多位知情人士透露,勒索軟件團伙REvil上周在美國牽頭的聯合網絡圍剿中被迫再次下線;
美國聯邦調查局、網絡司令部、特勤局等軍警情報界機構以及外國合作伙伴聯合發起了這次行動;
REvil團伙成員試圖從備份中恢復網站的運行,但卻在不知不覺中重啟了執法機構預埋的后門,導致再次被追捕。
日前,三名正在與美國政府合作的私營部門網絡安全專家以及一名前政府官員透露,勒索軟件團伙REvil上周在多國聯合網絡圍攻中被迫下線。團伙的門戶網站“Happy Blog”(快樂博客)也已停止運營。該網站曾被用來張貼來自受害者的數據,以及向受害公司進行勒索。
今年5月份,科洛尼爾管道公司(Colonial Pipeline)遭遇網絡攻擊,導致美國東海岸出現大范圍天然氣短缺。REvil當時的同伙被認為應該對此次攻擊負責。美國政府官員聲稱,攻擊科洛尼爾公司的勒索軟件名為“黑暗面”(DarkSide),是由與REvil團伙有關聯的黑客編寫的。
REvi團伙還對多家企業發動過直接攻擊,全球最大的肉食品供應商JBS公司就是受害者之一。
執法和情報部門出手
虛擬機軟件廠商VMWare公司網絡安全戰略負責人湯姆?凱勒曼(Tom Kellermann)說,阻止REvil對更多公司實施網絡侵害的,是執法與情報兩部門的相關人員。
“聯邦調查局與美軍網絡司令部、特勤局以及其他目的一致的國家聯手,對這些網絡犯罪組織實施了實質性的打擊行動,”兼任美國特勤局網絡犯罪調查顧問的凱勒曼說。“REvil是上述組織中的首要團伙。”
REvil團伙早些時候偃旗息鼓后,一個網名為“0_neday”的頭目曾試圖重啟該團伙業務。但他發現他們使用的服務器遭到匿名方破解。
“服務器癱瘓了,他們正在找我,” 0_neday上周末在網絡犯罪論壇上發帖稱。網絡安全公司Recorded Future第一個發現了這個帖子。“祝大家好運,我下線了。”
備份數據被植入后門
在數十個與黑客合伙對世界各地的公司進行滲透和癱瘓的勒索軟件團伙中,REvil是危害最大的一個。今年7月份,該團伙曾入侵美國卡西亞(Kaseya)軟件管理公司,一次性竊取了數百家該公司客戶的網站進入權限,觸發了無數條緊急網絡事件響應。在那之后,美國政府加大了對REvil團伙的“圍剿”的力度。
卡西亞公司遭遇網絡入侵時,聯邦調查局掌握了一種通用型密鑰,可幫助因入侵事件受損的卡西亞公司客戶不必支付贖金就能恢復本公司重要文檔。
但聯邦調查局承認,為了隱蔽追蹤REvil團伙成員,執法部門的官員并未立即向受害者發放密鑰,而是在最初數周時間內隱瞞了密鑰的存在。
三位知情者透露,執法和情報部門的網絡專家早已具備了破解REvil團伙計算機網絡基礎設備的能力,至少可以獲得其中幾臺服務器的控制權。
今年7月,REvil團伙用來開展業務的網站下線后,該團伙自稱“未知”(Unknown)的主要發言人也從互聯網上消失。
上個月,“0_neday”和其他團伙成員試圖從備份中恢復上述網站的運行,但卻在不知不覺中重啟了某些已經被執法部門控制的內部系統。
“勒索軟件團伙REvil試圖利用備份恢復網站運行,他們認為這些備份并未遭到破壞,”俄羅斯安全公司Group-IB取證實驗室副主管奧列格?斯庫爾金(Oleg Skulkin)說。“但很諷刺的是,團伙成員最喜歡的備份破解戰術這次被用在了他們自己身上。”
據悉,可靠的備份是抵御勒索軟件攻擊最重要的防護手段之一。但這些備份的保存必須斷開與主網絡的聯接,否則也可能遭到REvil之類的勒索團伙破解。
網絡圍剿仍在進行中
白宮國家安全委員會發言人沒有就此行動發表專門評論,但他表示:
“概括來說,就是我們正在執行一項由政府出面組織的‘反勒索’行動。任務內容包括破解勒索軟件團伙的基礎設施、設備,打擊實施網絡勒索活動的人員,同時與私營部門合作構建更現代化的(網絡)防御體系,并組建一個國際聯盟,追究那些包庇網絡勒索分子的國家的責任。”
聯邦調查局拒絕對該行動做出評論。
一名知情人士透露,執行網絡破解任務的是美國政府的外國合作伙伴。后者通過復雜技術手段侵入了REvil團伙的計算機系統。一位不愿意透露姓名的前美國政府官員表示,上述行動仍在進行中。
凱勒曼說,REvil團伙的計算機系統能夠被成功破解應歸功于美國司法部副部長麗莎?摩那哥(Lisa Monaco)的決心。她曾表示,針對國家關鍵基礎設施的勒索軟件攻擊應該被視為等同于恐怖活動的行為。
今年6月,美國司法部副總檢察長理約翰?卡林(John Carlin)接受路透社采訪時表示,司法部正在將針對勒索軟件攻擊的調查提升為與恐怖活動調查類似的優先事項。
凱勒曼說,此決定給美國司法部及其他政府部門提供了一個法律基礎,可據此要求情報機構和國防部提供幫助。
“以前沒有人可以侵入那些論壇,軍方也不愿意插手。但現在就沒有必要再手下留情了。”
