研究人員發(fā)現REVil勒索軟件使用的網絡基礎設施。

　　ReSecurity研究人員發(fā)現攻擊Kaseya的勒索軟件組織REVil使用的網絡基礎設施。研究人員發(fā)現從2021年1月起，REVil使用了新的域名decoder[.]re，并加入到了TOR網絡的勒索軟件頁面上。

　　該域名包含在最近的REVil版本的勒索信中，包含在一個含有支付指示信息的文本文件中。

　　受害者和REVil勒索軟件之間是通過一個TOR頁面來交互的，但是如果受害者無法訪問TOR網絡，就無法訪問該頁面，本例中，REVil就準備了一個互聯網版的鏡像。

TOR host

　　WWW host （decoder[.]re）

　　要訪問WWW或Tor頁面，受害者都需要提供一個有效的用戶id（UID），9343467A488841AC。研究人員從勒索軟件樣本中獲得了一些UID和私鑰。私鑰是確定相同的函數進程是否在2個頁面上都確認了，內容是完全相同的。

　　和之前REvil / Sodinokibi版本中的decryptor[.]cc和 decryptor[.]top類似，decoder[.]re是用來授權受害者訪問攻擊者的web網站的，以進行進一步的溝通。網站上的聊天功能可以讓受害者與REVil攻擊者進行近乎實時的通信。

　　此外，攻擊者還使用通過https://guerrillamail.com創(chuàng)建的一次性臨時郵箱地址來匿名地注冊域名，用于之后的域名服務器，也可以用作基礎設施的其他部分。此類郵箱地址的使用次數是有限的，比如所有與該郵箱的通信都會在1小時內刪除。

　　Resecurity研究人員收集了現有和歷史DNS記錄，然后創(chuàng)建了REVil使用的網絡基礎設施的可視化圖形。

　　Revil網絡基礎設施圖

原圖請訪問：https://i1.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2021/07/revil_map.png

　　根據研究人員收集的網絡和DNS情報，與該攻擊活動相關的IP地址在2021年1季度至少輪換了3次，之前與一家位于東歐的云服務和IOT解決方案提供商有關。

　　REVil背后的攻擊組織與6月份的JBS勒索攻擊有關，勒索1100萬美元。REvil在TOR網絡官方博客回應稱對該攻擊事件負責，并對要求Kaseya 支付價值7000萬美元的贖金。