歐洲刑警組織(Europol)今日宣布逮捕了7名嫌疑人,他們以一個大型勒索軟件卡特爾組織“會員(affiliates)”(合作夥伴)的身份工作,自2019年初以來幫助實施了7000多次攻擊。這些嫌疑人在REvil (Sodinokibi)和GandCrab勒索軟件即服務(RaaS)的部分業務中工作。
據信,REvil和GandCrab都是由同一批操作的,他們創建了贖金軟件代碼以提供給其他網絡犯罪分子出租。
這些租賃團體將策劃對公司的入侵、部署勒索軟件、要求支付贖金,然後跟REvil/GandCrab的編碼者分享利潤。
Europol稱,自2019年以來,這七名嫌疑人經手過的攻擊總共要求的贖金超過了2億歐元。
自今年2月以來,Europol表示,它一直在跟執法機構和Bitdefender、KPN和McAfee等安全公司合作以逮捕其中一些會員。根據Europol的說法,逮捕行動發生在:
2月、4月、10月–三名REvil和GandCrab會員在韓國被捕;
10月–一名REvil會員在波蘭被捕(因Kaseya REvil攻擊而被指控);
11月4日–兩名REvil成員在羅馬尼亞康斯坦察被捕;
11月4日–一名GandCrab成員在科威特被捕。
這些逮捕行動是在以美國為首的西方國家今年夏天早些時候承諾打擊勒索軟件團伙之後進行的。
在決定打擊勒索軟件運營商之前,勒索軟件攻擊在今年達到了頂峰,一些團體發起的攻擊使行業部門癱瘓了好幾天–如今年5月對Colonial Pipeline的攻擊,該攻擊迫使美國東海岸45%的燃料供應停止。
參與由Europol領導的打擊GandCrab/REvil團伙的Bitdefender也有在9月16日為過去的REvil受害者發布了一個通用解密器。這家羅馬尼亞公司還發布了針對GandCrab版本的免費解密器,所有這些都可以從NoMoreRansom門戶網站下載。
2020年8月,8名GangCrab會員在白俄羅斯被捕,但該次行動並不是Europol聯合調查的一部分。
GandCrab和REvil行動的簡短歷史
GandCrab RaaS於2018年1月首次發布廣告,它最初是一個普通的團體,他們將其代碼出租給網絡犯罪集團,後者使用帶有惡意文件附件的垃圾郵件來感染用戶。
該組織在2019年初轉移了目標,當時他們開始跟一小群會員合作,在針對企業組織的攻擊中以管理服務提供商為目標,希望從他們可以從小型家庭用戶那裡提取的小額贖金要求轉移到他們可以從其網絡癱瘓的公司那裡索取更大的贖金。
由於這種新型攻擊方法開始產生更大的利潤,該組織在2019年5月關閉了他們的GandCrab行動,並在一個月後即2020年6月,發布了他們的贖金軟件的重塑和改進版本。
被稱為REvil或Sodinokibi,這個新RaaS門戶網站只跟願意攻擊大公司的會員合作。多年來,REvil RaaS及其會員跟一些相當大的攻擊公司有關,如蘋果、宏基、阿根廷電信等等。
根據2021年2月發表的一份IBM報告,據信REvil行動僅在2020年就獲得了約1.23億美元的收入。
然而,今年5月和7月分別針對JBS Foods和Kaseya服務器的兩次攻擊越過了美國政府願意接受的底線。JBS Foods的攻擊造成了美國各地肉類供應的大規模中斷,而對Kaseya服務器的攻擊則在7月4日假期造成了全球數以千計的IT網絡癱瘓。
該組織在一周后關閉,沒有任何形式的解釋,該組織的領導人–一個名為未知的人似乎從地下論壇消失了。
一些REvil編碼員試圖在9月恢復該行動,但他們因為一個未知的第三方劫持了其Tor服務器基礎設施而在一個月後關閉。
路透社和《華盛頓郵報》的報道後來顯示,到7月,該組織的服務器已經被一個外國執法機構入侵併反追蹤。
而當該組織在9月捲土重來時,美國網絡司令部劫持了它的服務器,並且前者並不知道執法部門的行動。不過這次劫持讓REvil團伙受到驚嚇,這似乎成為了最後的退休,而也可能是Europol和其他執法團體正在對他們迄今為止設法確定的GandCrab/REvil會員採取行動的原因。
