3.25 亿!REvil 勒索团伙又出动,这次中大型企业躺枪了

发布时间:2022年05月19日
       这可能是历史上最高的黑客赎金记录。 索要史上最高纪录赎金 近日, REvil(又名Sodinokibi)勒索软件团伙在其网站上宣布, 他们已成功入侵一家计算机巨头的内部系统, 窃取并加密其重要数据, 并泄露部分数据截图 证明真实性:图片来自海外媒体Tor支付网站。 据悉, 该团伙向该公司勒索了5000万美元的赎金, 折合人民币约3.25亿元, 创下勒索软件历史最高纪录。
        . 图片来自海外媒体 当然, 黑客还是有条件的。 如果在周三之前支付赎金, 攻击者会协商 20% 的折扣, 这将提供解密工具、漏洞利用报告和被盗数据文件的删除。 据悉, 这不是该公司第一次遭到该团伙袭击。
        深信服获悉, 该公司遭到了REvil团伙利用Microsoft Exchange漏洞的攻击。 官方尚未对该事件提供更详细的解释。 REvil(Sodinokibi)团伙的“前世”REvil勒索软件堪称GandCrab的“接班人”。 GandCrab 曾经是最大的 RaaS(勒索软件即服务)运营商之一, 在 2019 年 6 月宣布, 在赚了很多钱后将停止更新。 随后, 另一家勒索软件运营商购买了 GandCrab 的代码, 该代码最初被称为 Sodinokibi 勒索软件。 由于早期解密器中使用“REvilDecryptor”作为程序名称, 因此也被称为REvil勒索软件。 REvil敲诈团伙近两年作案频发, 目标锁定国内外大中型企业。 每次攻击要求的赎金不少于20万元。 而且, 犯罪团伙已经形成了产业化运作:攻击者负责完成敲诈勒索, 在攻击过程中, 擅长“交易谈判”的在线客服通过网页与受害者进行沟通。 深信服终端安全团队深度追踪勒索团伙:深信服终端安全团队深度曝光Sodinokibi产业运营模式追踪, 深度曝光产业运营模式:Sodinokibi勒索运营团伙猖獗, 收钱为 国内用户。 同时, REvil勒索软件集团的攻击手段也在不断发展。 相比大多数只依赖 RDP 暴力攻击的团伙, REvil 似乎更愿意使用不同的攻击技术, 从暴力破解到钓鱼邮件, 从僵尸网络分发到高危漏洞利用, 从纯文件加密到窃取数据增加 勒索的杠杆作用。 REvil(Sodinokibi)团伙的“谈判技巧” 在沟通赎金的过程中, REvil客服会识别联系人是否是真正的受害者, 拒绝与解密代理谈判; REvil客服通常会为受害者提供一些折扣, 引导受害者尽快一次性支付更多的赎金。 例如, 每个人都会明白。 2021年3月, 外媒对REvil勒索病毒的运营者进行了采访。 经营者在采访中提到:图片来自海外媒体“REvil的成功在于提供越来越好的服务”, 同时在与受害者谈判时,

如果有“代理人”想要故意压低价格,

那么受害者需要支付更多的赎金。 深信服EDR产品基于勒索攻击链, 从预防、防护、检测、响应的全生命周期提供全方位的保护。 预防:通过安全基线检查、漏洞检测与修复, 提前识别系统漏洞, 阻断勒索软件攻击的进入。 防护:启用RDP爆破检测、无文件防护、勒索诱饵防护、远程登录防护等安全策略, 针对勒索软件的各种攻击方式进行针对性对抗和防护。 检测与响应:SAVE人工智能引擎实时文件检测、全网威胁定位、网端云联动, 快速定位、处置、拦截全网勒索病毒, 防范威胁爆破。 深信服安全团队再次提醒用户, 防范勒索软件是重中之重。 目前, 大多数被勒索软件加密的文件都无法解密。 注意日常防范措施:建议及时升级系统和应用进行日常勒索防范, 修复常见的高危漏洞; 定期对重要数据文件进行远程多媒体备份; 不要点击来源不明的电子邮件附件, 不要从不明网站下载软件; 尝试关闭不必要的文件共享权限; 更改帐户密码, 设置强密码, 避免使用统一密码, 因为统一密码会导致一个人被泄露, 许多人受苦。
        如果业务不需要使用RDP, 建议关闭RDP,

尽量避免将RDP服务直接映射到外网。