索要歷史最高記錄贖金

近日，REvil（又名Sodinokibi）勒索病毒團伙在其網站上公佈，他們已經成功入侵了某計算機巨頭企業的內部系統，對其重要資料進行了竊取和加密，並公開了部分資料截圖以證明真實性：

圖片來源於海外媒體

 

從Tor付款站點上顯示，得知該團伙總共向該企業勒索5000萬美金的贖金，摺合人民幣約3.25億元，是勒索病毒歷史上索要贖金的最高記錄。

圖片來源於海外媒體

 

當然，駭客還是有條件的。

 

攻擊者在談判中稱，如果在週三前支付贖金，那麼可以提供20%的折扣，收款後會提供解密工具、所利用的漏洞報告並刪除竊取的資料檔案。

圖片來源於海外媒體

 

據悉，該企業已經不是第一次遭該團伙攻擊了。深信服了解到該企業曾被 REvil 團伙利用 Microsoft Exchange漏洞攻擊過。

 

目前官方暫未對事件進行更詳細的說明。

REvil（Sodinokibi）團伙的“前世今生”

REvil勒索病毒稱得上是GandCrab的“接班人”，GandCrab是曾經最大的RaaS（勒索軟體即服務）運營商之一，在賺得盆滿缽滿後於2019年6月宣佈停止更新。

 

隨後，另一個勒索運營商買下了GandCrab的程式碼，即最早被人們稱作Sodinokibi勒索病毒。由於在早期的解密器中使用了“REvil Decryptor”作為程式名稱，又被稱為 REvil 勒索病毒。

REvil勒索團伙在過去兩年內頻繁作案，一直以國內外中大型企業作為攻擊目標，每次攻擊索要的贖金不低於20萬人民幣。並且，該犯罪團伙已經形成產業化運作：

 

攻擊者負責完成勒索攻擊過程，與受害者透過網頁進行溝通的則是非常擅長“交易談判”的線上客服。

 

深信服終端安全團隊一直對該勒索團伙進行深度追蹤：

深信服終端安全團隊曾深度揭露 Sodinokibi 產業運作模式進行追蹤，並深度揭露了產業運營模式：【預警】Sodinokibi勒索病毒運營團伙猖獗，針對國內使用者大肆斂財

與此同時，REvil 勒索團伙的攻擊手法也在不斷的發展。比起大多數只靠 RDP暴力破解進行攻擊的團伙，REvil 似乎更願意使用不同的攻擊技術，從暴力破解到釣魚郵件，從利用殭屍網路分發到利用高危漏洞進行攻擊，從單純的檔案加密到透過竊取資料增加勒索的籌碼。

REvil（Sodinokibi）團伙的“談判技巧”

在溝通贖金的過程中，REvil 客服會甄別聯絡人是否為真正的受害者，並拒絕與解密代理商進行談判；REvil客服通常會向受害者提供一些折扣，引導受害者儘快的、一次性的支付更多贖金。

舉個例子，大家就明白了。

 

2021 年 3 月，國外媒體對 REvil 勒索病毒的運營商進行了一次採訪，在採訪中該運營商提到：

圖片來源於海外媒體

 

“REvil 的成功在於提供了更好更優質的服務”，同時在與受害者談判時，如果有“代理商”想要故意壓低價格，那麼受害者就需要支付更多的贖金。

解決方案

針對勒索病毒肆虐，嚴重影響使用者業務安全問題，深信服已有完整的解決方案：

 

深信服EDR產品基於勒索病毒攻擊鏈，從預防、防護、檢測與響應整個生命週期進行全面防護。

 

預防：透過安全基線檢查、漏洞檢測與修復等提前識別系統脆弱面，並封堵勒索病毒攻擊入口。

 

防護：開啟RDP爆破檢測、無檔案防護、勒索誘餌防護以及遠端登入保護等安全策略，對勒索病毒的各種攻擊手段進行針對性的對抗與防護。

 

檢測與響應：透過 SAVE 人工智慧引擎進行檔案實時檢測、全網威脅定位、網端雲聯動等對勒索病毒進行全網快速定位、處置與阻斷，阻止威脅爆破。深信服安全團隊再次提醒廣大使用者，勒索病毒以防為主，目前大部分勒索病毒加密後的檔案都無法解密，注意日常防範措施。

勒索病毒日常防範建議：

• 深信服安全團隊再次提醒廣大使用者，勒索病毒以防為主，目前大部分勒索病毒加密後的檔案都無法解密，注意日常防範措施：

• 及時升級系統和應用，修復常見高危漏洞；

• 對重要的資料檔案定期進行異地多介質備份；

• 不要點選來源不明的郵件附件，不從不明網站下載軟體；

• 儘量關閉不必要的檔案共享許可權；

• 更改賬戶密碼，設定強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃；

• 如果業務上無需使用RDP的，建議關閉RDP，儘量避免直接對外網對映RDP服務。

諮詢服務：

您可以透過以下方式聯絡我們，獲取關於該勒索的免費諮詢及支援服務：

1、撥打電話400-050-5530專線；

2、關注【深信服技術服務】微信公眾號，選擇“智慧服務”選單，進行諮詢；

3、PC 端訪問深信服社群bbs.sangfor.com.cn，選擇右側智慧客服，進行諮詢。