美国政府牵头网络“剿匪”，知名勒索软件REvil再次下线

• 多位知情人士透露，勒索软件团伙REvil上周在美国牵头的联合网络围剿中被迫再次下线；

• 美国联邦调查局、网络司令部、特勤局等军警情报界机构以及外国合作伙伴联合发起了这次行动；

• REvil团伙成员试图从备份中恢复网站的运行，但却在不知不觉中重启了执法机构预埋的后门，导致再次被追捕。

日前，三名正在与美国政府合作的私营企业网络安全专家以及一名前政府官员透露，勒索软件团伙REvil上周在多国联合网络围攻中被迫下线。团伙的门户网站“Happy Blog”（快乐博客）也已停止运营。该网站曾被用来张贴来自受害者的数据，以及向受害公司进行勒索。

今年5月份，科洛尼尔管道公司（Colonial Pipeline）遭遇网络攻击，导致美国东海岸出现大范围天然气短缺。REvil当时的同伙被认为应该对此次攻击负责。美国政府官员声称，攻击科洛尼尔公司的勒索软件名为“黑暗面”（DarkSide），是由与REvil团伙有关联的黑客编写的。

REvi团伙还对多家企业发动过直接攻击，全球最大的肉食品供应商JBS公司就是受害者之一。

执法和情报部门出手

虚拟机软件厂商VMWare公司网络安全战略负责人汤姆・凯勒曼（Tom Kellermann）说，阻止REvil对更多公司实施网络侵害的，是执法与情报两部门的相关人员。

“联邦调查局与美军网络司令部、特勤局以及其他目的一致的国家联手，对这些网络犯罪组织实施了实质性的打击行动，”兼任美国特勤局网络犯罪调查顾问的凯勒曼说。“REvil是上述组织中的首要团伙。”

REvil团伙早些时候偃旗息鼓后，一个网名为“0_neday”的头目曾试图重启该团伙业务。但他发现他们使用的服务器遭到匿名方破解。

“服务器瘫痪了，他们正在找我，” 0_neday上周末在网络犯罪论坛上发帖称。网络安全公司Recorded Future第一个发现了这个帖子。“祝大家好运，我下线了。”

备份数据被植入后门

在数十个与黑客合伙对世界各地的公司进行渗透和瘫痪的勒索软件团伙中，REvil是危害最大的一个。今年7月份，该团伙曾入侵美国卡西亚（Kaseya）软件管理公司，一次性窃取了数百家该公司客户的网站进入权限，触发了无数条紧急网络事件响应。在那之后，美国政府加大了对REvil团伙的“围剿”的力度。

卡西亚公司遭遇网络入侵时，联邦调查局掌握了一种通用型密钥，可帮助因入侵事件受损的卡西亚公司客户不必支付赎金就能恢复本公司重要文档。

但联邦调查局承认，为了隐蔽追踪REvil团伙成员，执法部门的官员并未立即向受害者发放密钥，而是在最初数周时间内隐瞒了密钥的存在。

三位知情者透露，执法和情报部门的网络专家早已具备了破解REvil团伙计算机网络基础设备的能力，至少可以获得其中几台服务器的控制权。

今年7月，REvil团伙用来开展业务的网站下线后，该团伙自称“未知”（Unknown）的主要发言人也从互联网上消失。

上个月，“0_neday”和其他团伙成员试图从备份中恢复上述网站的运行，但却在不知不觉中重启了某些已经被执法部门控制的内部系统。

“勒索软件团伙REvil试图利用备份恢复网站运行，他们认为这些备份并未遭到破坏，”俄罗斯安全公司Group-IB取证实验室副主管奥列格・斯库尔金（Oleg Skulkin）说。“但很讽刺的是，团伙成员最喜欢的备份破解战术这次被用在了他们自己身上。”

据悉，可靠的备份是抵御勒索软件攻击最重要的防护手段之一。但这些备份的保存必须断开与主网络的联接，否则也可能遭到REvil之类的勒索团伙破解。

网络剿匪仍在进行中

白宫国家安全委员会发言人没有就此行动发表专门评论，但他表示：

“概括来说，就是我们正在执行一项由政府出面组织的‘反勒索’行动。任务内容包括破解勒索软件团伙的基础设施、设备，打击实施网络勒索活动的人员，同时与私营部门合作构建更现代化的（网络）防御体系，并组建一个国际联盟，追究那些包庇网络勒索分子的国家的责任。”

联邦调查局拒绝对该行动做出评论。

一名知情人士透露，执行网络破解任务的是美国政府的外国合作伙伴。后者通过复杂技术手段侵入了REvil团伙的计算机系统。一位不愿意透露姓名的前美国政府官员表示，上述行动仍在进行中。

凯勒曼说，REvil团伙的计算机系统能够被成功破解应归功于美国司法部副部长丽莎・摩那哥（Lisa Monaco）的决心。她曾表示，针对国家关键基础设施的勒索软件攻击应该被视为等同于恐怖活动的行为。

今年6月，美国司法部副总检察长约翰・卡林（John Carlin）接受路透社采访时表示，司法部正在将针对勒索软件攻击的调查提升为与恐怖活动调查类似的优先事项。

凯勒曼说，此决定给美国司法部及其他政府部门提供了一个法律基础，可据此要求情报机构和国防部提供帮助。

“以前没有人可以侵入那些论坛，军方也不愿意插手。但现在就没有必要再手下留情了。”

参考来源：https://www.reuters.com/technology/exclusive-governments-turn-tables-ransomware-gang-revil-by-pushing-it-offline-2021-10-21/

声明：本文来自互联网安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。