研究人員發(fā)現(xiàn)REVil勒索軟件使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
ReSecurity研究人員發(fā)現(xiàn)攻擊Kaseya的勒索軟件組織REVil使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。研究人員發(fā)現(xiàn)從2021年1月起,REVil使用了新的域名decoder[.]re,并加入到了TOR網(wǎng)絡(luò)的勒索軟件頁面上。
該域名包含在最近的REVil版本的勒索信中,包含在一個含有支付指示信息的文本文件中。
受害者和REVil勒索軟件之間是通過一個TOR頁面來交互的,但是如果受害者無法訪問TOR網(wǎng)絡(luò),就無法訪問該頁面,本例中,REVil就準(zhǔn)備了一個互聯(lián)網(wǎng)版的鏡像。
TOR host
WWW host (decoder[.]re)
要訪問WWW或Tor頁面,受害者都需要提供一個有效的用戶id(UID),9343467A488841AC。研究人員從勒索軟件樣本中獲得了一些UID和私鑰。私鑰是確定相同的函數(shù)進(jìn)程是否在2個頁面上都確認(rèn)了,內(nèi)容是完全相同的。
和之前REvil / Sodinokibi版本中的decryptor[.]cc和 decryptor[.]top類似,decoder[.]re是用來授權(quán)受害者訪問攻擊者的web網(wǎng)站的,以進(jìn)行進(jìn)一步的溝通。網(wǎng)站上的聊天功能可以讓受害者與REVil攻擊者進(jìn)行近乎實(shí)時(shí)的通信。
此外,攻擊者還使用通過https://guerrillamail.com創(chuàng)建的一次性臨時(shí)郵箱地址來匿名地注冊域名,用于之后的域名服務(wù)器,也可以用作基礎(chǔ)設(shè)施的其他部分。此類郵箱地址的使用次數(shù)是有限的,比如所有與該郵箱的通信都會在1小時(shí)內(nèi)刪除。
Resecurity研究人員收集了現(xiàn)有和歷史DNS記錄,然后創(chuàng)建了REVil使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的可視化圖形。
Revil網(wǎng)絡(luò)基礎(chǔ)設(shè)施圖
原圖請?jiān)L問:https://i1.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2021/07/revil_map.png
根據(jù)研究人員收集的網(wǎng)絡(luò)和DNS情報(bào),與該攻擊活動相關(guān)的IP地址在2021年1季度至少輪換了3次,之前與一家位于東歐的云服務(wù)和IOT解決方案提供商有關(guān)。
REVil背后的攻擊組織與6月份的JBS勒索攻擊有關(guān),勒索1100萬美元。REvil在TOR網(wǎng)絡(luò)官方博客回應(yīng)稱對該攻擊事件負(fù)責(zé),并對要求Kaseya 支付價(jià)值7000萬美元的贖金。