《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 美國政府牽頭網(wǎng)絡(luò)剿匪,知名勒索軟件REvil再次下線

美國政府牽頭網(wǎng)絡(luò)剿匪,知名勒索軟件REvil再次下線

2021-10-26
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 網(wǎng)絡(luò)剿匪 REvil

  多位知情人士透露,勒索軟件團(tuán)伙REvil上周在美國牽頭的聯(lián)合網(wǎng)絡(luò)圍剿中被迫再次下線;

  美國聯(lián)邦調(diào)查局、網(wǎng)絡(luò)司令部、特勤局等軍警情報界機(jī)構(gòu)以及外國合作伙伴聯(lián)合發(fā)起了這次行動;

  REvil團(tuán)伙成員試圖從備份中恢復(fù)網(wǎng)站的運(yùn)行,但卻在不知不覺中重啟了執(zhí)法機(jī)構(gòu)預(yù)埋的后門,導(dǎo)致再次被追捕。

  日前,三名正在與美國政府合作的私營部門網(wǎng)絡(luò)安全專家以及一名前政府官員透露,勒索軟件團(tuán)伙REvil上周在多國聯(lián)合網(wǎng)絡(luò)圍攻中被迫下線。團(tuán)伙的門戶網(wǎng)站“Happy Blog”(快樂博客)也已停止運(yùn)營。該網(wǎng)站曾被用來張貼來自受害者的數(shù)據(jù),以及向受害公司進(jìn)行勒索。

  今年5月份,科洛尼爾管道公司(Colonial Pipeline)遭遇網(wǎng)絡(luò)攻擊,導(dǎo)致美國東海岸出現(xiàn)大范圍天然氣短缺。REvil當(dāng)時的同伙被認(rèn)為應(yīng)該對此次攻擊負(fù)責(zé)。美國政府官員聲稱,攻擊科洛尼爾公司的勒索軟件名為“黑暗面”(DarkSide),是由與REvil團(tuán)伙有關(guān)聯(lián)的黑客編寫的。

  REvi團(tuán)伙還對多家企業(yè)發(fā)動過直接攻擊,全球最大的肉食品供應(yīng)商JBS公司就是受害者之一。

  執(zhí)法和情報部門出手

  虛擬機(jī)軟件廠商VMWare公司網(wǎng)絡(luò)安全戰(zhàn)略負(fù)責(zé)人湯姆?凱勒曼(Tom Kellermann)說,阻止REvil對更多公司實(shí)施網(wǎng)絡(luò)侵害的,是執(zhí)法與情報兩部門的相關(guān)人員。

  “聯(lián)邦調(diào)查局與美軍網(wǎng)絡(luò)司令部、特勤局以及其他目的一致的國家聯(lián)手,對這些網(wǎng)絡(luò)犯罪組織實(shí)施了實(shí)質(zhì)性的打擊行動,”兼任美國特勤局網(wǎng)絡(luò)犯罪調(diào)查顧問的凱勒曼說。“REvil是上述組織中的首要團(tuán)伙。”

  REvil團(tuán)伙早些時候偃旗息鼓后,一個網(wǎng)名為“0_neday”的頭目曾試圖重啟該團(tuán)伙業(yè)務(wù)。但他發(fā)現(xiàn)他們使用的服務(wù)器遭到匿名方破解。

  “服務(wù)器癱瘓了,他們正在找我,” 0_neday上周末在網(wǎng)絡(luò)犯罪論壇上發(fā)帖稱。網(wǎng)絡(luò)安全公司Recorded Future第一個發(fā)現(xiàn)了這個帖子?!白4蠹液眠\(yùn),我下線了?!?/p>

  備份數(shù)據(jù)被植入后門

  在數(shù)十個與黑客合伙對世界各地的公司進(jìn)行滲透和癱瘓的勒索軟件團(tuán)伙中,REvil是危害最大的一個。今年7月份,該團(tuán)伙曾入侵美國卡西亞(Kaseya)軟件管理公司,一次性竊取了數(shù)百家該公司客戶的網(wǎng)站進(jìn)入權(quán)限,觸發(fā)了無數(shù)條緊急網(wǎng)絡(luò)事件響應(yīng)。在那之后,美國政府加大了對REvil團(tuán)伙的“圍剿”的力度。

  卡西亞公司遭遇網(wǎng)絡(luò)入侵時,聯(lián)邦調(diào)查局掌握了一種通用型密鑰,可幫助因入侵事件受損的卡西亞公司客戶不必支付贖金就能恢復(fù)本公司重要文檔。

  但聯(lián)邦調(diào)查局承認(rèn),為了隱蔽追蹤REvil團(tuán)伙成員,執(zhí)法部門的官員并未立即向受害者發(fā)放密鑰,而是在最初數(shù)周時間內(nèi)隱瞞了密鑰的存在。

  三位知情者透露,執(zhí)法和情報部門的網(wǎng)絡(luò)專家早已具備了破解REvil團(tuán)伙計算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)備的能力,至少可以獲得其中幾臺服務(wù)器的控制權(quán)。

  今年7月,REvil團(tuán)伙用來開展業(yè)務(wù)的網(wǎng)站下線后,該團(tuán)伙自稱“未知”(Unknown)的主要發(fā)言人也從互聯(lián)網(wǎng)上消失。

  上個月,“0_neday”和其他團(tuán)伙成員試圖從備份中恢復(fù)上述網(wǎng)站的運(yùn)行,但卻在不知不覺中重啟了某些已經(jīng)被執(zhí)法部門控制的內(nèi)部系統(tǒng)。

  “勒索軟件團(tuán)伙REvil試圖利用備份恢復(fù)網(wǎng)站運(yùn)行,他們認(rèn)為這些備份并未遭到破壞,”俄羅斯安全公司Group-IB取證實(shí)驗(yàn)室副主管奧列格?斯庫爾金(Oleg Skulkin)說?!暗苤S刺的是,團(tuán)伙成員最喜歡的備份破解戰(zhàn)術(shù)這次被用在了他們自己身上?!?/p>

  據(jù)悉,可靠的備份是抵御勒索軟件攻擊最重要的防護(hù)手段之一。但這些備份的保存必須斷開與主網(wǎng)絡(luò)的聯(lián)接,否則也可能遭到REvil之類的勒索團(tuán)伙破解。

  網(wǎng)絡(luò)圍剿仍在進(jìn)行中

  白宮國家安全委員會發(fā)言人沒有就此行動發(fā)表專門評論,但他表示:

  “概括來說,就是我們正在執(zhí)行一項由政府出面組織的‘反勒索’行動。任務(wù)內(nèi)容包括破解勒索軟件團(tuán)伙的基礎(chǔ)設(shè)施、設(shè)備,打擊實(shí)施網(wǎng)絡(luò)勒索活動的人員,同時與私營部門合作構(gòu)建更現(xiàn)代化的(網(wǎng)絡(luò))防御體系,并組建一個國際聯(lián)盟,追究那些包庇網(wǎng)絡(luò)勒索分子的國家的責(zé)任?!?/p>

  聯(lián)邦調(diào)查局拒絕對該行動做出評論。

  一名知情人士透露,執(zhí)行網(wǎng)絡(luò)破解任務(wù)的是美國政府的外國合作伙伴。后者通過復(fù)雜技術(shù)手段侵入了REvil團(tuán)伙的計算機(jī)系統(tǒng)。一位不愿意透露姓名的前美國政府官員表示,上述行動仍在進(jìn)行中。

  凱勒曼說,REvil團(tuán)伙的計算機(jī)系統(tǒng)能夠被成功破解應(yīng)歸功于美國司法部副部長麗莎?摩那哥(Lisa Monaco)的決心。她曾表示,針對國家關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊應(yīng)該被視為等同于恐怖活動的行為。

  今年6月,美國司法部副總檢察長理約翰?卡林(John Carlin)接受路透社采訪時表示,司法部正在將針對勒索軟件攻擊的調(diào)查提升為與恐怖活動調(diào)查類似的優(yōu)先事項。

  凱勒曼說,此決定給美國司法部及其他政府部門提供了一個法律基礎(chǔ),可據(jù)此要求情報機(jī)構(gòu)和國防部提供幫助。

  “以前沒有人可以侵入那些論壇,軍方也不愿意插手。但現(xiàn)在就沒有必要再手下留情了?!?/p>




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。