今年7月2日攻擊美國託管軟體供應商Kaseya的REvil勒索集團,於7月13日忽然完全消失在網路上,所有於明網或暗網中的基礎設施在一夕之間無影無蹤,但它在9月7日再度於暗網中再現蹤跡,並於9月11日重新進入全面攻擊模式。不過,《路透社》於本周報導,美國與其它國家聯手,藉由滲透REvil的基礎設施,已於上周摧毀了REvil。

REvil先是入侵了Kaseya的遠端監控與管理軟體Kaseya VSA,有近60家Kaseya VSA客戶直接遭到波及,並牽連接近1,500家的下游廠商,REvil駭客提出高達7,000萬美元的贖金要求,以換取通用解密金鑰;Kaseya在7月22日宣布已向可靠的第三方取得解密金鑰,並提供給受害的組織。

後來FBI坦承是他們把解密金鑰交給Kaseya,而且是在取得金鑰之後接近3周的時間才交出去。這意味著FBI應該是在意外發生的第一時間就取得了解密金鑰,卻未優先選擇協助Kaseya的客戶,此事讓美國國會要求FBI局長Christopher Wray出面說明。

根據《華盛頓郵報》(Washington Post)的報導,FBI是藉由存取REvil的伺服器才獲得解密金鑰,之所以沒有立刻提供給Kaseya有兩個原因,一是相關攻擊所造成的損害並沒有想像中的嚴重,二則是FBI打算在不驚動REvil勒索集團的情況下摧毀它們,然而,REvil勒索集團卻在FBI還未展開行動之前就消失了。

儘管REvil第一次消失的原因不明,但《路透社》指出,這次REvil再度消失就是美國與其它盟友合作的成果。根據《Bleeping Computer》的報導,REvil勒索軟體再度消失發生在10月17日,有人劫持了REvil的Tor支付網站與其資料外洩部落格,而且此一消息是由代號為0_neday的REvil負責人於駭客論壇上所發布。

0_neday說,這名駭客似乎是透過REvil所擁有的金鑰劫持了這兩個網站,他擔心的事情發生了,有第三方備份了REvil各種暗網服務的金鑰。

《路透社》則間接證實了這次是由多國聯手摧毀了REvil,該通訊社的消息來源是3家與各國合作的資安業者。身為美國特勤局網路犯罪調查顧問的VMWare網路安全策略主管Tom Kellermann向路透社透露,FBI、美國網戰司令部(Cyber Command)、美國特勤局與其它志同道合的國家,為了避免有更多的組織受害,聯手對抗勒索軟體集團,而REvil就位居制裁名單之首。

俄羅斯資安業者Group-IB的鑑識實驗室主管Oleg Skulkin則說,REvil駭客從備份中復原了該勒索軟體的基礎設施,卻不知道該基礎設施早已被滲透。

不過,包括FBI在內的美國官方機構都未回應《路透社》的詢問,亦未證實該通訊社的報導。


熱門新聞

Advertisement