REvil组织疑似死灰复燃并发起DDoS攻击

已解散的REvil勒索软件团伙声称对最近针对云网络提供商Akamai的一位酒店客户的分布式拒绝服务（DDoS）活动负责。然而，研究人员表示，这次袭击很有可能不是臭名昭著的网络犯罪集团的死灰复燃，而是一些爱好者的模仿行动。

Akamai在周三的一篇博客文章中透露，自5月12日以来，Akamai研究人员一直在监控DDoS攻击，当时一名客户告知该公司的安全事件响应团队（SIRT）——一个声称与REvil有关联的团体的袭击未遂。

Akamai SIRT漏洞研究员Larry Cashdollar在帖子中写道：“到目前为止，这些攻击通过发送一波带有一些缓存破坏技术的HTTP/2 GET请求来淹没网站。这些请求中包含嵌入式付款需求、比特币（BTC）钱包和商业/政治需求。”

然而，研究人员表示，尽管袭击者声称自己是REvil，但目前还不清楚已解散的勒索软件集团是否对此负有责任，因为这些尝试似乎比该组织声称负有责任的类似活动要小。

DDoS运动背后似乎也有政治动机，这与REvil之前的策略不一致，在这些策略中，该组织声称其动机完全是经济利益。

邪恶归来？

REvil于2021年7月进入公众视野，是一个总部位于俄罗斯的勒索软件即服务（RaaS）组织，以其对Kaseya、JBS Foods和Apple Computer等的引人注目的攻击而闻名。其袭击的破坏性促使国际当局严厉打击该组织，欧洲刑警组织于2021年11月逮捕关闭了该团伙的一些关联公司。

最后，在2022年3月，俄罗斯声称有责任应美国政府的要求完全解散该组织，逮捕其中的组织成员，而他们在此之前几乎没有阻止REvil的行动。当时被捕的人之一在帮助勒索软件集团DarkSide于2021年5月对Colonial Pipeline的致残攻击方面发挥了重要作用，导致该公司支付了500万美元的赎金。

研究人员表示，最近的DDoS攻击——这将是REvil的枢纽——由一个简单的HTTP GET请求组成，其中请求路径包含一条发送到目标的消息，其中包含一条554字节的需要付款的消息。对网络第7层（应用程序访问网络服务的人机交互层）攻击的流量峰值为15 kRps。

Cashdollar写道，受害者被指示将BTC付款发送到“目前没有历史记录，也没有与任何以前已知的BTC绑定”的钱包地址。

他说，这次袭击还提出了额外的特定地理需求，要求目标公司停止在全国范围内的业务运营。具体而言，攻击者威胁说，如果不满足这一需求，并且不在特定时间范围内支付赎金，将发起后续攻击，这将影响全球业务运营。

潜在的模仿攻击

REvil在其狡猾的战术中使用DDoS作为三重敲诈勒索的手段是有先例的。然而，Cashdollar指出，除此特点之外，除非是全新行动的开始，否则此次的网络攻击似乎不是勒索软件集团的工作。

他说，REvil的典型工作方式是访问目标网络或组织，加密或窃取敏感数据，要求付费解密或防止信息泄露给出价最高者，或威胁公开披露敏感或破坏性信息。

Cashdollar写道，在DDoS攻击中看到的技术“与他们的正常战术相违背”。他写道：“REvil帮派是RaaS的供应商，在这次事件中没有勒索软件。”

与这次袭击相关的政治动机——这与对目标公司商业模式的法律裁决有关——也违背了REvil领导人过去的说法，即他们纯粹是利润驱动的。Cashdollar观察到：“在之前报告的任何其他袭击中，我们没有看到REvil与政治竞选活动有关。”

然而，他说，REvil可能正在通过应用浸入DDoS敲诈勒索的新商业模式来寻求复苏。Cashdollar说，更有可能的是，竞选活动中的攻击者只是使用臭名昭著的网络犯罪集团的名字来恐吓目标组织满足他们的要求。

他写道：“还有什么比利用一个著名团体的名字来吓唬整个行业组织高管和安全团队心中的更好的方法了。”

参考及来源：

https://threatpost.com/cybergang-claims-revil-is-back-executes-ddos-attacks/179734/

原文来源：嘶吼专业版

“投稿联系方式：孙中豪 010-82992251 sunzhonghao@cert.org.cn”