正让美国难以招架的俄罗斯黑客，靠勒索年收入过亿，苹果都中过招

本文经AI新媒体量子位（公众号ID:QbitAI）授权转载，转载请联系出处。

9个月内，186家知名公司被攻破。

其中不乏美国核武器承包商、苹果供应商、日本富士等等行业巨头，被勒索金额动辄几千万美元。

这不就是打劫？

对，就有这样一个黑客组织，他们靠着“不给钱就公开你信息”的手段在网络上打家劫舍。

仅在2020年一年内就成功进账1亿美元。

从2019年“出道”至今，两年迅速成为世界第二大黑客组织，近300家组织曾被攻击。

最可怕的是，目前还没有人能够阻止他们。

如果不幸被他们选中了，那能选择的只有两个字：给钱。

就连无法无天的特朗普，也一度被他们勒索4200万美元。

这……究竟是“何方神圣”啊？

特朗普都拿他没辙

它就是备受争议的俄罗斯黑客组织：REvil。

去年5月，正在为大选忙得焦头烂额的特朗普先生，就不幸被REvil选中为“盘中餐”。

他们声称已经从知名美国律师事务Grubman Shire Meiselas＆Sacks（GSM）服务器中窃取了756GB的数据。

并扬言：如果特朗普一星期内不支付4200万美元（折合人民币2.7亿元）的赎金，就会把这些数据通通泄露出去。

这样的小手段，能搞得定特朗普？

川普还在Twitter上取笑REvil是虚张声势：他们其实手里没有任何东西。

不过他马上尝到了被威胁的滋味：

2020年5月17日，REvil公开了169封与特朗普有关的邮件。

他们还声称已经在暗网上将数据出售给了买方，不过对方只有副本。

而且由于黑客是在暗网上发布消息，所以FBI也追踪不到他们。

这一时期的REvil就像掌握了“财富密码”一般，可能他们感觉到从名人那里偷数据要简单、要钱更容易。

所以在同月，受到威胁的还有Lady Gaga和麦当娜等名人。

后来，事情都不了了之。

但是其成员曾提到过，2020年该组织的进账有1亿美元，不知道是不是暗示了什么。

事实上，截止目前REvil已经攻击了近300家组织。

仅在今年就“战绩斐然”。

3月，REvil宣布已入侵窃取宏�（acer）数据；

4月苹果新产品发布在即，收到REvil威胁：已掌握新产品设计图；

5月，美国核武器承包商Sol Oriens公司遭遇REvil勒索病毒攻击，业务数据及员工信息被窃取；

同月，日本富士胶片因遭REvil袭击，被迫关闭公司部分网络及对外连接；全球最大肉制品供应商JBS在其勒索下，一度关闭美国所有工厂；

6月，美国能源公司Invenergy报告自己遭到了勒索软件攻击，REvil表示对此负责。

有人曾统计过，从去年10月到今年6月，REvil就发起了186次勒索。

从此前统计数据看，REvil已经是目前世界上第二大黑客组织。

就在最近，他们又搞出了个大新闻：

通过攻击供应链，REvil在短短1天时间内造成了全球1000多家公司被袭击。

从大型连锁超市、药店到铁路部门等，众多企业都被波及。

瑞典大型连锁超市Coop受此影响，甚至不得不关闭了全国约800家门店。

这甚至让美国总统拜登紧急下令，指示FBI调查此事。

从供应链群体攻击

能够造成如此大的危害，是因为REvil袭击了一家管理软件服务商Kaseya。

欧美许多中小企业都在用Kaseya提供的软件。

因为无力自己组建IT部门，他们的管理软件都来自Kaseya公司，而黑客把将官网提供的软件全部换成了勒索病毒。

一下子，所有使用Kaseya软件的公司都暴露在风险之中。

REvil通过软件官网或官方包管理工具传播病毒。

黑客将伪装的文件放入用于更新分发的c:\kworking文件夹中，然后启动PowerShell命令禁用微软Defender功能。

然后，恶意软件将使用合法的Windows certutil.exe命令解码文件夹中的agent.crt文件，并将 agent.exe文件解压缩到同一文件夹，然后启动加密过程。

agent.exe中包括嵌入的“MsMpEng.exe”和“mpsvc.dll”，后者是REvil加密器，而前者是微软Defender可执行文件的旧版。

所以，用户一旦将agent.exe下载到本地，就会开始解压运行，并加密数据。

所以Kaseya就成了分发病毒的中心。

目前，为了防止危害继续扩大，Kaseya不得不警告用户：请关掉你们的服务器。

那些已经受感染的用户就没那么幸运了，黑客开始狮子大开口，向他们索要500万美元的赎金来恢复数据，若超过规定时间，赎金将翻倍。

不过，这是数据已经被勒索病毒加密的公司的赎金，如果只是网络受到影响，被勒索的赎金要少得多，约4.5万美元。

根据安全人员在暗网上收集到的消息，黑客的总赎金要求已经达到了7000万美元。

以此计算应该有14家企业数据遭殃。但严重的是，有更多没被感染的企业只能选择关停服务器。

这群黑客是来自俄罗斯的吗？其实美国也不知道他们是怎样一群人。

但是美国发现REvil似乎从不攻击俄罗斯和其他前苏联国家，因此有理由相信这是一个来自俄罗斯的黑客组织。

REvil究竟何许人也？

REvil全称Ransomware Evil，是一群专门靠勒索软件“打家劫舍”的黑客组织。

从2019年出现至今犯案无数。

而且他们的行径非常招摇，每次恶意攻击后，他们都会在自己的主页Happy Blog上发布勒索金额。

仅在今年，REvil也已经有了6次犯案记录。

事情也一次比一次闹得大，从信托公司、网络安全公司，到窃取苹果新产品信息、攻击世界上最大的肉类加工厂，REvil每一次都赚得盆满钵满。

值得一提的是，REvil和此前搞瘫美国燃油管道运输管理系统的Darkside似乎有着千丝万缕的关系。

首先，他们两个都是“俄罗斯人不打俄罗斯人”，不攻击俄罗斯或前苏联国家。

其次，他们使用的勒索软件代码、赎金票据、文件加密扩展名都非常相似，也用同样的方式来排除独联体国家。

Flashpoint的研究人员此前表示，Darkside很可能是REvil的分支或者团伙。