這恐怕是史上最高的黑客贖金記錄。
索要歷史最高記錄贖金
近日,REvil(又名Sodinokibi)勒索病毒團伙在其網站上公佈,他們已經成功入侵了某計算機巨頭企業的內部系統,對其重要數據進行了竊取和加密,並公開了部分數據截圖以證明真實性:
圖片來源於海外媒體
從Tor付款站點上顯示,得知該團伙共向該企業勒索5000萬美金的贖金,摺合人民幣約3.25億元,是勒索病毒歷史上索要贖金的最高記錄。
圖片來源於海外媒體
當然,黑客還是有條件的。
攻擊者在談判中稱,如果在週三前支付贖金,那麼可以提供20%的折扣,收款後會提供解密工具、所利用的漏洞報告並刪除竊取的數據文件。
據悉,該企業已經不是第一次遭該團伙攻擊了。深信服了解到該企業曾被REvil團伙利用Microsoft Exchange漏洞攻擊過。
目前官方暫未對事件進行更詳細的説明。
REvil(Sodinokibi)團伙的“前世今生”
REvil勒索病毒稱得上是GandCrab的“接班人”。GandCrab是曾經最大的RaaS(勒索軟件即服務)運營商之一,在賺得盆滿缽滿後於2019年6月宣佈停止更新。
隨後,另一個勒索運營商買下了GandCrab的代碼,即最早被人們稱作Sodinokibi勒索病毒。由於在早期的解密器中使用了“REvil Decryptor”作為程序名稱,又被稱為REvil勒索病毒。
REvil勒索團伙在過去兩年內頻繁作案,一直以國內外中大型企業為攻擊目標,每次攻擊索要的贖金不低於20萬人民幣,並且,該犯罪團伙已經形成產業化運作:
攻擊者負責完成勒索攻擊過程,與受害者通過網頁進行溝通的則是非常擅長“交易談判”的線上客服。
深信服終端安全團隊一直對該勒索團伙進行深度追蹤:
深信服終端安全團隊曾深度揭露Sodinokibi產業運作模式進行追蹤,並深度揭露了產業運營模式:【預警】Sodinokibi勒索病毒運營團伙猖獗,針對國內用户大肆斂財。
與此同時,REvil勒索團伙的攻擊手法也在不斷的發展。比起大多數只靠RDP暴力破解進行攻擊的團伙,REvil似乎更願意使用不同的攻擊技術,從暴力破解到釣魚郵件,從利用殭屍網絡分發到利用高危漏洞進行攻擊,從單純的文件加密到通過竊取數據增加勒索的籌碼。
REvil(Sodinokibi)團伙的“談判技巧”
在溝通贖金的過程中,REvil客服會甄別聯繫人是否為真正的受害者,並拒絕與解密代理商進行談判;REvil客服通常會向受害者提供一些折扣,引導受害者儘快的、一次性的支付更多贖金。
舉個例子,大家就明白了。2021年3月,國外媒體對REvil勒索病毒的運營商進行了一次採訪,在採訪中該運營商提到:
圖片來源於海外媒體
“REvil的成功在於提供了更好更優質的服務”,同時在與受害者談判時,如果有“代理商”想要故意壓低價格,那麼受害者就需要支付更多的贖金。
解決方案
深信服EDR產品基於勒索病毒攻擊鏈,從預防、防護、檢測與響應整個生命週期進行全面防護。
預防:通過安全基線檢查、漏洞檢測與修復等提前識別系統脆弱面,並封堵勒索病毒攻擊入口。
防護:開啓RDP爆破檢測、無文件防護、勒索誘餌防護以及遠程登錄保護等安全策略,對勒索病毒的各種攻擊手段進行針對性的對抗與防護。
檢測與響應:通過SAVE人工智能引擎進行文件實時檢測、全網威脅定位、網端雲聯動等對勒索病毒進行全網快速定位、處置與阻斷,阻止威脅爆破。深信服安全團隊再次提醒廣大用户,勒索病毒以防為主,目前大部分勒索病毒加密後的文件都無法解密,注意日常防範措施:
勒索病毒日常防範建議
及時升級系統和應用,修復常見高危漏洞;
對重要的數據文件定期進行異地多介質備份;
不要點擊來源不明的郵件附件,不從不明網站下載軟件;
儘量關閉不必要的文件共享權限;
更改賬户密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一台被攻破,多台遭殃;
如果業務上無需使用RDP的,建議關閉RDP,儘量避免直接對外網映射RDP服務。
如有需要,可撥打400-050-5530 專線諮詢。