安全廠商Bitdefender近日發(fā)布了勒索軟件REvil/Sodinokibi的免費(fèi)通用解密密鑰（主密鑰），可以解鎖7月13日REvil服務(wù)器被關(guān)停之前被其攻擊加密的所有數(shù)據(jù)。

　　Bitdefender在周四晚間官方網(wǎng)站開(kāi)始贈(zèng)送通用解密密鑰，這個(gè)消息來(lái)得很及時(shí)，因?yàn)閮H僅數(shù)天前，REvil剛剛“死灰復(fù)燃”。

　　萬(wàn)能鑰匙

　　Bitdefender說(shuō)，這是真正的“萬(wàn)能密鑰”，可以解密所有該勒索軟件加密的數(shù)據(jù)，而不是上個(gè)月REvil受害者Kaseya獲得的那種不完全的密鑰。當(dāng)時(shí)，人們樂(lè)觀地認(rèn)為該密鑰可以解鎖與Kaseya同時(shí)發(fā)生的所有REvil攻擊。不幸的是，研究人員很快就清楚，那個(gè)解密器僅適用于在Kaseya攻擊中被鎖定的文件。

　　Bitdefender在一份新聞稿中說(shuō)：“請(qǐng)注意，這是一項(xiàng)正在進(jìn)行的調(diào)查，在獲得主要調(diào)查執(zhí)法合作伙伴的授權(quán)之前，我們無(wú)法對(duì)與此案相關(guān)的細(xì)節(jié)發(fā)表評(píng)論。”“雙方都認(rèn)為在調(diào)查完成之前釋放通用解密器很重要，以幫助盡可能多的受害者。”

　　REvil勒索軟件的受害者現(xiàn)在可以免費(fèi)下載新的解密工具來(lái)恢復(fù)他們的數(shù)據(jù)：請(qǐng)參閱Bitdefender的帖子（鏈接在文章末尾）。

　　誰(shuí)是REvil/Sodinokibi？

　　REvil是一家勒索軟件即服務(wù)（RaaS）運(yùn)營(yíng)商，可能位于獨(dú)聯(lián)合體（CIS）國(guó)家。它于2019年作為現(xiàn)已解散的GandCrab勒索軟件的繼任者而出現(xiàn)。REvil/Sodinokibi是暗網(wǎng)上最多產(chǎn)的勒索軟件之一：其加盟團(tuán)伙針對(duì)全球數(shù)千家科技公司、MSP和零售商發(fā)動(dòng)了攻擊。

　　在成功加密企業(yè)數(shù)據(jù)后，REvil的加盟團(tuán)伙索要大筆贖金——最高達(dá)7000萬(wàn)美元——以換取解密密鑰，并承諾該團(tuán)伙不會(huì)公布在攻擊期間竊取的數(shù)據(jù)。

　　在REvil消失之前最大的活動(dòng)是Kaseya攻擊：這是一場(chǎng)讓數(shù)以千計(jì)的托管服務(wù)提供商（MSP）陷入困境的閃電戰(zhàn)。

　　從7月2日開(kāi)始，REvil團(tuán)伙在22個(gè)國(guó)家/地區(qū)對(duì)Kaseya虛擬系統(tǒng)/服務(wù)器管理員（VSA）平臺(tái)發(fā)起了超過(guò)5000次攻擊。這些攻擊不僅打擊了Kaseya的MSP客戶群，而且鑒于他們中的許多人使用VSA來(lái)管理其他企業(yè)的網(wǎng)絡(luò)，即這些MSP的客戶也成了攻擊目標(biāo)。

　　REvil的密鑰層次結(jié)構(gòu)

　　在解密密鑰方面，REvil以及其他RaaS組使用密鑰層次結(jié)構(gòu)。

　　Advanced Intelligence的研究主管Yelisey Boguslavskiy解釋說(shuō)，如果受害者付費(fèi)，每個(gè)RaaS附屬公司都可以獲得自己的鑰匙來(lái)解鎖受害者。但是該密鑰僅適用于該特定受害者：這就是為什么Kaseya掌握的密鑰無(wú)法解鎖其他REvil受害者的原因。

　　核心團(tuán)隊(duì)還擁有一個(gè)通用密鑰，用于像Kaseya這樣的一組受害者。Boguslavskiy周三告訴Threatpost，該通用密鑰可以覆蓋多個(gè)網(wǎng)絡(luò)和工作站。

　　“這是Kaseya攻擊后發(fā)布的密鑰，”他說(shuō)，指的是據(jù)稱(chēng)重生的REvil的新代表講述的一個(gè)故事，關(guān)于編碼器誤點(diǎn)擊并意外生成和發(fā)布密鑰。

　　此外，還有一個(gè)“操作員密鑰”或“主密鑰”，由頂級(jí)RaaS領(lǐng)導(dǎo)層使用，例如UNKN——在7月13日服務(wù)器關(guān)閉之前活躍的REvil代表。

　　主密鑰或“萬(wàn)能密鑰”可以解鎖任何受害者，但Kaseya得到的不是萬(wàn)能鑰匙。事實(shí)上，Advanced Intelligence“以前從未見(jiàn)過(guò)這個(gè)密鑰，”Boguslavskiy說(shuō)。下面是Advanced Intel在暗網(wǎng)論壇中關(guān)于解密密鑰主題的對(duì)話截圖：

　　REvil密鑰層次結(jié)構(gòu)的暗網(wǎng)討論

　　資料來(lái)源：Advanced Intelligence

　　這個(gè)主密鑰就是Bitdefender現(xiàn)在公開(kāi)發(fā)放的“萬(wàn)能鑰匙”。

　　雖然Bitdefender無(wú)法分享有關(guān)密鑰的詳細(xì)信息，但考慮到該公司提到了“值得信賴(lài)的執(zhí)法合作伙伴”，Boguslavskiy推測(cè)Bitdefender可能“與歐洲執(zhí)法部門(mén)一起，或幫助歐洲執(zhí)法部門(mén)對(duì)REvil的核心服務(wù)器和基礎(chǔ)設(shè)施進(jìn)行了高級(jí)操作，以某種方式能夠重建或獲取了主密鑰。”

　　他說(shuō)，使用解密器中的主密鑰可以解鎖任何受害者，“除非REvil重新設(shè)計(jì)他們的整個(gè)惡意軟件集?！?/p>

　　但即使近日死灰復(fù)燃的REvil重新設(shè)計(jì)了原始惡意軟件集，該密鑰仍然能夠解鎖在7月13日之前受到攻擊的受害者，Boguslavskiy說(shuō)。

　　Advanced Intelligence負(fù)責(zé)監(jiān)控所有地下論壇中的頂級(jí)參與者，包括大名鼎鼎的XSS，這是一個(gè)俄語(yǔ)論壇，旨在分享有關(guān)漏洞利用、漏洞、惡意軟件和網(wǎng)絡(luò)滲透的知識(shí)。到目前為止，這家情報(bào)公司還沒(méi)有在這些地下論壇上發(fā)現(xiàn)任何關(guān)于萬(wàn)能鑰匙的實(shí)質(zhì)性討論。然而，Boguslavskiy指出，XSS的管理員一直在試圖關(guān)閉討論線程，因?yàn)樗麄儭罢J(rèn)為八卦沒(méi)有任何用處”。

　　最終，Bitdefender獲得了通用解密器，發(fā)布主密鑰“顯然改變了游戲規(guī)則”，Boguslavskiy說(shuō)，考慮到獲得或開(kāi)發(fā)一個(gè)（密鑰）是多么困難，而且“勒索軟件組織對(duì)主密鑰層層設(shè)防，只有團(tuán)伙中最重要的人擁有訪問(wèn)它的權(quán)限?！?/p>

　　主密鑰不是網(wǎng)絡(luò)安全的底線

　　NNT安全研究全球副總裁Dirk Schrader指出，這些解密器是“受害者的最后希望，是古希臘戲劇中的‘deus ex machina’的網(wǎng)絡(luò)安全版本?！?/p>

　　但是，盡管獲得主密鑰是最終極的手段，但企業(yè)不能指望將勒索軟件主密鑰泄漏作為抵御威脅主要防線。“這樣的解密器或許能夠幫助解鎖文件并恢復(fù)對(duì)數(shù)據(jù)的訪問(wèn)，但它無(wú)法解決諸如‘為什么我們首先成為勒索軟件受害者？’這樣的問(wèn)題?；蛘摺粽哌€做了什么？’”Schrader指出。

　　“安全團(tuán)隊(duì)資源有限，董事會(huì)可能會(huì)認(rèn)為——使用減輕工作量的奇怪論點(diǎn)——通用解密器是解決勒索軟件的方法，”他繼續(xù)說(shuō)道。他認(rèn)為REvil——無(wú)論現(xiàn)在的名稱(chēng)是什么，無(wú)論是低技能的遺留物，還是最初編寫(xiě)了最初、非常成功的勒索軟件的實(shí)際專(zhuān)業(yè)人士——都可能會(huì)改變代碼和加密算法，使現(xiàn)有的解密器變得無(wú)用。

　　“有一個(gè)方面將再次被忽略，”Schrader預(yù)測(cè)說(shuō)：“采取主動(dòng)的、具有網(wǎng)絡(luò)彈性的信息安全方法，不是專(zhuān)注時(shí)間點(diǎn)上的解決方案，而是徹底消除基礎(chǔ)設(shè)施、身份、和數(shù)據(jù)的孤島。”

　　REvil復(fù)活還是詐尸？

　　Bitdefender認(rèn)為，新的REvil攻擊“迫在眉睫”，因?yàn)槔账鬈浖F(tuán)伙的服務(wù)器和支持基礎(chǔ)設(shè)施在中斷兩個(gè)月后最近重新上線。該公司在其新聞稿中說(shuō)：“我們敦促組織保持高度警惕并采取必要的預(yù)防措施?！?/p>

　　Boguslavskiy透露，所謂的程序員手滑導(dǎo)致REvil編碼器主密鑰生成和發(fā)布純屬八卦：“這不是勒索軟件的工作原理，地下組織對(duì)此非常了解?！?/p>

　　相反，REvil等頂級(jí)組織使用高級(jí)管理面板，這些管理面板是復(fù)雜的開(kāi)發(fā)流程管理系統(tǒng)，其外觀和操作類(lèi)似于JIRA等合法軟件平臺(tái)。

　　“從勒索軟件運(yùn)營(yíng)商的角度來(lái)看，勒索軟件攻擊更像是一個(gè)業(yè)務(wù)流程，”Boguslavskiy解釋說(shuō)?！凹用藞F(tuán)伙獲得訪問(wèn)權(quán)限并與核心開(kāi)發(fā)人員團(tuán)隊(duì)進(jìn)行驗(yàn)證。這通常是通過(guò)工單系統(tǒng)完成的，該系統(tǒng)使管理層能夠調(diào)節(jié)和評(píng)估預(yù)期目標(biāo)。只有當(dāng)票務(wù)過(guò)程完成后，附屬機(jī)構(gòu)才可以通過(guò)從管理層接收有效載荷開(kāi)始推進(jìn)攻擊。協(xié)商和數(shù)據(jù)發(fā)布通常與創(chuàng)建票證的方式相同，管理層將提供為該特定受害者生成的解密密鑰?！?/p>

　　他繼續(xù)說(shuō)道：“這是一個(gè)高度定制、運(yùn)行良好的系統(tǒng)，由UNKN密切監(jiān)督和管理。正如地下社區(qū)所爭(zhēng)論的那樣，REvil向外界透露的，在Kaseya勒索軟件攻擊中密鑰泄漏是因?yàn)槌绦騿T手滑錯(cuò)誤點(diǎn)擊導(dǎo)致主密鑰泄漏并損失50-7000萬(wàn)美元贖金的解釋看起來(lái)非?？梢伞Ｆ渌诳蜖?zhēng)辯說(shuō)，很難想象，這樣的誤點(diǎn)擊在REvil的歷史上從未發(fā)生過(guò)，偏偏在他們最大的攻擊中突然發(fā)生?！?/p>

　　包括LockBit在內(nèi)的所有地下論壇參與者的代表都同意，新REvil代表宣稱(chēng)的解密密鑰是誤點(diǎn)擊生成的說(shuō)法“絕對(duì)荒謬，在當(dāng)代RaaS運(yùn)營(yíng)的工作方式下沒(méi)有任何可能性，” Boguslavskiy說(shuō)道。

　　一個(gè)更現(xiàn)實(shí)的場(chǎng)景也許是：（Kaseya）解密密鑰被泄漏是因?yàn)镽Evil的管理層，特別是UNKN，從某個(gè)渠道收到了付款，并決定不與加盟團(tuán)伙共享，偽造了編碼事故讓程序員來(lái)頂鍋。

　　“所謂的REvil復(fù)活，很可能是在Kaseya贖金事件被割了韭菜的低級(jí)幫派成員之一，”博古斯拉夫斯基通過(guò)電子郵件說(shuō)?！叭欢?，REvil運(yùn)營(yíng)團(tuán)伙不會(huì)承認(rèn)這一點(diǎn)，因?yàn)樗麄冋噲D重建該團(tuán)伙已經(jīng)很差的聲譽(yù)?！?/p>

　　但是，在重生的REvil的數(shù)據(jù)泄露網(wǎng)站上短暫出現(xiàn)的受害者是怎么回事呢？

　　Boguslavskiy認(rèn)為，出現(xiàn)在數(shù)據(jù)泄露站點(diǎn)上的那家美國(guó)公司在短暫停留后實(shí)際上已從REvil的Happy Blog中刪除，這可能表明它是一名“資深”受害者，在REvil關(guān)閉之前被勒索過(guò)，并且其數(shù)據(jù)被用于扮演“詐尸”。

　　“總的來(lái)說(shuō)，安全社區(qū)一致認(rèn)為REvil的所謂復(fù)活是一種騙局或操作，”他說(shuō)?！叭绻鸕Evil真的復(fù)活，也沒(méi)有未來(lái)。因?yàn)楹诵拈_(kāi)發(fā)者的UNKN已經(jīng)消失了（編者：在韓國(guó)被逮捕）。即使其他REvil成員結(jié)盟重新建立該團(tuán)伙，他們也不太可能在沒(méi)有UNKN的情況下成功開(kāi)發(fā)勒索軟件。”