勒索病REvil索要7000萬美元BTC贖金，拜登指示情報機構介入調查_EVIL:DTEVIL幣

作者|秦曉峰

編輯|郝方舟

出品|Odaily星球日報

過去的這個周末，是美國的國慶日，但美國IT軟件管理公司Kaseya卻被黑客攪得不得安寧。

據路透社消息，勒索病REvil近期成功攻擊Kaseya，導致全球近千家企業運營受到影響。

黑客組織在暗網中稱其入侵了100多萬臺電腦，并索要7000萬美元比特幣；如果兌現，這將成為有史以來「贖金」最高的病勒索事件。目前，Kaseya公司沒有對外表示該公司是否會考慮支付REvil團伙的贖金要求。

動態 | 安全研究人員發現僅針對特定驅動器的AnteFrigus勒索病:安全研究人員發現僅針對特定驅動器的AnteFrigus勒索病，該惡意軟件會將用戶重定向到RIG漏洞利用工具包。該贖金記錄將包含指向Tor付款站點的鏈接，其中將列出當前贖金金額和將付款發送至的比特幣地址。在研究人員的測試中發現，贖金為1995美元，經過4天多的時間后變為3990美元。（Bleeping Computer）[2019/11/15]

Kaseya是一家專門為IT外包服務商提供軟件工具的科技公司——這些服務商通常為規模太小或資源有限而沒有自己的技術部門的公司處理后臺工作。

動態 | sodinokibi勒索病大量攻擊中韓企業，中招用戶被勒索0.15個比特幣:騰訊御見威脅情報中心今日發文稱，近期騰訊安全御見威脅情報中心檢測到大量借助釣魚郵件傳播的sodinokibi勒索病攻擊中韓兩國企業。中招用戶被勒索0.15個比特幣（市值7800元人民幣），中招企業主要集中在廣東、山東、江蘇、上海、北京等地，主要受害企業包括IT公司、科研和技術服務機構，以及傳統制造企業。釣魚郵件偽裝成以“償還債務”、“支付匯款建議”為主題，并在附件中添加包含勒索病的壓縮文件，中文版為“您的賬號.zip”、韓文版為“?? 10.2019.zip”，解壓后分別為“付款發票.xls.exe”、“10 ? ??.xls.exe”，都是偽裝成表格文件的sodinokibi勒索病。從釣魚郵件內容格式、主題和投遞的樣本類型來看，此次針對中國和韓國的攻擊為同一來源。根據騰訊御見查看，頁面顯示需要在6天之內購買并轉賬約0.15個比特幣（約合人民幣7800元），6天之后贖金會翻倍。[2019/10/25]

據了解，攻擊發生在上周五下午，REvil通過利用KaseyaVSA服務器中的一個漏洞，獲得了對安裝在客戶場所的VSA設備的訪問權，進而安裝病并加密相關設備文件。用來管理遠程計算機群。）

動態 | 騰訊御見：勒索病利用Flash高危漏洞掛馬攻擊，中用戶會被勒索比特幣:騰訊安全御見威脅情報中心發文稱，監測到Pardise(天堂)勒索病呈小范圍爆發。此次攻擊中，黑客通過在網站某些頁面中嵌入帶有CVE-2018-4878 Flash漏洞攻擊代碼的SWF文件，當網民訪問網站時，觸發惡意代碼，導致電腦被勒索病感染，中用戶會被勒索比特幣。攻擊者使用的漏洞工具威脅低版本Adobe Flash Player的用戶，漏洞觸發后會執行Shellcode，并通過Shellcode加載Pardise勒索病變種(被加密文件的文件后輟被修改為NewCore)。該病檢測到用戶為俄羅斯、烏克蘭、白俄羅斯、哈薩克斯坦等國家時不會加密用戶文件。建議用戶在瀏覽某些高風險網站時，確保安全軟件處于開啟狀態。[2019/8/16]

雖然Kaseya首席執行官FredVoccola曾對外表示「只有非常小比例的客戶受到影響——目前估計不到40個」，但真實情況遠比其料想的嚴重。

動態 | 國內首次出現要求微信支付贖金的勒索病:來自“火絨安全實驗室”的消息顯示，接到若干用戶求助，遭遇勒索病攻擊。火絨安全團隊分析確認，該病為新型勒索病，入侵電腦運行后，會加密用戶文件，但不收取比特幣，而是要求受害者掃描彈出的微信二維碼支付110元贖金，獲得解密鑰匙，這也是國內首次出現要求微信支付贖金的勒索病。[2018/12/2]

短短幾小時，全球五大洲的數百家企業就陷入癱瘓，其中尤以瑞典和新西蘭受到的影響最為嚴重。例如瑞典最大的連鎖超市之一Coop在攻擊后，收銀機和自助服務站出現故障，不得已關閉了全國近800家門店，至今尚未恢復。

網絡安全公司Sophos副總裁RossMcKerchar表示：“這是Sophos迄今為止看到的傳播速度最快的勒索軟件攻擊。目前已經有70多個托管服務提供商受到影響，還有超過350家組織受到影響。我們預計，實際受影響的組織數量比任何一家安全公司報告的數字都要多。”

RecordedFuture研究員AllanLiska表示，這次攻擊可能是最大的供應鏈攻擊，也可能是有史以來第二大勒索軟件攻擊，并指出全部影響要到星期二人們從假期周末返回工作崗位時才能知道。

攻擊發生后，Kaseya也在第一時間發布公告，敦促所有VSA所有者將其系統脫機，直至另行通知。此外，為了阻止病傳播，Kaseya還關閉了自己的云基礎設施，并試圖將REvil病從其系統中鏟除。截止目前，Kaseya的SaaS云服務器仍然處于離線狀態。

周六，拜登指示情報機構調查本次襲擊事件。美國網絡安全和基礎設施安全局表示，正在調查這一事件以及如何解決它。

昨天，REvil在他們的暗網博客上聲稱其已經鎖定了100多萬個系統，"星期五我們對MSP供應商發起了一次攻擊。超過一百萬的系統被感染。如果有人想就通用解密器進行談判——我們的價格是7000萬美元的BTC，我們將公開發布解密器，解密所有受害者的文件，所以每個人都能在不到一小時內從攻擊中恢復。如果你對這樣的交易感興趣，請使用受害者的'readme'文件說明與我們聯系。"

實際上，這并不是REvil第一次對美國企業下黑手。上個月，全球最大肉類包裝公司JBS遭遇持續病攻擊勒索，幕后黑手正是REvil。這次攻擊使其在美國和澳大利亞的肉類加工廠關閉，最終JBS公司被迫支付1100萬美元的比特幣贖金。

今年4月，蘋果公司也遭遇REvil威脅。他們聲稱已經竊取了蘋果的產品藍圖，并要求蘋果公司在5月1日之前支付贖金，否則他們將公開這些機密圖紙，以及員工、客戶的個人數據等，但最終不了了之。此外，美國前總統川普也在大選期間曾遭REvil勒索——若不支付420萬美元，REvil就要公布川普「洗臟錢」資料，同樣不了了之。

據了解，REvil與2019年攻擊我國多地黨政部門的GandCrab同屬一個黑客集團。GandCrab曾將敘利亞以及其他戰亂地區加進感染區域的“白名單”，并對俄語區國家「手下留情」，因此不少安全團隊認為該黑客團隊為俄羅斯人。

推薦閱讀

《放過敘利亞，不可破解的“俠盜病”來禍害中國了》

Tags：EVILREVEVIKASDTEVIL幣liveforeverKAS價格

DOGE