网安 - 专业的网络安全产业、社区、知识平台

美国FBI:REvil团伙多名成员遭警方逮捕

VSole2021-11-09 10:45:17

曾针对JBS、Kaseya发起勒索攻击造成极坏影响,REvil团伙多名成员遭警方逮捕;

此前,美国FBI和网军曾多次出手,网络渗透REvil团伙的基础设施;

全球联合执法打击勒索软件行动显成效,近期REvil/GandCrab/Clop等多个勒索软件相关的人员被抓捕,基础设施下线。

国际执法机构已经先后逮捕了至少五名涉嫌与REvil勒索软件团伙相关的人员。今年早先,REvil团伙曾针对Kaseya软件公司和JBS食品公司发起过灾难性的网络攻击。

欧洲刑警组织11月8日发布的一份声明显示,罗马尼亚当局于11月4日逮捕了两名涉嫌与REvil有所关联的人士。此外,今年上半年还有另外三名REvil团伙嫌疑人落入法网,因此目前共有五人被缉拿归案。

这些黑客嫌疑人被指控发动约5000次勒索软件攻击,并收取到约50万欧元(57.9万美元)赎金。许多勒索软件团伙将自己的恶意软件提供给附属团伙,再由他们用于攻击受害者,这就是所谓的“勒索软件即服务/RaaS”。

美国也起诉一名REvil团伙成员

根据周一在达拉斯公布的法庭文件,一名乌克兰人在美国被起诉,他参与了2500次勒索软件攻击,并累计索要了高达数亿美元的赎金。

起诉书提到,Yaroslav Vasinskyi涉嫌与REvil团伙发起的多次勒索软件攻击活动有关,因此面临共谋实施欺诈罪与其他计算机犯罪等多项指控。检察官强调,Vasinskyi是在“明知故犯”的情况下合谋破坏美国的计算机系统。目前尚不清楚Vasinksyi是否就是这五名被捕REvilt团伙成员之一

REvil是“Ransomware-Evil”的缩写,被认为是世界上最为活跃的勒索软件团伙之一。该团伙被指控在今年对多家企业及机构发动一系列攻击活动,知名受害者包括巴西肉类供应商JBS、总部位于迈阿密的技术厂商Kaseya等。JBS支付了1100万美元赎金,而Kaseya则表示拒绝向黑客屈服。

全球密集联合执法

美国总统拜登已经把打击勒索软件作为本届政府的优先事项。今年早些时候,白宫邀请30多个国家加入《反勒索软件倡议》,其既定目标包括改善网络安全和破坏勒索软件经济体系(特别是勒索中常用的数字加密货币)。

欧洲刑警组织也提到,执法机构在扣押了REvil所使用的基础设施并开展监视等调查行动之后,已经确定了从他们手中租用勒索工具的其他附属团伙

除了REvil成员遭到逮捕之外,欧洲刑警组织今年还狠狠打击了另一个高产勒索软件团伙GandCrab发展出的两个附属团伙

周一公布的这项逮捕行动属于GoldDust大规模国际调查的一部分。此项调查由全球17个国家的执法机构共同参与,成员包括美国、英国、法国以及德国。

VMware公司网络安全战略负责人Tom Kellermann表示,“这代表着17个国家已经向网络犯罪联盟发起历史性的集体攻势。GoldDust行动已经在打击勒索软件攻击方面产生了极富意义的影响。”

但他也补充称,“破坏性的网络攻击仍将继续存在,并变得更加系统化。必须加强志同道合的各国家间的集体行动,同时增强对涉及网络犯罪活动的数字货币的没收力度。”

REvil也被称为Sodinokibi,于2019年初次崭露头角。这个俄语团伙以惊人的赎金数额、咄咄逼人的攻击态势以及引人注目的高调目标选择而臭名昭著。他们还在暗网当中维护一个名为“Happy Blog”的页面,专门用于泄露或拍卖从受害者计算机中窃取到的文件。

根据IBM威胁情报指数的统计,该团伙在2020年内的利润至少为1.23亿美元,并窃取到约21.6 TB的数据。

今年7月,REvil网站从暗网中消失,并于9月重新出现,但之后很快再次消失。据《华盛顿邮报》报道,今年10月美国网络司令部曾联合某外国政府入侵该团伙服务器并封锁其网站,REvil的网站在恢复后并没能坚持多久。

多个勒索软件被打击

随着针对关键基础设施、医疗保健、企业和教育机构的勒索软件攻击不断升级,全球执法部门今年一直在对犯罪活动施加巨大压力。

这些执法活动导致了多个勒索软件团伙成员被逮捕、基础设施被拆除,包括:

  • Netwalker勒索软件网站遭到破坏,加拿大分支机构被逮捕;
  • 两名勒索软件攻击团伙成员被逮捕,涉嫌参与约一百起网络攻击;
  • 12名勒索软件攻击人员被逮捕,曾攻击了71个国家1800名受害者;
  • Clop勒索软件6名成员被逮捕。

执法行动也导致勒索软件团伙主动关闭其业务,因为他们感到执法部门开始严打这类活动。这包括最近关闭的REvil和BlackMatter网站,以及6月关闭的Avaddon勒索软件。

虽然勒索软件团伙可能会暂停他们的行动,但这并不意味着执法部门已经放弃了将他们绳之以法。本周,美国国务院宣布悬赏1000万美元,以识别或找到DarkSide/BlackMatter勒索软件团伙的主要领导人。

参考来源:彭博社、bleepingcomputer.com

勒索联邦调查局
本作品采用《CC 协议》,转载必须注明作者和本文链接
KillDisk勒索软件针对Linux,要求25万美元赎金但不解密文件
2022-08-05 03:34:10
在最近的一次事件中,人们发现KillDisk勒索软件的新变种对Linux机器进行了加密,从而使它们在数据永久丢失的情况下无法启动。KillDisk勒索软件的Linux版本不会将加密密钥存储在磁盘或命令和控制服务器上的任何位置。好消息是,ESET的研究人员发现Linux变体使用的加密存在一个弱点,这使得恢复加密文件成为可能,尽管很困难。
古巴勒索破坏了美国49个关键基础设施组织
2021-12-04 07:47:40
联邦调查局 透露,古巴勒索软件团伙已经破坏了来自美国关键基础设施部门的至少49个组织的网络。相反,这会促使勒索软件针对更多受害者进行操作,并激励其他网络犯罪团体加入他们进行类似的非法活动。然而,联邦机构承认勒索软件攻击可能对企业造成损害,因为高管可能被迫考虑支付赎金以保护股东、客户或员工。联邦调查局强烈敦促向当地联邦调查局外地办事处报告此类事件。
黑客“蜂窝”勒索1.3亿不成反被FBI捣毁
2023-07-09 17:59:18
FBI位于佛州坦帕的办事处负责“蜂窝”案件据报道,“蜂窝”在2021年7月首次进入FBI的监视范围。出于安全考虑,该受害组织的名字至今一直未公开。由于这是“蜂窝”在美国境内发生的第一起已知攻击,根据FBI的程序规定,距离受害者最近的FBI坦帕办事处将承担未来所有相关的“蜂窝”案件。今年6月,美国司法部公布了对一名俄罗斯公民的起诉书,该人被指控作为“蜂窝”的“会员”工作。这彻底改变了“蜂窝”一案。
FBI 对 Hive 勒索软件的操作发出了快速警报
2021-08-27 23:14:15
联邦调查局 (FBI) 发布了与 Hive 勒索软件团伙活动相关的快速警报。
Conti勒索组织分化后更危险的Karakurt数据勒索团伙揭秘
2022-06-02 12:32:10
当地时间6月1日,由联邦调查局(FBI)、网络安全和基础设施安全局(CISA),财政部(Treasury)和金融犯罪执法网络(FinCEN)联合发布了网络安全咨询公告(CSA),披露了有关Karakurt数据勒索组织(也称为Karakurt组织和Karakurt Lair)的信息。该攻击组织采用了各种策略、技术和程序(TTP),给网络安全防御和缓解带来了重大挑战。四家机构还提供了一些建议的行动来减
FBI 调查意外发现 HelloKitty 勒索软件团伙在乌克兰境外活动
2021-12-16 18:09:46
在调查一家医疗保健组织遭受的数据泄露事件时,联邦调查局意外透露,它认为 HelloKitty 勒索软件团伙在乌克兰境外开展活动。
FBI 警告食品和农业公司勒索软件威胁
2021-09-03 17:06:27
联邦调查局已向食品和农业部门的公司发出新的警报警告,随着公司攻击面的扩大,它们面临越来越多的勒索软件风险。
FBI 再现 falsh 警告:ProLock 勒索软件窃取数据,攻击建筑、金融等全球性组织
2020-09-07 18:13:15
FBI于9月1日发布了关于ProLock勒索软件窃取数据的20200901-001私人行业通知。当时,美联储警告说,ProLock的解密器无法正常工作,使用它可能会彻底破坏数据。目前尚不清楚ProLock勒索软件是由Qakbot团伙管理的,还是ProLock运营商花钱访问感染了Qakbot的主机,以传递他们的恶意软件。威胁参与者使用了 Rclone 云存储同步命令行工具。FBI建议勒索软件攻击的受害者避免支付赎金以解密其文件并立即向当局报告攻击。
犯罪分子使用LockBit 3.0勒索软件攻击获利百万美元
2023-04-07 16:31:59
此次攻击的主要特征之一是使用了大量的定制的渗出工具,这些工具被称为StealBit,由LockBit集团授权给其附属机构。根据美国司法部11月的一份报告,LockBit勒索软件已经在全球范围内对至少1000名受害者进行攻击,为该组织获得了超过1亿美元的非法收入。
美国网络安全和基础设施安全局发布假日勒索软件消息
2021-11-25 06:06:53
网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 警告美国人不要在这个假期休息一下网络安全。
VSole
网络安全专家