勒索软件即服务 (RaaS) 是犯罪团伙的一种商业模式,在这种模式下,勒索软件的创建者将其租借或出售给其他犯罪分子(称为关联者),以换取他们获得的一定比例的勒索软件赎金。RaaS 使网络犯罪分子能够发起破坏性极高的攻击,即便他们不具备构建自己的勒索软件所需的技能或资源。
REvil 也称为 Sodinokibi,是一个讲俄语或位于俄罗斯的网络犯罪集团,他们运营过一项极为成功的勒索软件即服务 (RaaS) 业务。REvil是“Ransomware Evil”(意为“邪恶勒索软件”)的缩写,该标题的灵感源自 Resident Evil(《生化危机》)系列。据信,该团伙是从名为 GandCrab 的前勒索软件团伙中分裂出来的分支。REvil/Sodinokibi 勒索软件难以检测且具有高度规避性,使其成为一种高度危险、高度具有破坏性的网络攻击。REvil 勒索软件曾对针对大型企业发起过多次备受关注的勒索软件攻击,包括肉类加工公司 JBS、石油公司 Colonial Pipeline、软件公司 Kaseya 以及科技巨头 Apple 的供应商。REvil 勒索软件团伙从 2019 年一直活跃到 2022 年 1 月,随后被执法部门捣毁。尽管该团伙已经覆灭,但 REvil 在 RaaS 业务模式发展方面的影响力,仍然持续对世界各地的政府和企业构成重大威胁。
REvil 勒索软件的运作机制是怎样的?
与其他形式的勒索软件一样,REvil 通过使用各种技术渗透企业的 IT 系统来实施攻击。使用 REvil 的黑客依赖于硬件和软件中的零日漏洞、远程桌面协议 (RDP) 服务器的漏洞,以及诱骗用户将恶意软件下载到其设备的网络钓鱼电子邮件。一旦下载了 REvil 恶意软件,它就会加密服务器和设备上的文件,阻止用户访问业务关键型数据,直到赎金要求得到满足。勒索信通常要求以比特币支付,以换取解密密钥。不同于其他类型的勒索软件,REvil 实施双重勒索,在加密之前窃取敏感数据,并威胁称,除非支付赎金,否则将在其“Happy Blog”网站上公布或拍卖被盗数据。
REvil 如何以服务形式运作?
创建 REvil 的网络犯罪团伙依靠其他称为“关联者”的网络犯罪分子来分发勒索软件并发动攻击,原始团伙从中获取 20% 到 30% 的非法所得。
REvil 是如何被阻止的?
从 2021 年起,俄罗斯当局、美国 FBI 和私营网络安全公司联合行动,打击了 REvil 团伙的运营,并重创其声誉。
- 2021 年 7 月:REvil 网站和基础架构从互联网上消失,可能源于俄罗斯当局的努力。FBI 利用解密密钥帮助部分受害者恢复了文件。
- 2021 年 9 月:一家罗马尼亚网络安全公司发布了针对 REvil/Sodinokibi 勒索软件的免费通用解密工具。恶意软件研究人员发现,REvil 恶意软件中内置了一个后门,使得该团伙的原始成员能够欺骗 REvil 关联者,截留勒索款项,从而破坏了关联者对 REvil 的信任。
- 2021 年 10 月:REvil 服务器遭到黑客攻击并被迫下线。
- 2021 年 11 月:美国司法部的起诉导致乌克兰和俄罗斯的攻击者被捕,他们被控对多名受害者实施了勒索软件攻击。乌克兰国家警察局缴获了超过 600 万美元的勒索软件付款。
- 2022 年 1 月:俄罗斯联邦安全局报告称,REvil 已被捣毁,其团伙成员正面临诉讼。
REvil 是否依然构成威胁?
无论 REvil 网络犯罪团伙的其他成员是否仍在活动,该恶意软件建立的运营模式及其勒索软件即服务 (RaaS) 产品很可能在其他类型的勒索软件威胁中再度出现。
如何防范 REvil 勒索软件攻击?
用来防范其他网络犯罪和勒索软件攻击的网络安全方法和控制措施,同样应该能有效地抵御 REvil 攻击。
- 集中管理安全策略。通过从单一位置管理策略,安全团队可以采取一些措施,例如阻止用户从本地文件夹启动可执行文件,或者停用 Microsoft Office 中的宏。这两个步骤对于阻止 REvil 攻击至关重要。
- 采用 Zero Trust 方法。Zero Trust 安全方法假设任何人或系统都不应被默认信任或授予对 IT 资产的访问权限,这套方法通过阻止恶意软件和攻击者横向移动以加密或破坏网络的其他部分,限制了勒索软件攻击的“爆炸半径”。
- 对网络和 IT 资产进行分段。软件定义的微分段可以隔离各个资产和网络的各个部分,以防止攻击者横向移动。
- 实施防病毒和反恶意软件解决方案。这些技术可以监控电子邮件网络流量,从而过滤掉可执行文件或病毒,通过这种方式为您提供帮助。最新防病毒解决方案可以抵御许多勒索软件威胁,避免它们造成损害。
- 定期开展安全意识培训。在勒索软件攻击中,人为错误通常发挥着关键作用。员工培训中应包括关于如何识别勒索软件、网络钓鱼电子邮件以及最佳安全卫生实践的意识培训计划。
- 加密数据。当文件被加密时,类似 REvil 的勒索软件攻击将无法窃取和暴露敏感数据。
- 部署强大的身份和访问控制措施。利用强密码和多重身份验证,限制可以访问或修改数据的人员。
- 频繁备份。定期备份文件并将其保存在与网络断开的存储中,这让您可以更轻松地从勒索软件感染中快速恢复,而无需支付赎金,也不会永久丢失文件。
- 频繁更新和修补硬件和软件。定期安装更新和补丁,有助于修复攻击者用来访问系统的漏洞。
常见问题
勒索软件是一种恶意软件,网络犯罪分子通过它加密文件,导致个人或企业无法使用关键应用程序和系统。为重新获取数据访问权限,受害者必须支付赎金。REvil、BlackCat 勒索软件和 WannaCry 勒索软件等变种,曾造成历史上一些最引人注目的网络攻击。
网络犯罪分子使用各种技术进入 IT 系统并植入勒索软件。社会工程攻击利用网络钓鱼电子邮件或虚假网站,诱骗用户将受感染的文件下载到其设备。零日攻击利用应用程序和 API 中先前未知的漏洞。攻击者还可能使用窃取或泄露的凭证来获取用户账户的访问权限,或利用如 Meris 这类僵尸网络传播恶意软件。
安全认证使企业能够向客户和监管机构证明,他们采用了旨在提供最高水平网络安全的实践、计划和技术。ISO 27001 认证表明,公司已确定基于风险的流程,以纳入检测安全威胁的措施。支付卡行业数字安全标准 (PCI DSS) 概述了公司在接受、处理、存储和传输信用卡信息时必须遵循的步骤。美国国防部影响级别 5(IL5 认证)指明了云服务企业必须遵守,以存储和处理某些类型高价值信息所需的各种物理、逻辑和加密隔离控制措施。
客户为什么选择 Akamai
Akamai 是一家致力于支持并保护在线商业活动的网络安全和云计算公司。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在海外分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、扩展性和专业技术,助其从容拓展业务。