信息来源:安全内参
国际执法机构已经先后逮捕了至少五名涉嫌与REvil勒索软件团伙相关的人员。今年早先,REvil团伙曾针对Kaseya软件公司和JBS食品公司发起过灾难性的网络攻击。
欧洲刑警组织11月8日发布的一份声明显示,罗马尼亚当局于11月4日逮捕了两名涉嫌与REvil有所关联的人士。此外,今年上半年还有另外三名REvil团伙嫌疑人落入法网,因此目前共有五人被缉拿归案。
这些黑客嫌疑人被指控发动约5000次勒索软件攻击,并收取到约50万欧元(57.9万美元)赎金。许多勒索软件团伙将自己的恶意软件提供给附属团伙,再由他们用于攻击受害者,这就是所谓的“勒索软件即服务/RaaS”。
美国也起诉了一名REvil团伙成员
根据周一在达拉斯公布的法庭文件,一名乌克兰人在美国被起诉,他参与了2500次勒索软件攻击,并累计索要了高达数亿美元的赎金。
起诉书提到,Yaroslav Vasinskyi涉嫌与REvil团伙发起的多次勒索软件攻击活动有关,因此面临共谋实施欺诈罪与其他计算机犯罪等多项指控。检察官强调,Vasinskyi是在“明知故犯”的情况下合谋破坏美国的计算机系统。目前尚不清楚Vasinksyi是否就是这五名被捕REvilt团伙成员之一。
REvil是“Ransomware-Evil”的缩写,被认为是世界上最为活跃的勒索软件团伙之一。该团伙被指控在今年对多家企业及机构发动一系列攻击活动,知名受害者包括巴西肉类供应商JBS、总部位于迈阿密的技术厂商Kaseya等。JBS支付了1100万美元赎金,而Kaseya则表示拒绝向黑客屈服。
全球密集联合执法
美国总统拜登已经把打击勒索软件作为本届政府的优先事项。今年早些时候,白宫邀请30多个国家加入《反勒索软件倡议》,其既定目标包括改善网络安全和破坏勒索软件经济体系(特别是勒索中常用的数字加密货币)。
欧洲刑警组织也提到,执法机构在扣押了REvil所使用的基础设施并开展监视等调查行动之后,已经确定了从他们手中租用勒索工具的其他附属团伙。
除了REvil成员遭到逮捕之外,欧洲刑警组织今年还狠狠打击了另一个高产勒索软件团伙GandCrab发展出的两个附属团伙。
周一公布的这项逮捕行动属于GoldDust大规模国际调查的一部分。此项调查由全球17个国家的执法机构共同参与,成员包括美国、英国、法国以及德国。
VMware公司网络安全战略负责人Tom Kellermann表示,“这代表着17个国家已经向网络犯罪联盟发起历史性的集体攻势。GoldDust行动已经在打击勒索软件攻击方面产生了极富意义的影响。”
但他也补充称,“破坏性的网络攻击仍将继续存在,并变得更加系统化。必须加强志同道合的各国家间的集体行动,同时增强对涉及网络犯罪活动的数字货币的没收力度。”
REvil也被称为Sodinokibi,于2019年初次崭露头角。这个俄语团伙以惊人的赎金数额、咄咄逼人的攻击态势以及引人注目的高调目标选择而臭名昭著。他们还在暗网当中维护一个名为“Happy Blog”的页面,专门用于泄露或拍卖从受害者计算机中窃取到的文件。
根据IBM威胁情报指数的统计,该团伙在2020年内的利润至少为1.23亿美元,并窃取到约21.6 TB的数据。
今年7月,REvil网站从暗网中消失,并于9月重新出现,但之后很快再次消失。据《华盛顿邮报》报道,今年10月美国网络司令部曾联合某外国政府入侵该团伙服务器并封锁其网站,REvil的网站在恢复后并没能坚持多久。
多个勒索软件被打击
随着针对关键基础设施、医疗保健、企业和教育机构的勒索软件攻击不断升级,全球执法部门今年一直在对犯罪活动施加巨大压力。
这些执法活动导致了多个勒索软件团伙成员被逮捕、基础设施被拆除,包括:
-
Netwalker勒索软件网站遭到破坏,加拿大分支机构被逮捕;
-
两名勒索软件攻击团伙成员被逮捕,涉嫌参与约一百起网络攻击;
-
12名勒索软件攻击人员被逮捕,曾攻击了71个国家1800名受害者;
-
Clop勒索软件6名成员被逮捕。
执法行动也导致勒索软件团伙主动关闭其业务,因为他们感到执法部门开始严打这类活动。这包括最近关闭的REvil和BlackMatter网站,以及6月关闭的Avaddon勒索软件。
虽然勒索软件团伙可能会暂停他们的行动,但这并不意味着执法部门已经放弃了将他们绳之以法。本周,美国国务院宣布悬赏1000万美元,以识别或找到DarkSide/BlackMatter勒索软件团伙的主要领导人。
参考来源:
https://www.bloomberg.com/news/articles/2021-11-08/interpol-arrest-five-alleged-members-behind-revil-ransomware
https://www.bleepingcomputer.com/news/security/operation-cyclone-deals-blow-to-clop-ransomware-operation/