Kaseya攻击事件元凶消失的三大猜测及影响

编者按

美国《华盛顿邮报》发文分析Kaseya攻击事件元凶勒索软件团伙REvil突然下线的三大可能原因及影响。文章称，每种可能原因对美国来说都是喜忧参半，但基本的事实是：REvil的下线是一个积极的发展，但并不能保证其他勒索软件团伙不会发起同样具有破坏性的攻击。

可能原因一：俄罗斯在美国的压力选择迫使REvil关门大吉。俄罗斯网络行动优先事项是对美国政府机构、政客和关键公司的间谍活动，而非从美国大小企业勒索钱财。因此，俄罗斯可能认为这是“一场不值得参与的战斗”，但此举并不意味着俄罗斯会打击其他勒索软件团伙或阻止它们开展破坏美国关键基础设施的攻击。

可能原因二：美国发起黑客行动导致REvil下线。美国此举将向俄罗斯传达了一个信号，即如果俄罗斯官员不阻止在其领土上的犯罪黑客活动，美国将为他们代劳。此类行动达不到一劳永逸的效果，在解决勒索软件攻击问题前需要开展大量行动，而且需要持续数月甚至数年的努力。此举的可能积极影响是勒索软件团伙改变其行动方式，采攻击性较小的商业模式，即避开攻击关键基础设施或美国目标。

可能原因三：REvil迫于压力选择自我关闭。这种可能性对未来不会产生较大影响，因为团伙消失了一段时间后通常会以重组的形式回归。即使该团伙不回归，其他勒索软件团伙也会填补空白。

奇安网情局编译有关情况，供读者参考。

臭名昭著的REvil勒索软件团伙已经成为美俄冲突的发源地，而在该团伙神秘下线后，网络观察家们所面临的问题要多于答案。此次消失发生在这个位于俄罗斯的犯罪团伙自称发起了Kaseya大型攻击后不到两周，该事件在7月4日的周末锁定了多达1500个机构的信息。这次袭击促使拜登总统承诺美国将采取“任何必要的行动”来保卫美国的基础设施。美国官员还指责REvil于5月对肉类加工商JBS发起了袭击，威胁到美国肉类供应。

研究人员正在考虑犯罪团伙消失的三种主要可能性——对于美国打击源自俄罗斯的勒索软件祸害的努力，每种可能性都喜忧参半。

• 克里姆林宫在美国的压力下屈服，迫使REvil关门大吉。

• 美国官员厌倦了等待克里姆林宫的合作，发起了一场导致REvil下线的网络行动。

• REvil的操作人员倍感压力，决定暂时保持低调。

所有这些情况的底线是：如果REvil关闭，这是一个积极的发展，但这并不能保证另一个勒索软件团伙不会发起同样具有破坏性的攻击。

网络安全公司“火眼”情报分析副总裁约翰·霍特奎斯特表示，“我们在此面对着一场艰苦的战斗，因为博弈中有大量资金可以吸引像苍蝇一样的犯罪分子。只要犯罪分子有机会赚取数千万美元，就很难让它消失。”

最好的情况是俄罗斯总统弗拉基米尔迫使REvil关闭。

来自美国最难对付的网络敌人的这种合作行动不太可能，但并非不切实际。在对俄罗斯政权最有价值的网络行动清单中，对美国政府机构、政客和关键公司的间谍活动名列前茅。允许犯罪分子从美国大小企业勒索钱财的位置则要低得多。

如果俄罗斯不控制这些犯罪集团，拜登政府也一直在威胁要其要承担严重后果——大多数专家表示，这些犯罪集团至少在克里姆林宫的默许下运作。有鉴于此，普京可能认为这是一场不值得参与的战斗。但封杀一个团伙并不意味着普京会打击其他勒索软件团伙或阻止它们开展破坏美国关键基础设施的攻击。

奥巴马政府期间国务院的最高网络外交官克里斯·佩恩特表示，“问题是：这是一个围捕惯犯的时刻，还是会更持久的事情。”普京和拜登同意在6月的峰会后就勒索软件展开高层会谈。该小组7月14日将召开会议。

如果这是迫使REvil离线的美国黑客行动，那将向克里姆林宫发出强烈信息。

它将传达出，如果俄罗斯官员不阻止在其领土上的犯罪黑客活动，美国将为他们代劳。

美国网络司令部曾启动行动，暂时让俄罗斯和伊朗政府的黑客行动下线，但对犯罪分子则轻描淡写。在勒索软件攻击的长期减少前，可能需要开展更多此类行动。克里斯·佩恩特称，“这一切都不是一劳永逸的。这不是电灯开关。需要持续数月甚至数年的努力。”

一个积极的发展可能是，勒索软件团伙是否判定采取不会引起太多美国关注的方式开展操作更加容易，这样他们也不会被迫离线。

约翰·霍特奎斯特称，“这可能会向一些参与者发出一个信息，即他们需要找到一种攻击性较小的商业模式，这可能意味着避开关键基础设施，或者意味着避开美国的目标。”

影响最小的解释是REvil是否只是自我关闭。

众所周知，这些团体消失了一段时间然后，通常以重组的形式回归。美国军方和微软在2020年大选前有效迫使下线的Trickbot犯罪集团最近重新出现。勒索软件组织DarkSide在入侵了Colonial Pipeline并引发了对美国各地燃料短缺的担忧后于5月下线——但许多分析家预计它不会永远消失。即使REvil不回归，其他勒索软件团伙也肯定会喷薄而出。约翰·霍特奎斯特说，“即使这个团体被取缔，还有其他团体可以填补空白。”

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。