歐洲刑警組織(Europol)今日宣佈逮捕了7名嫌疑人,他們以一個大型勒索軟體卡特爾組織“會員(affiliates)”(合作伙伴)的身份工作,自2019年初以來幫助實施了7000多次攻擊。這些嫌疑人在REvil (Sodinokibi)和GandCrab勒索軟體即服務(RaaS)的部分業務中工作。
據信,REvil和GandCrab都是由同一批操作的,他們建立了贖金軟體程式碼以提供給其他網路犯罪分子出租。
這些租賃團體將策劃對公司的入侵、部署勒索軟體、要求支付贖金,然後跟REvil/GandCrab的編碼者分享利潤。
Europol稱,自2019年以來,這七名嫌疑人經手過的攻擊總共要求的贖金超過了2億歐元。
自今年2月以來,Europol表示,它一直在跟執法機構和Bitdefender、KPN和McAfee等安全公司合作以逮捕其中一些會員。根據Europol的說法,逮捕行動發生在:
2月、4月、10月——三名REvil和GandCrab會員在韓國被捕;
10月——一名REvil會員在波蘭被捕(因Kaseya REvil攻擊而被指控);
11月4日——兩名REvil成員在羅馬尼亞康斯坦察被捕;
11月4日——一名GandCrab成員在科威特被捕。
這些逮捕行動是在以美國為首的西方國家今年夏天早些時候承諾打擊勒索軟體團伙之後進行的。
在決定打擊勒索軟體運營商之前,勒索軟體攻擊在今年達到了頂峰,一些團體發起的攻擊使行業部門癱瘓了好幾天——如今年5月對Colonial Pipeline的攻擊,該攻擊迫使美國東海岸45%的燃料供應停止。
參與由Europol領導的打擊GandCrab/REvil團伙的Bitdefender也有在9月16日為過去的REvil受害者釋出了一個通用解密器。這家羅馬尼亞公司還發布了針對GandCrab版本的免費解密器,所有這些都可以從NoMoreRansom入口網站下載。
2020年8月,8名GangCrab會員在白俄羅斯被捕,但該次行動並不是Europol聯合調查的一部分。
GandCrab和REvil行動的簡短歷史
GandCrab RaaS於2018年1月首次釋出廣告,它最初是一個普通的團體,他們將其程式碼出租給網路犯罪集團,後者使用帶有惡意檔案附件的垃圾郵件來感染使用者。
該組織在2019年初轉移了目標,當時他們開始跟一小群會員合作,在針對企業組織的攻擊中以管理服務提供商為目標,希望從他們可以從小型家庭使用者那裡提取的小額贖金要求轉移到他們可以從其網路癱瘓的公司那裡索取更大的贖金。
由於這種新型攻擊方法開始產生更大的利潤,該組織在2019年5月關閉了他們的GandCrab行動,並在一個月後即2020年6月,釋出了他們的贖金軟體的重塑和改進版本。
被稱為REvil或Sodinokibi,這個新RaaS入口網站只跟願意攻擊大公司的會員合作。多年來,REvil RaaS及其會員跟一些相當大的攻擊公司有關,如蘋果、宏基、阿根廷電信等等。
根據2021年2月發表的一份IBM報告,據信REvil行動僅在2020年就獲得了約1。23億美元的收入。
然而,今年5月和7月分別針對JBS Foods和Kaseya伺服器的兩次攻擊越過了美國政府願意接受的底線。JBS Foods的攻擊造成了美國各地肉類供應的大規模中斷,而對Kaseya伺服器的攻擊則在7月4日假期造成了全球數以千計的IT網路癱瘓。
該組織在一週後關閉,沒有任何形式的解釋,該組織的領導人——一個名為未知的人似乎從地下論壇消失了。
一些REvil編碼員試圖在9月恢復該行動,但他們因為一個未知的第三方劫持了其Tor伺服器基礎設施而在一個月後關閉。
路透社和《華盛頓郵報》的報道後來顯示,到7月,該組織的伺服器已經被一個外國執法機構入侵併反追蹤。
而當該組織在9月捲土重來時,美國網路司令部劫持了它的伺服器,並且前者並不知道執法部門的行動。不過這次劫持讓REvil團伙受到驚嚇,這似乎成為了最後的退休,而也可能是Europol和其他執法團體正在對他們迄今為止設法確定的GandCrab/REvil會員採取行動的原因。
