REvil 勒索软件
REvil 是主要处理勒索软件的威胁组织的常用句柄。同样的犯罪组织有时也被称为 Sodinokibi,以该组织最初使用的另一种勒索软件的名称命名。
REvil 是由运营勒索软件即服务环的网络犯罪分子运营的私人机构。从某种意义上说,关联方可以出租 REvil 的服务器基础设施和勒索软件有效载荷,并发起自己的攻击,将任何潜在的非法利润从 REvil 集团支付的赎金中分离出来。
没有关于 REvil 运营所在国家/地区的确凿证据,但有人猜测该组织可能位于俄罗斯,因为他们从未对位于俄罗斯或其他国家/地区的企业和目标发起攻击。到所谓的前苏联集团。也有人猜测 REvil 组织与 DarkSide 威胁组织有某种联系,因为这两个黑客组织使用的勒索软件代码有一定的相似性。
自 2019 年底以来,REvil 组织一直在信息安全社区的视线中,2020 年发生了重大攻击和活动。
归因于 REvil 的过去值得注意的攻击
REvil 过去最引人注目的攻击包括对台湾硬件制造商广达电脑的攻击。 REvil 在攻击中窃取了与即将推出的 Apple 产品相关的计划和文档。
就在一个多月前,REvil 还支持 JBS USA Holdings(美国最大的鲜肉供应商)的大规模勒索软件工作。此次攻击最终导致 JBS 向黑客支付了 1100 万美元,以获取解密工具并将其网络恢复到正常工作状态。
2021 年 6 月,REvil 还对美国发电设备公司报告的勒索软件攻击负责。
REvil 勒索软件黑客在 7 月 4 日假期针对数百家公司发起了新的攻击行动
7 月 4 日周末,一场涉及 REvil 勒索软件的网络活动开始以北美企业为目标。在这种被称为供应链攻击的特殊攻击中,REvil 使用了由 IT 支持公司 Kaseya 开发的第三方远程桌面软件,将其有效载荷传播到其他企业。
该公司表示,他们的远程软件被用来将 REvil 传播给毫无戒心的受害者。报告指出,至少有 200 家美国公司和 40 家国际公司受到影响。
REvil 勒索软件攻击于 7 月 2 日星期五在 REvil 使用软件更新破坏 Kaseya 的远程桌面服务后被发现。为应对此次攻击,该公司关闭了其 SaaS 服务器以保护客户数据,并敦促他们采取预防措施抵御黑客攻击。然而,由于袭击发生在 7 月 4 日假期刚开始时,受影响公司对威胁的反应很可能会延迟。