻击与美国关键基础设施相关的知名目标。俄罗斯政府发言人表示,他们正在等待美国官员提供的详细信息,表明袭击来自他们的国家。
目前处理 REvil 勒索软件攻击的人员的情况尚不清楚。对管理软件提供商 Kaseya 的攻击迅速蔓延,影响了全世界估计数以千计的受害者。其中一些人可能已经计划支付 REvil 来解决问题,或者正在与他们进行谈判,但是由于该组织已将其所有暗网通信脱机,目前尚不清楚那些仍然锁定系统的人会发生什么(以及可能公开的泄露数据)。
拜登曾暗示,如果不采取任何措施,美国可能会攻击 REvil 勒索软件组织使用的俄罗斯服务器。美国网络司令部之前曾在国外这样做过,尽管很少。但时机也表明普京有可能做出善意的姿态,REvil 勒索软件团伙从暗网上消失,就在两国同意的工作组即将举行第一次会议的前几天。
已知的勒索软件团体解散并以另一个名字重新出现
当然,由于压力越来越大,REvil 很可能选择自行解散。这就是其对应的 DarkSide 似乎已经采取的路径,它同样从暗网中消失并关闭了所有联系,因为它涉及对殖民地管道的攻击,中断了美国的天然气供应一周。但是,如果是这种情况,网络安全专家警告说,该组织可能会隐瞒一段时间,然后在感觉一些热度消退后进行改革并重新从事勒索软件攻击业务。
时机表明普京可能会做出善意姿态,REvil #ransomware 团伙在工作组开始会议前几天就从暗网上消失了。
在该组织消失之前,除了 Kaseya 和肉类包装巨头 JBS 的引人注目的妥协之外,REvil 勒索软件已被归因于一系列攻击。其中包括台湾的苹果承包商澳洲航空和纽约的一家大型律师事务所,他们被认为正在处理与前总统唐纳德特朗普有关的案件。该集团已经在压力下解散并在其历史上至少改革过一次;它最初是 GandCrab 集团,该集团在 2018 年发起了一场勒索软件狂潮,主要针对医疗保健供应商,据称该集团为该集团带来了 20 亿美元的收入。该数字阴影Photon 研究团队建议应该期待另一种形式的变化,可能会分裂成更小的团队,重新出现在暗网上:“虽然由于某些俄语论坛对讨论勒索软件的敌意态度,有关中断的讨论有限,但一些威胁行动者推测,即使执法机构成功地针对 REvil,这也不会意味着该组织活动的结束。一些人预测该团体会以另一个名字重新出现或分裂成更小的团体以减少注意力。在接下来的几天内,可能会出现关于这种发展情况的进一步见解和评论。”