安全廠商Bitdefender近日發(fā)布了勒索軟件REvil/Sodinokibi的免費通用解密密鑰(主密鑰),可以解鎖7月13日REvil服務(wù)器被關(guān)停之前被其攻擊加密的所有數(shù)據(jù)。
Bitdefender在周四晚間官方網(wǎng)站開始贈送通用解密密鑰,這個消息來得很及時,因為僅僅數(shù)天前,REvil剛剛“死灰復(fù)燃”。
萬能鑰匙
Bitdefender說,這是真正的“萬能密鑰”,可以解密所有該勒索軟件加密的數(shù)據(jù),而不是上個月REvil受害者Kaseya獲得的那種不完全的密鑰。當(dāng)時,人們樂觀地認為該密鑰可以解鎖與Kaseya同時發(fā)生的所有REvil攻擊。不幸的是,研究人員很快就清楚,那個解密器僅適用于在Kaseya攻擊中被鎖定的文件。
Bitdefender在一份新聞稿中說:“請注意,這是一項正在進行的調(diào)查,在獲得主要調(diào)查執(zhí)法合作伙伴的授權(quán)之前,我們無法對與此案相關(guān)的細節(jié)發(fā)表評論。”“雙方都認為在調(diào)查完成之前釋放通用解密器很重要,以幫助盡可能多的受害者?!?/p>
REvil勒索軟件的受害者現(xiàn)在可以免費下載新的解密工具來恢復(fù)他們的數(shù)據(jù):請參閱Bitdefender的帖子(鏈接在文章末尾)。
誰是REvil/Sodinokibi?
REvil是一家勒索軟件即服務(wù)(RaaS)運營商,可能位于獨聯(lián)合體(CIS)國家。它于2019年作為現(xiàn)已解散的GandCrab勒索軟件的繼任者而出現(xiàn)。REvil/Sodinokibi是暗網(wǎng)上最多產(chǎn)的勒索軟件之一:其加盟團伙針對全球數(shù)千家科技公司、MSP和零售商發(fā)動了攻擊。
在成功加密企業(yè)數(shù)據(jù)后,REvil的加盟團伙索要大筆贖金——最高達7000萬美元——以換取解密密鑰,并承諾該團伙不會公布在攻擊期間竊取的數(shù)據(jù)。
在REvil消失之前最大的活動是Kaseya攻擊:這是一場讓數(shù)以千計的托管服務(wù)提供商(MSP)陷入困境的閃電戰(zhàn)。
從7月2日開始,REvil團伙在22個國家/地區(qū)對Kaseya虛擬系統(tǒng)/服務(wù)器管理員(VSA)平臺發(fā)起了超過5000次攻擊。這些攻擊不僅打擊了Kaseya的MSP客戶群,而且鑒于他們中的許多人使用VSA來管理其他企業(yè)的網(wǎng)絡(luò),即這些MSP的客戶也成了攻擊目標(biāo)。
REvil的密鑰層次結(jié)構(gòu)
在解密密鑰方面,REvil以及其他RaaS組使用密鑰層次結(jié)構(gòu)。
Advanced Intelligence的研究主管Yelisey Boguslavskiy解釋說,如果受害者付費,每個RaaS附屬公司都可以獲得自己的鑰匙來解鎖受害者。但是該密鑰僅適用于該特定受害者:這就是為什么Kaseya掌握的密鑰無法解鎖其他REvil受害者的原因。
核心團隊還擁有一個通用密鑰,用于像Kaseya這樣的一組受害者。Boguslavskiy周三告訴Threatpost,該通用密鑰可以覆蓋多個網(wǎng)絡(luò)和工作站。
“這是Kaseya攻擊后發(fā)布的密鑰,”他說,指的是據(jù)稱重生的REvil的新代表講述的一個故事,關(guān)于編碼器誤點擊并意外生成和發(fā)布密鑰。
此外,還有一個“操作員密鑰”或“主密鑰”,由頂級RaaS領(lǐng)導(dǎo)層使用,例如UNKN——在7月13日服務(wù)器關(guān)閉之前活躍的REvil代表。
主密鑰或“萬能密鑰”可以解鎖任何受害者,但Kaseya得到的不是萬能鑰匙。事實上,Advanced Intelligence“以前從未見過這個密鑰,”Boguslavskiy說。下面是Advanced Intel在暗網(wǎng)論壇中關(guān)于解密密鑰主題的對話截圖:
REvil密鑰層次結(jié)構(gòu)的暗網(wǎng)討論
資料來源:Advanced Intelligence
這個主密鑰就是Bitdefender現(xiàn)在公開發(fā)放的“萬能鑰匙”。
雖然Bitdefender無法分享有關(guān)密鑰的詳細信息,但考慮到該公司提到了“值得信賴的執(zhí)法合作伙伴”,Boguslavskiy推測Bitdefender可能“與歐洲執(zhí)法部門一起,或幫助歐洲執(zhí)法部門對REvil的核心服務(wù)器和基礎(chǔ)設(shè)施進行了高級操作,以某種方式能夠重建或獲取了主密鑰?!?/p>
他說,使用解密器中的主密鑰可以解鎖任何受害者,“除非REvil重新設(shè)計他們的整個惡意軟件集?!?/p>
但即使近日死灰復(fù)燃的REvil重新設(shè)計了原始惡意軟件集,該密鑰仍然能夠解鎖在7月13日之前受到攻擊的受害者,Boguslavskiy說。
Advanced Intelligence負責(zé)監(jiān)控所有地下論壇中的頂級參與者,包括大名鼎鼎的XSS,這是一個俄語論壇,旨在分享有關(guān)漏洞利用、漏洞、惡意軟件和網(wǎng)絡(luò)滲透的知識。到目前為止,這家情報公司還沒有在這些地下論壇上發(fā)現(xiàn)任何關(guān)于萬能鑰匙的實質(zhì)性討論。然而,Boguslavskiy指出,XSS的管理員一直在試圖關(guān)閉討論線程,因為他們“認為八卦沒有任何用處”。
最終,Bitdefender獲得了通用解密器,發(fā)布主密鑰“顯然改變了游戲規(guī)則”,Boguslavskiy說,考慮到獲得或開發(fā)一個(密鑰)是多么困難,而且“勒索軟件組織對主密鑰層層設(shè)防,只有團伙中最重要的人擁有訪問它的權(quán)限?!?/p>
主密鑰不是網(wǎng)絡(luò)安全的底線
NNT安全研究全球副總裁Dirk Schrader指出,這些解密器是“受害者的最后希望,是古希臘戲劇中的‘deus ex machina’的網(wǎng)絡(luò)安全版本?!?/p>
但是,盡管獲得主密鑰是最終極的手段,但企業(yè)不能指望將勒索軟件主密鑰泄漏作為抵御威脅主要防線?!斑@樣的解密器或許能夠幫助解鎖文件并恢復(fù)對數(shù)據(jù)的訪問,但它無法解決諸如‘為什么我們首先成為勒索軟件受害者?’這樣的問題。或者‘攻擊者還做了什么?’”Schrader指出。
“安全團隊資源有限,董事會可能會認為——使用減輕工作量的奇怪論點——通用解密器是解決勒索軟件的方法,”他繼續(xù)說道。他認為REvil——無論現(xiàn)在的名稱是什么,無論是低技能的遺留物,還是最初編寫了最初、非常成功的勒索軟件的實際專業(yè)人士——都可能會改變代碼和加密算法,使現(xiàn)有的解密器變得無用。
“有一個方面將再次被忽略,”Schrader預(yù)測說:“采取主動的、具有網(wǎng)絡(luò)彈性的信息安全方法,不是專注時間點上的解決方案,而是徹底消除基礎(chǔ)設(shè)施、身份、和數(shù)據(jù)的孤島。”
REvil復(fù)活還是詐尸?
Bitdefender認為,新的REvil攻擊“迫在眉睫”,因為勒索軟件團伙的服務(wù)器和支持基礎(chǔ)設(shè)施在中斷兩個月后最近重新上線。該公司在其新聞稿中說:“我們敦促組織保持高度警惕并采取必要的預(yù)防措施?!?/p>
Boguslavskiy透露,所謂的程序員手滑導(dǎo)致REvil編碼器主密鑰生成和發(fā)布純屬八卦:“這不是勒索軟件的工作原理,地下組織對此非常了解?!?/p>
相反,REvil等頂級組織使用高級管理面板,這些管理面板是復(fù)雜的開發(fā)流程管理系統(tǒng),其外觀和操作類似于JIRA等合法軟件平臺。
“從勒索軟件運營商的角度來看,勒索軟件攻擊更像是一個業(yè)務(wù)流程,”Boguslavskiy解釋說。“加盟團伙獲得訪問權(quán)限并與核心開發(fā)人員團隊進行驗證。這通常是通過工單系統(tǒng)完成的,該系統(tǒng)使管理層能夠調(diào)節(jié)和評估預(yù)期目標(biāo)。只有當(dāng)票務(wù)過程完成后,附屬機構(gòu)才可以通過從管理層接收有效載荷開始推進攻擊。協(xié)商和數(shù)據(jù)發(fā)布通常與創(chuàng)建票證的方式相同,管理層將提供為該特定受害者生成的解密密鑰?!?/p>
他繼續(xù)說道:“這是一個高度定制、運行良好的系統(tǒng),由UNKN密切監(jiān)督和管理。正如地下社區(qū)所爭論的那樣,REvil向外界透露的,在Kaseya勒索軟件攻擊中密鑰泄漏是因為程序員手滑錯誤點擊導(dǎo)致主密鑰泄漏并損失50-7000萬美元贖金的解釋看起來非??梢?。其他黑客爭辯說,很難想象,這樣的誤點擊在REvil的歷史上從未發(fā)生過,偏偏在他們最大的攻擊中突然發(fā)生。”
包括LockBit在內(nèi)的所有地下論壇參與者的代表都同意,新REvil代表宣稱的解密密鑰是誤點擊生成的說法“絕對荒謬,在當(dāng)代RaaS運營的工作方式下沒有任何可能性,” Boguslavskiy說道。
一個更現(xiàn)實的場景也許是:(Kaseya)解密密鑰被泄漏是因為REvil的管理層,特別是UNKN,從某個渠道收到了付款,并決定不與加盟團伙共享,偽造了編碼事故讓程序員來頂鍋。
“所謂的REvil復(fù)活,很可能是在Kaseya贖金事件被割了韭菜的低級幫派成員之一,”博古斯拉夫斯基通過電子郵件說?!叭欢?,REvil運營團伙不會承認這一點,因為他們正試圖重建該團伙已經(jīng)很差的聲譽?!?/p>
但是,在重生的REvil的數(shù)據(jù)泄露網(wǎng)站上短暫出現(xiàn)的受害者是怎么回事呢?
Boguslavskiy認為,出現(xiàn)在數(shù)據(jù)泄露站點上的那家美國公司在短暫停留后實際上已從REvil的Happy Blog中刪除,這可能表明它是一名“資深”受害者,在REvil關(guān)閉之前被勒索過,并且其數(shù)據(jù)被用于扮演“詐尸”。
“總的來說,安全社區(qū)一致認為REvil的所謂復(fù)活是一種騙局或操作,”他說?!叭绻鸕Evil真的復(fù)活,也沒有未來。因為核心開發(fā)者的UNKN已經(jīng)消失了(編者:在韓國被逮捕)。即使其他REvil成員結(jié)盟重新建立該團伙,他們也不太可能在沒有UNKN的情況下成功開發(fā)勒索軟件?!?/p>