REvil組織疑似死灰復燃并發起DDoS攻擊

已解散的REvil勒索軟件團伙聲稱對最近針對云網絡提供商Akamai的一位酒店客戶的分布式拒絕服務（DDoS）活動負責。然而，研究人員表示，這次襲擊很有可能不是臭名昭著的網絡犯罪集團的死灰復燃，而是一些愛好者的模仿行動。

Akamai在周三的一篇博客文章中透露，自5月12日以來，Akamai研究人員一直在監控DDoS攻擊，當時一名客戶告知該公司的安全事件響應團隊（SIRT）——一個聲稱與REvil有關聯的團體的襲擊未遂。

Akamai SIRT漏洞研究員Larry Cashdollar在帖子中寫道：“到目前為止，這些攻擊通過發送一波帶有一些緩存破壞技術的HTTP/2 GET請求來淹沒網站。這些請求中包含嵌入式付款需求、比特幣（BTC）錢包和商業/政治需求。”

然而，研究人員表示，盡管襲擊者聲稱自己是REvil，但目前還不清楚已解散的勒索軟件集團是否對此負有責任，因為這些嘗試似乎比該組織聲稱負有責任的類似活動要小。

DDoS運動背后似乎也有政治動機，這與REvil之前的策略不一致，在這些策略中，該組織聲稱其動機完全是經濟利益。

邪惡歸來？

REvil于2021年7月進入公眾視野，是一個總部位于俄羅斯的勒索軟件即服務（RaaS）組織，以其對Kaseya、JBS Foods和Apple Computer等的引人注目的攻擊而聞名。其襲擊的破壞性促使國際當局嚴厲打擊該組織，歐洲刑警組織于2021年11月逮捕關閉了該團伙的一些關聯公司。

最后，在2022年3月，俄羅斯聲稱有責任應美國政府的要求完全解散該組織，逮捕其中的組織成員，而他們在此之前幾乎沒有阻止REvil的行動。當時被捕的人之一在幫助勒索軟件集團DarkSide于2021年5月對Colonial Pipeline的致殘攻擊方面發揮了重要作用，導致該公司支付了500萬美元的贖金。

研究人員表示，最近的DDoS攻擊——這將是REvil的樞紐——由一個簡單的HTTP GET請求組成，其中請求路徑包含一條發送到目標的消息，其中包含一條554字節的需要付款的消息。對網絡第7層（應用程序訪問網絡服務的人機交互層）攻擊的流量峰值為15 kRps。

Cashdollar寫道，受害者被指示將BTC付款發送到“目前沒有歷史記錄，也沒有與任何以前已知的BTC綁定”的錢包地址。

他說，這次襲擊還提出了額外的特定地理需求，要求目標公司停止在全國范圍內的業務運營。具體而言，攻擊者威脅說，如果不滿足這一需求，并且不在特定時間范圍內支付贖金，將發起后續攻擊，這將影響全球業務運營。

潛在的模仿攻擊

REvil在其狡猾的戰術中使用DDoS作為三重敲詐勒索的手段是有先例的。然而，Cashdollar指出，除此特點之外，除非是全新行動的開始，否則此次的網絡攻擊似乎不是勒索軟件集團的工作。

他說，REvil的典型工作方式是訪問目標網絡或組織，加密或竊取敏感數據，要求付費解密或防止信息泄露給出價最高者，或威脅公開披露敏感或破壞性信息。

Cashdollar寫道，在DDoS攻擊中看到的技術“與他們的正常戰術相違背”。他寫道：“REvil幫派是RaaS的供應商，在這次事件中沒有勒索軟件。”

與這次襲擊相關的政治動機——這與對目標公司商業模式的法律裁決有關——也違背了REvil領導人過去的說法，即他們純粹是利潤驅動的。Cashdollar觀察到：“在之前報告的任何其他襲擊中，我們沒有看到REvil與政治競選活動有關。”

然而，他說，REvil可能正在通過應用浸入DDoS敲詐勒索的新商業模式來尋求復蘇。Cashdollar說，更有可能的是，競選活動中的攻擊者只是使用臭名昭著的網絡犯罪集團的名字來恐嚇目標組織滿足他們的要求。

他寫道：“還有什么比利用一個著名團體的名字來嚇唬整個行業組織高管和安全團隊心中的更好的方法了。”

參考及來源：

https://threatpost.com/cybergang-claims-revil-is-back-executes-ddos-attacks/179734/

原文來源：嘶吼專業版

“投稿聯系方式：孫中豪 010-82992251 sunzhonghao@cert.org.cn”