欧洲刑警组织(Europol)今日宣布逮捕了7名嫌疑人,他们以一个大型勒索软件卡特尔组织“会员(affiliates)”(合作伙伴)的身份工作,自2019年初以来帮助实施了7000多次攻击。这些嫌疑人在REvil (Sodinokibi)和GandCrab勒索软件即服务(RaaS)的部分业务中工作。
据信,REvil和GandCrab都是由同一批操作的,他们创建了赎金软件代码以提供给其他网络犯罪分子出租。
这些租赁团体将策划对公司的入侵、部署勒索软件、要求支付赎金,然后跟REvil/GandCrab的编码者分享利润。
Europol称,自2019年以来,这七名嫌疑人经手过的攻击总共要求的赎金超过了2亿欧元。
自今年2月以来,Europol表示,它一直在跟执法机构和Bitdefender、KPN和McAfee等安全公司合作以逮捕其中一些会员。根据Europol的说法,逮捕行动发生在:
2月、4月、10月--三名REvil和GandCrab会员在韩国被捕;
10月--一名REvil会员在波兰被捕(因Kaseya REvil攻击而被指控);
11月4日--两名REvil成员在罗马尼亚康斯坦察被捕;
11月4日--一名GandCrab成员在科威特被捕。
这些逮捕行动是在以美国为首的西方国家今年夏天早些时候承诺打击勒索软件团伙之后进行的。
在决定打击勒索软件运营商之前,勒索软件攻击在今年达到了顶峰,一些团体发起的攻击使行业部门瘫痪了好几天--如今年5月对Colonial Pipeline的攻击,该攻击迫使美国东海岸45%的燃料供应停止。
参与由Europol领导的打击GandCrab/REvil团伙的Bitdefender也有在9月16日为过去的REvil受害者发布了一个通用解密器。这家罗马尼亚公司还发布了针对GandCrab版本的免费解密器,所有这些都可以从NoMoreRansom门户网站下载。
2020年8月,8名GangCrab会员在白俄罗斯被捕,但该次行动并不是Europol联合调查的一部分。
GandCrab和REvil行动的简短历史
GandCrab RaaS于2018年1月首次发布广告,它最初是一个普通的团体,他们将其代码出租给网络犯罪集团,后者使用带有恶意文件附件的垃圾邮件来感染用户。
该组织在2019年初转移了目标,当时他们开始跟一小群会员合作,在针对企业组织的攻击中以管理服务提供商为目标,希望从他们可以从小型家庭用户那里提取的小额赎金要求转移到他们可以从其网络瘫痪的公司那里索取更大的赎金。
由于这种新型攻击方法开始产生更大的利润,该组织在2019年5月关闭了他们的GandCrab行动,并在一个月后即2020年6月,发布了他们的赎金软件的重塑和改进版本。
被称为REvil或Sodinokibi,这个新RaaS门户网站只跟愿意攻击大公司的会员合作。多年来,REvil RaaS及其会员跟一些相当大的攻击公司有关,如苹果、宏基、阿根廷电信等等。
根据2021年2月发表的一份IBM报告,据信REvil行动仅在2020年就获得了约1.23亿美元的收入。
然而,今年5月和7月分别针对JBS Foods和Kaseya服务器的两次攻击越过了美国政府愿意接受的底线。JBS Foods的攻击造成了美国各地肉类供应的大规模中断,而对Kaseya服务器的攻击则在7月4日假期造成了全球数以千计的IT网络瘫痪。
该组织在一周后关闭,没有任何形式的解释,该组织的领导人--一个名为未知的人似乎从地下论坛消失了。
一些REvil编码员试图在9月恢复该行动,但他们因为一个未知的第三方劫持了其Tor服务器基础设施而在一个月后关闭。
路透社和《华盛顿邮报》的报道后来显示,到7月,该组织的服务器已经被一个外国执法机构入侵并反追踪。
而当该组织在9月卷土重来时,美国网络司令部劫持了它的服务器,并且前者并不知道执法部门的行动。不过这次劫持让REvil团伙受到惊吓,这似乎成为了最后的退休,而也可能是Europol和其他执法团体正在对他们迄今为止设法确定的GandCrab/REvil会员采取行动的原因。
