研究人員發(fā)現(xiàn)REVil勒索軟件使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

　　ReSecurity研究人員發(fā)現(xiàn)攻擊Kaseya的勒索軟件組織REVil使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。研究人員發(fā)現(xiàn)從2021年1月起，REVil使用了新的域名decoder[.]re，并加入到了TOR網(wǎng)絡(luò)的勒索軟件頁面上。

　　該域名包含在最近的REVil版本的勒索信中，包含在一個含有支付指示信息的文本文件中。

　　受害者和REVil勒索軟件之間是通過一個TOR頁面來交互的，但是如果受害者無法訪問TOR網(wǎng)絡(luò)，就無法訪問該頁面，本例中，REVil就準(zhǔn)備了一個互聯(lián)網(wǎng)版的鏡像。

TOR host

　　WWW host （decoder[.]re）

　　要訪問WWW或Tor頁面，受害者都需要提供一個有效的用戶id（UID），9343467A488841AC。研究人員從勒索軟件樣本中獲得了一些UID和私鑰。私鑰是確定相同的函數(shù)進(jìn)程是否在2個頁面上都確認(rèn)了，內(nèi)容是完全相同的。

　　和之前REvil / Sodinokibi版本中的decryptor[.]cc和 decryptor[.]top類似，decoder[.]re是用來授權(quán)受害者訪問攻擊者的web網(wǎng)站的，以進(jìn)行進(jìn)一步的溝通。網(wǎng)站上的聊天功能可以讓受害者與REVil攻擊者進(jìn)行近乎實(shí)時(shí)的通信。

　　此外，攻擊者還使用通過https://guerrillamail.com創(chuàng)建的一次性臨時(shí)郵箱地址來匿名地注冊域名，用于之后的域名服務(wù)器，也可以用作基礎(chǔ)設(shè)施的其他部分。此類郵箱地址的使用次數(shù)是有限的，比如所有與該郵箱的通信都會在1小時(shí)內(nèi)刪除。

　　Resecurity研究人員收集了現(xiàn)有和歷史DNS記錄，然后創(chuàng)建了REVil使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的可視化圖形。

　　Revil網(wǎng)絡(luò)基礎(chǔ)設(shè)施圖

原圖請?jiān)L問：https://i1.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2021/07/revil_map.png

　　根據(jù)研究人員收集的網(wǎng)絡(luò)和DNS情報(bào)，與該攻擊活動相關(guān)的IP地址在2021年1季度至少輪換了3次，之前與一家位于東歐的云服務(wù)和IOT解決方案提供商有關(guān)。

　　REVil背后的攻擊組織與6月份的JBS勒索攻擊有關(guān)，勒索1100萬美元。REvil在TOR網(wǎng)絡(luò)官方博客回應(yīng)稱對該攻擊事件負(fù)責(zé)，并對要求Kaseya 支付價(jià)值7000萬美元的贖金。