• 俄罗斯政府针对勒索软件首次重大执法行动,抓捕14名疑似REvil团伙成员,报道称此次抓捕是应美国政府要求,该团伙多次攻击美国企业,其中一人曾参与Colonial管道勒索攻击;

  • REvil团伙在国际上恶名昭著,曾攻击肉类供应商JBS令局部供应紧缺,黑掉IT供应商Kaseya软件大肆传播勒索软件,令数千家企业瘫痪;

  • 此次执法行动恰逢敏感时期,俄罗斯在乌克兰边境集结军队,乌克兰近百个政府网站遭攻击瘫痪。有专家认为此举是“牺牲”REvil减轻国际舆论压力,可持续性有待观察。

数年以来,恶名昭著的俄罗斯REvil勒索软件犯罪团伙一直对各类目标发动无情攻击。2021年5月,该团伙及附属组织破坏了国际肉类供应商JBS的正常生产,赚得1100万美元赎金;两个月后,又利用美国IT服务商Kaseya更新机制中的一项漏洞,令数千家企业客户陷入瘫痪。更令人气愤的是,REvil的肆意妄为几乎一直没有得到有效制裁。如今,法网终于落下。

俄政府针对勒索软件首次重大执法行动

俄罗斯安全部门逮捕了14名疑似REvil成员,这一前所未有的举动正在整个俄罗斯网络犯罪圈内引发轩然大波。据俄罗斯独立媒体国际文传电讯社的报道与俄联邦国家安全局(FSB)官员的声明,联邦安全局在上周五(1月14日)正式公开了此次抓捕行动。这也是在多年国际社会舆论压力之后,俄罗斯政府针对勒索软件团伙采取的首次重大执法行动

威胁情报厂商Recorded Future专门研究勒索软件的分析师Allan Liska表示,“长期以来,REvil团伙特别是团伙头目Unkown一直以为,自己可以肆意妄为且逍遥法外。此次抓捕表明,即使俄罗斯本土也不是勒索攻击活动的保护伞。”

2021年7月,REvil在国际执法打击压力下一度淡出公众视线,但几个月后又即宣告回归。不过这波回归时间相当短暂,国际执法部门通过努力迫使该团伙于10月份再度消失。

在上周五的抓捕行动中,俄联邦安全局及内政部的官员们没收了相关电脑设备、20辆豪华轿车以及价值超550万美元的卢布与加密货币。执法部门还控制了嫌疑人所使用的加密货币钱包,并追回了价值近120万美元的其他外币。

执法行动系美国要求,

一嫌疑人曾参与Colonial勒索攻击

目前,莫斯科特维尔法院通过逮捕文件确定了8名人员的身份,包括:

  • Muromsky Roman

  • Bessonov Andrey

  • Golovachuk Mikhail A.

  • Zayets Artem N.

  • Khansvyarov Ruslan A.

  • Korotayev Dmitry V.

  • Puzyrevsky D.D.

  • Malozemov Alexei V.

作为预防措施,嫌疑人已被监禁两个月,他们都因非法流通支付手段(伪造信用卡和其他支付文件、加密货币)而受到调查。

俄联邦安全局在声明中表示,“REvil这一有组织犯罪团伙已经不复存在,用于犯罪目的的信息基础设施也被无害化处理。”俄罗斯媒体塔斯社报道称,联邦安全局此次行动是应美国方面的要求。2021年8月,美国总统拜登在会晤中曾提醒普京必须对俄罗斯境内的网络犯罪分子采取行动。

美国政府一名高级官员表示,被捕的14名嫌疑人中,有一位对破坏Colonial管道运营的勒索软件攻击负责

国际执法机构多次抓捕REvil相关成员

这不是REvil团伙第一次面对执法铁拳。2021年11月,22岁的乌克兰人Yaroslav Vasinskyi在波兰被捕,罪名是涉嫌参与Kaseya攻击活动。根据美国司法部的起诉书,Vasinskyi涉嫌利用Kaseya产品部署REvil恶意代码,再通过Kaseya的更新网络传播这种勒索软件。另一位28岁的俄罗斯人Yevgeniy Polyanin则被指控部署REvil勒索软件,涉嫌进行多达3000次勒索软件攻击,非法所得的610万美元也被没收。

世界各国执法机构正更多通过合作方式联手打击勒索软件团伙。自2021年2月以来,欧洲刑警组织已经逮捕了5名与REvil相关的黑客,并表示有17个国家一直在持续调查,其中包括美国、英国、法国、德国和澳大利亚。

如果没有俄罗斯的合作,各国官员在有效打击勒索软件团伙上恐怕将处处掣肘。在2021年夏季一系列破坏性勒索攻击达到顶峰后,国际执法机构以破坏方式打掉了REvil基础设施,之后犯罪高潮陷入低谷。但恶名昭著的DarkSide及其继任者BlackMatter等总部位于俄罗斯的团伙似乎不为所动,至少目前仍在对目标展开攻击。

打击勒索软件犯罪重大胜利背后:

是否具备可持续性?

鉴于此前俄罗斯在全球网络犯罪应对措施中一直处于职能缺失状态,所以此番抓捕行动也许代表着国际社会在应对勒索软件活动方面的一道分水岭。但作为背景,可以看到俄罗斯向乌克兰边境部署军队的行为正在令双边紧张局势持续升温。俄罗斯、美国和北约已经就乌克兰的未来命运进行过三轮谈判,但局势一直未能得到缓和。随着俄联邦安全局宣布逮捕REvil成员,马上就有近百个乌克兰政府网站遭到破坏与DDoS攻击,而攻击者身份目前仍不清晰

安全厂商Mandiant威胁情报副总裁John Hultquist表示,“我认为完全有理由担心,俄罗斯对REvil的抓捕是别有用心。这基本是板上钉钉的现实,我们也不惮以最坏的恶意揣测俄方发出的信号。但无论如何,这件事本身肯定是个好消息。攻击者们必须意识到,如果你决定扰乱成千上万人的日常生活并借此窃取数亿美元,就别指望着还能舒舒服服过日子。”

反病毒厂商Emsisoft威胁分析师Brett Callow指出,“我认为最大的问题在于,此次执法是否代表俄罗斯政府在打击网络犯罪上出现了真正意义上的态度转变,还是说他们只是想牺牲掉REvil来减轻一点国际舆论压力?我怀疑后者的可能性更大。”

不过Callow和其他批评人士也强调,虽然俄罗斯方面的真实意图需要后续慢慢观察,但此番REvil团伙十余人落网肯定能起到一定威慑作用。在勒索软件这样各参与者间紧密关联的领域中,每一轮重拳执法都意义非凡。

前美国家安全局黑客Jack Williams表示,“我也觉得除了‘美国向我们提出了友好要求’之外,俄罗斯的迅速行动肯定还有其他动机。但无论如何,此番执法至少在短期之内扰乱了勒索软件团伙的经济状况。”

从长远来看,俄罗斯本土以外还有多个勒索软件团伙一直非常活跃。REvil团伙落网肯定是进步的标志,但更重要的是俄罗斯政府有没有决心继续对其他团伙展开追捕。

参考来源:

https://www.wired.com/story/russia-revil-ransomware-arrests-ukraine/

https://www.bleepingcomputer.com/news/security/russia-charges-8-suspected-revil-ransomware-gang-members/

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。