多位知情人士透露,,勒索軟件團(tuán)伙REvil上周在美國牽頭的聯(lián)合網(wǎng)絡(luò)圍剿中被迫再次下線;
美國聯(lián)邦調(diào)查局,、網(wǎng)絡(luò)司令部,、特勤局等軍警情報(bào)界機(jī)構(gòu)以及外國合作伙伴聯(lián)合發(fā)起了這次行動(dòng),;
REvil團(tuán)伙成員試圖從備份中恢復(fù)網(wǎng)站的運(yùn)行,,但卻在不知不覺中重啟了執(zhí)法機(jī)構(gòu)預(yù)埋的后門,,導(dǎo)致再次被追捕。
日前,,三名正在與美國政府合作的私營部門網(wǎng)絡(luò)安全專家以及一名前政府官員透露,,勒索軟件團(tuán)伙REvil上周在多國聯(lián)合網(wǎng)絡(luò)圍攻中被迫下線。團(tuán)伙的門戶網(wǎng)站“Happy Blog”(快樂博客)也已停止運(yùn)營,。該網(wǎng)站曾被用來張貼來自受害者的數(shù)據(jù),,以及向受害公司進(jìn)行勒索,。
今年5月份,,科洛尼爾管道公司(Colonial Pipeline)遭遇網(wǎng)絡(luò)攻擊,導(dǎo)致美國東海岸出現(xiàn)大范圍天然氣短缺,。REvil當(dāng)時(shí)的同伙被認(rèn)為應(yīng)該對此次攻擊負(fù)責(zé),。美國政府官員聲稱,攻擊科洛尼爾公司的勒索軟件名為“黑暗面”(DarkSide),,是由與REvil團(tuán)伙有關(guān)聯(lián)的黑客編寫的,。
REvi團(tuán)伙還對多家企業(yè)發(fā)動(dòng)過直接攻擊,全球最大的肉食品供應(yīng)商JBS公司就是受害者之一,。
執(zhí)法和情報(bào)部門出手
虛擬機(jī)軟件廠商VMWare公司網(wǎng)絡(luò)安全戰(zhàn)略負(fù)責(zé)人湯姆,?凱勒曼(Tom Kellermann)說,阻止REvil對更多公司實(shí)施網(wǎng)絡(luò)侵害的,,是執(zhí)法與情報(bào)兩部門的相關(guān)人員,。
“聯(lián)邦調(diào)查局與美軍網(wǎng)絡(luò)司令部、特勤局以及其他目的一致的國家聯(lián)手,,對這些網(wǎng)絡(luò)犯罪組織實(shí)施了實(shí)質(zhì)性的打擊行動(dòng),,”兼任美國特勤局網(wǎng)絡(luò)犯罪調(diào)查顧問的凱勒曼說?!癛Evil是上述組織中的首要團(tuán)伙,。”
REvil團(tuán)伙早些時(shí)候偃旗息鼓后,,一個(gè)網(wǎng)名為“0_neday”的頭目曾試圖重啟該團(tuán)伙業(yè)務(wù),。但他發(fā)現(xiàn)他們使用的服務(wù)器遭到匿名方破解。
“服務(wù)器癱瘓了,,他們正在找我,,” 0_neday上周末在網(wǎng)絡(luò)犯罪論壇上發(fā)帖稱,。網(wǎng)絡(luò)安全公司Recorded Future第一個(gè)發(fā)現(xiàn)了這個(gè)帖子?!白4蠹液眠\(yùn),,我下線了?!?/p>
備份數(shù)據(jù)被植入后門
在數(shù)十個(gè)與黑客合伙對世界各地的公司進(jìn)行滲透和癱瘓的勒索軟件團(tuán)伙中,,REvil是危害最大的一個(gè)。今年7月份,,該團(tuán)伙曾入侵美國卡西亞(Kaseya)軟件管理公司,,一次性竊取了數(shù)百家該公司客戶的網(wǎng)站進(jìn)入權(quán)限,觸發(fā)了無數(shù)條緊急網(wǎng)絡(luò)事件響應(yīng),。在那之后,,美國政府加大了對REvil團(tuán)伙的“圍剿”的力度。
卡西亞公司遭遇網(wǎng)絡(luò)入侵時(shí),,聯(lián)邦調(diào)查局掌握了一種通用型密鑰,,可幫助因入侵事件受損的卡西亞公司客戶不必支付贖金就能恢復(fù)本公司重要文檔。
但聯(lián)邦調(diào)查局承認(rèn),,為了隱蔽追蹤REvil團(tuán)伙成員,,執(zhí)法部門的官員并未立即向受害者發(fā)放密鑰,而是在最初數(shù)周時(shí)間內(nèi)隱瞞了密鑰的存在,。
三位知情者透露,,執(zhí)法和情報(bào)部門的網(wǎng)絡(luò)專家早已具備了破解REvil團(tuán)伙計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)備的能力,至少可以獲得其中幾臺服務(wù)器的控制權(quán),。
今年7月,,REvil團(tuán)伙用來開展業(yè)務(wù)的網(wǎng)站下線后,該團(tuán)伙自稱“未知”(Unknown)的主要發(fā)言人也從互聯(lián)網(wǎng)上消失,。
上個(gè)月,,“0_neday”和其他團(tuán)伙成員試圖從備份中恢復(fù)上述網(wǎng)站的運(yùn)行,但卻在不知不覺中重啟了某些已經(jīng)被執(zhí)法部門控制的內(nèi)部系統(tǒng),。
“勒索軟件團(tuán)伙REvil試圖利用備份恢復(fù)網(wǎng)站運(yùn)行,,他們認(rèn)為這些備份并未遭到破壞,”俄羅斯安全公司Group-IB取證實(shí)驗(yàn)室副主管奧列格,?斯庫爾金(Oleg Skulkin)說,。“但很諷刺的是,,團(tuán)伙成員最喜歡的備份破解戰(zhàn)術(shù)這次被用在了他們自己身上,。”
據(jù)悉,可靠的備份是抵御勒索軟件攻擊最重要的防護(hù)手段之一,。但這些備份的保存必須斷開與主網(wǎng)絡(luò)的聯(lián)接,,否則也可能遭到REvil之類的勒索團(tuán)伙破解。
網(wǎng)絡(luò)圍剿仍在進(jìn)行中
白宮國家安全委員會(huì)發(fā)言人沒有就此行動(dòng)發(fā)表專門評論,,但他表示:
“概括來說,,就是我們正在執(zhí)行一項(xiàng)由政府出面組織的‘反勒索’行動(dòng)。任務(wù)內(nèi)容包括破解勒索軟件團(tuán)伙的基礎(chǔ)設(shè)施,、設(shè)備,,打擊實(shí)施網(wǎng)絡(luò)勒索活動(dòng)的人員,同時(shí)與私營部門合作構(gòu)建更現(xiàn)代化的(網(wǎng)絡(luò))防御體系,,并組建一個(gè)國際聯(lián)盟,,追究那些包庇網(wǎng)絡(luò)勒索分子的國家的責(zé)任?!?/p>
聯(lián)邦調(diào)查局拒絕對該行動(dòng)做出評論,。
一名知情人士透露,執(zhí)行網(wǎng)絡(luò)破解任務(wù)的是美國政府的外國合作伙伴,。后者通過復(fù)雜技術(shù)手段侵入了REvil團(tuán)伙的計(jì)算機(jī)系統(tǒng),。一位不愿意透露姓名的前美國政府官員表示,上述行動(dòng)仍在進(jìn)行中,。
凱勒曼說,,REvil團(tuán)伙的計(jì)算機(jī)系統(tǒng)能夠被成功破解應(yīng)歸功于美國司法部副部長麗莎,?摩那哥(Lisa Monaco)的決心,。她曾表示,針對國家關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊應(yīng)該被視為等同于恐怖活動(dòng)的行為,。
今年6月,,美國司法部副總檢察長理約翰?卡林(John Carlin)接受路透社采訪時(shí)表示,,司法部正在將針對勒索軟件攻擊的調(diào)查提升為與恐怖活動(dòng)調(diào)查類似的優(yōu)先事項(xiàng),。
凱勒曼說,此決定給美國司法部及其他政府部門提供了一個(gè)法律基礎(chǔ),,可據(jù)此要求情報(bào)機(jī)構(gòu)和國防部提供幫助,。
“以前沒有人可以侵入那些論壇,軍方也不愿意插手,。但現(xiàn)在就沒有必要再手下留情了,。”
