目录导航
涉嫌约7000人被病毒感染,被捕关联方索要逾2亿欧元赎金
2021年11 月 4 日,罗马尼亚当局逮捕了两名涉嫌部署 Sodinokibi/REvil 勒索软件的网络攻击者。据称,他们对 5 000 次感染负责,总共支付了 500 万欧元的赎金。自 2021 年 2 月以来,执法当局已逮捕了 Sodinokibi/REvil 的另外三名附属机构和两名与 GandCrab 有关联的嫌疑人。这些是 GoldDust 行动的部分结果,涉及 17 个国家*、欧洲刑警组织、欧洲司法组织和国际刑警组织。所有这些逮捕都是在国际执法部门联合进行的,即识别、窃听和扣押 Sodinokibi/REvil 勒索软件家族使用的一些基础设施之后,该家族被视为 GandCrab 的继任者。
欧洲成立反REVIL团队
自 2019 年以来,多家大型国际公司面临严重的网络攻击,部署了 Sodinokibi/REvil 勒索软件。法国、德国、罗马尼亚、欧洲刑警组织和欧洲司法组织于 2021 年 5 月成立了一个联合调查小组,加强了针对该勒索软件的行动。 Bitdefender 与执法部门合作,在 No More Ransom 网站上提供了一个工具,可以帮助 Sodinokibi 的受害者/REvil 恢复他们的文件并从 2021 年 7 月之前的攻击中恢复过来。 10 月初,在美国发出国际逮捕令后,Sodinokibi/REvil 的一个分支机构在波兰边境被捕。乌克兰国民被怀疑实施了 Kaseya 袭击,影响了多达 1500 家下游企业,Sodinokibi/REvil 向其索要约 7000 万欧元的赎金。此外,2021 年 2 月、4 月和 10 月,韩国当局逮捕了涉及 GandCrab 和 Sodinokibi/REvil 勒索软件家族的三名关联方,该家族的受害者超过 1500 人。11 月 4 日,科威特当局逮捕了另一名 GandGrab 关联公司,这意味着自 2021 年 2 月以来,共有 7 名与这两个勒索软件家族有关的嫌疑人被捕。他们涉嫌总共攻击了约 7000 名受害者。
GOLDDUST 与 GANDCRAB 的链接
自 2018 年以来,欧洲刑警组织一直支持一项由罗马尼亚牵头的调查,该调查针对 GandCrab 勒索软件家族,并涉及英国和美国等多个国家的执法部门。GandCrab 是全球最多产的勒索软件家族之一,全球有超过 100 万受害者。这些联合执法努力导致通过 No More Ransom 项目发布了三种解密工具,迄今已挽救了 49,000 多个系统和超过 6000 万欧元的未付赎金。调查还调查了 GandCrab 的附属公司,据信其中一些已转向 Sodinokibi/REvil。GoldDust 行动也是基于之前针对 GandCrab 的调查的线索。
无需赎金即可解密
事实证明,网络安全部门的支持对于最大程度地减少勒索软件攻击造成的损害至关重要,勒索软件攻击仍然是最大的网络犯罪威胁。许多合作伙伴已经通过 No More Ransom 网站为多个勒索软件系列提供了解密工具。Bitdefender 通过在整个调查过程中提供关键技术见解以及用于这两个高产勒索软件系列的解密工具来支持这项调查,以帮助受害者恢复他们的文件。KPN 和 McAfee Enterprises 是其他私营部门合作伙伴,它们也通过向执法部门提供技术专业知识来支持此次调查。
目前,No More Ransom 拥有 GandCrab(V1、V4 和 V5 到 V5.2 版本)和 Sodinokibi/REvil 的解密工具。Sodinokibi/REvil 解密工具帮助 1400 多家公司解密了他们的网络,为他们节省了近 4.75 亿欧元的潜在损失。为这两个勒索软件系列提供的工具实现了 50 000 多次解密,网络犯罪分子为此要求支付约 5.2 亿欧元的赎金。
欧洲刑警组织的支持
欧洲刑警组织促进了信息交流,支持了 GoldDust 行动的协调,并提供了操作分析支持,以及加密货币、恶意软件和取证分析。在行动日期间,欧洲刑警组织向每个地点部署了专家,并启动了一个虚拟指挥所来协调地面活动。国际合作使欧洲刑警组织能够简化与其他欧盟国家的受害者缓解工作。这些活动防止私营公司成为 Sodinokibi/REvil 勒索软件的受害者。
欧洲刑警组织的联合网络犯罪行动特别工作组 (J-CAT) 支持了这次行动。这个常设运营团队由来自不同国家的网络联络官组成,他们在同一个办公室开展备受瞩目的网络犯罪调查。
*参与国家:澳大利亚、比利时、加拿大、法国、德国、荷兰、卢森堡、挪威、菲律宾、波兰、罗马尼亚、韩国、瑞典、瑞士、科威特、英国、美国
* 参与组织:欧洲刑警组织、欧洲司法组织和国际刑警组织
关于欧洲刑警组织
欧洲刑警组织总部位于荷兰海牙,支持 27 个欧盟成员国打击恐怖主义、网络犯罪和其他严重的有组织犯罪形式。欧洲刑警组织还与许多非欧盟伙伴国家和国际组织合作。从各种威胁评估到情报收集和运营活动,欧洲刑警组织拥有为使欧洲更安全尽其所能所需的工具和资源。
关于REvil/Sodinokibi
REvil(Ransomware Evil;也称为Sodinokibi)是一个基于俄罗斯的[1]或讲俄语的[2]私人勒索软件即服务 (RaaS) 操作。[3]攻击后,REvil 会威胁要在他们的页面Happy Blog上发布信息,除非收到赎金。在一个引人注目的案例中,REvil 攻击了科技巨头Apple 的一家供应商,并窃取了他们即将推出的产品的机密原理图。
2021 年 7 月 13 日,REvil 网站和其他基础设施从互联网上消失
REvil 招募附属机构为他们分发勒索软件。作为这种安排的一部分,附属公司和勒索软件开发商将支付赎金产生的收入分开。[5]很难确定他们的确切位置,但由于该组织不针对俄罗斯组织或前苏联集团国家的组织,因此人们认为他们位于俄罗斯。[6]
REvil 使用的勒索软件代码类似于不同的黑客组织DarkSide使用的代码;REvil 的代码不公开,表明 DarkSide 是 REvil [7] 的一个分支或 REvil 的合作伙伴。[8] REvil 和 DarkSide 使用类似结构的赎金票据和相同的代码来检查受害者是否位于独立国家联合体(CIS) 国家。[9]
网络安全专家认为 REvil 是之前臭名昭著但现已解散的黑客团伙 GandCrab 的分支。[10]这被怀疑是因为 REvil 在 GandCrab 关闭后立即开始活跃,并且勒索软件共享大量代码。
转载请注明出处及链接