REvil - 資安趨勢部落格

IT 管理平台 Kaseya 遭受 REvil/Sodinokibi 勒索病毒攻擊

2021 年 07 月 07 日2021 年 09 月 13 日趨勢科技 TrendMicro

Kaseya在7月4日（美國國慶日）前夕遭受REvil（又名Sodinokibi）勒索病毒攻擊,驚動白宮。這次攻擊針對他們的本地端 VSA 產品。

惡名昭彰的駭客組織REvil，去年曾先後攻擊台灣多家知名企業,各勒索價值約5000萬美元的加密貨幣。 REvil 一貫的手法就是從受害企業內部竊取大量機敏性資料，並留下暗網地址,讓受害企業前往確認是否為內部資料，若不支付贖金將持續上傳企業機密資料並販售。
根據《美聯社》報導，REvil 之前就成功勒索全球最大肉品加工商JBS約1100萬美元（約新台幣3億400萬元），這次更要求支付相當7000萬美元（約新台幣19億5200萬元）的加密貨幣，就一次解開所有網路攻擊。

更新於美東時間 7 月 5日上午 01 時 48分：Dutch Security Hotline（DIVD CSIRT）已經確認 CVE-2021-30116是勒索攻擊所用的零時差漏洞之一。此 Kaseya 漏洞是在對系統管理工具進行的研究中所發現；在此事件發生前，Kaseya和 DIVD-CSIRT正在合作進行披露的工作。此外，關於 REvil 推動通用解密程式交易的報導也浮出水面。

Kaseya是一家為管理服務商（MSP）和IT公司提供IT管理軟體的公司，在7月4日（美國國慶日）前夕遭受到REvil（又名Sodinokibi）勒索病毒 Ransomware (勒索軟體/綁架病毒)的攻擊，該公司也發出了公告。

該公司稱此為針對其本地端VSA產品的「複雜網路攻擊」。該公司建議其所有客戶關閉其本地端VSA伺服器，直至進一步的通知。

作為保守的安全措施，Kaseya還決定在調查期間關閉其軟體即服務（SaaS）伺服器。

繼續閱讀

檢視高調的 Sodinokibi (REvil)勒索病毒攻擊

2021 年 02 月 19 日2021 年 04 月 09 日趨勢科技 TrendMicro

在去年有好幾次高調的攻擊事件背後都有Sodinokibi(REvil)的影子。我們在本文裡將會利用遇過的一些案例來描述其攻擊過程。
(2021/3更新:台灣在今年也發生相關攻擊:宏碁傳出疑似遭到勒索軟體REvil攻擊，駭客索討5千萬美元贖金)

Sodinokibi(REvil)勒索病毒 Ransomware (勒索軟體/綁架病毒)最早是在2019年4月被偵測到，並且和已經宣布收手的GandCrab有關聯。從那之後，Sodinokibi (REvil)進行了數次備受矚目的攻擊，一直持續到2020年，讓它成為值得注意的勒索病毒家族之一。我們在這裡會介紹Sodinokibi(REvil)一般的攻擊過程。

延伸閱讀: REvil 等勒索病毒集團與系統駭入集團結盟,專攻大型企業

技術分析

Sodinokibi(REvil)的使用者通常會僱用各種下游組織來進行初始進入。通常會使用熟悉的手法，如帶有魚叉式釣魚（spear phishing）連結或附件檔的垃圾郵件，使用有效帳號進行RDP連線，入侵網站以及漏洞攻擊。也常會使用其他具有針對性攻擊性質的技術。

繼續閱讀

REvil 等勒索病毒集團與系統駭入集團結盟,專攻大型企業

2019 年 10 月 25 日2021 年 04 月 09 日趨勢科技 TrendMicro

「存取服務」(access-as-a-service)

根據一項最新報導指出，一些專門提供所謂「存取服務」(access-as-a-service) 系統駭入專家正與勒索病毒集團合作，使得更多受害者遭到入侵。這兩種網路犯罪集團的結盟，讓惡意程式能夠更快散布至更多高獲利的目標，其中絕大多數都是企業網路。勒索病毒主要是仰賴新的受害者來延續其壽命，而這些專門滲透企業系統的駭客集團正好滿足了這方面的需求，他們專門出租或銷售各大企業網路的存取權限來牟利。

資安機構 Advanced Intelligence (AdvIntel) 在一份報告當中點出了地下犯罪集團彼此之間的複雜關係，以及各種不同惡意程式集團之間如何互相合作。正如 AdvIntel 在報告中所詳述，勒索病毒集團會利用各種策略來散布惡意程式，而專精網路入侵的駭客，則隨時都在想辦法善用他們的技能來賺錢。因此，兩者的結合等於是互利。

AdvIntel 舉「-TMT-」犯罪集團為例，該團體專門提供各種機構的網路存取權限與系統管理帳號密碼。從這份報告可看出該集團的受害者相當廣泛：