REvil勒索软件开发商说，他们通过从世界各地的各行业勒索大型企业，在一年内赚了超过1亿美元。

他们受利润驱动，希望从勒索软件服务中赚取20亿美元，在追求财富时采用最有利可图的趋势。

一位在网络犯罪论坛上使用化名“UNKN”和“Unknown”的REvil代表接受了科技博客Russian OSINT的采访，提供了该组织活动的一些细节，并暗示了他们未来的打算。

像今天几乎所有的勒索团伙一样，雷维尔经营着勒索软件即服务(RaaS)行动。在这种模式下，开发者向附属公司提供文件加密恶意软件，他们从受害者那里获得了最大的份额。

有了REvil，开发者可以获得20-30%的收益，剩下的支付赎金就交给了附属公司，他们负责攻击，窃取数据，并在公司网络上引爆勒索软件。

“大部分工作是由分销商完成的，勒索软件只是一种工具，所以他们认为这是公平的分割，”不详的REvil代表告诉俄罗斯新闻报。

这意味着开发商设定了赎金数额，进行了谈判，并收取了后来与附属公司分割的资金。

这起网络犯罪行动已对知名公司的电脑进行加密，其中包括Travelex、Grubman Shire Meiselas&Sacks(GSMLaw)、Brown Forman、SeaChange International、CyrusOne、Artech Information Systems、奥尔巴尼国际机场、Kenneth Cole和GEDIA Automotive Group。

Unknown表示，REvil的子公司利用Pulse Secure 虚拟专用网中的漏洞，在修补程序可用后数月内未修补，从而在短短三分钟内攻破Travelex和GSMLaw的网络[1,2]。

REvil面向公众的代表说，该集团已经攻击了一家“大型游戏公司”的网络，并将很快宣布攻击。

他们还说，雷维尔对9月份针对智利公共银行BancoEstado的袭击负责。这一事件促使该行关闭所有分支机构一天，但没有影响在线银行、应用程序和自动取款机。

除了可以访问多个组织网络的托管服务提供商(MSP)，REvil最赚钱的目标是保险、法律和农业部门的公司 。

至于初始访问，Unknown提到了暴力攻击以及远程桌面协议(RDP)和新的漏洞。

一个例子是被跟踪为CVE-2020-0609和CVE-2020-0610漏洞的漏洞，称为BlueGate。它们允许在运行Windows Server(2012、2012 R2、2016和2019)的系统上执行远程代码。

新的赚钱途径

REvil最初从受害者支付赎金来解锁加密文件中获利。由于攻击者还锁定了备份服务器，受害者几乎没有办法恢复，而付费是最快的方式。

勒索软件业务在去年发生了变化，当时运营商看到了从被破坏的网络中窃取数据的机会，并开始用可能对公司造成更严重影响的破坏性泄密威胁受害者。

即使需要更长的时间并导致严重的挫折，大型企业也可以从脱机备份中恢复加密文件。然而，在公共空间拥有敏感数据或将其出售给利益相关方，可能意味着失去竞争优势和难以重建的声誉受损。

这种方法被证明是如此的有利可图，REvil现在从不公布被盗数据中赚的钱比解密赎金赚得多。

Unknown说，目前三分之一的受害者愿意支付赎金以防止公司数据泄露。这可能是勒索软件业务的下一步。

REvil还考虑采用另一种策略来增加他们获得报酬的几率：用分布式拒绝服务(DDoS)攻击攻击受害者，迫使他们至少(重新)开始协商支付。

SunCrypt勒索软件最近对一家已经停止谈判的公司使用了这种策略。攻击者明确表示，他们发动了DDoS攻击，并在谈判恢复后终止了攻击。雷维尔计划实施这个想法。

雷维尔的赚钱模式正在发挥作用，这个团伙已经有了足够的资金。为了寻找新的分支机构，他们在一个讲俄语的论坛上存入了100万美元的比特币。

此举旨在表明，他们的业务能带来大量利润。据Unknown称，这一步是招募新的血液来分发恶意软件，因为勒索软件现场充斥着专业的网络罪犯。

尽管他们有一卡车的钱，REvil开发商仅限于独立国家联合体(独联体，前苏联国家)地区的边界。

其中一个原因是袭击了大量知名受害者，这促使世界各地的执法机构展开调查。因此，旅行是开发人员不愿承担的风险。

基于旧代码的REvil

这个勒索软件集团也被称为索丁或索迪诺基比，但这个名字的灵感来源于《生化危机》电影，代表勒索软件邪恶。

他们的恶意软件于2019年4月首次被发现，在GandCrab勒索软件关闭商店后不久，该组织就开始寻找熟练的黑客(精英渗透测试人员)。

Unknown说该组织并不是从头开始创建文件加密恶意软件，而是购买源代码并在其基础上进行开发，以使其更有效。

它使用的椭圆曲线密码(ECC)比基于RSA的公钥系统具有更小的密钥大小，在安全性上没有任何妥协。Unknown说这是子公司选择REvil而不是其他RaaS运营商，如Maze或LockBit的原因之一。

在关闭业务之前，GandCrab的开发商说他们赚了1.5亿美元，而整个行动收取了超过20亿美元的赎金。

显然，REvil developer的野心更大。

BleepingComputer被告知，Unknown证实了采访(俄语)是真实的。