REvil勒索軟件主密鑰被公開

安全廠商Bitdefender近日發布了勒索軟件REvil/Sodinokibi的免費通用解密密鑰（主密鑰），可以解鎖7月13日REvil服務器被關停之前被其攻擊加密的所有數據。

Bitdefender在周四晚間官方網站開始贈送通用解密密鑰，這個消息來得很及時，因為僅僅數天前，REvil剛剛“死灰復燃”。

萬能鑰匙

Bitdefender說，這是真正的“萬能密鑰”，可以解密所有該勒索軟件加密的數據，而不是上個月REvil受害者Kaseya獲得的那種不完全的密鑰。當時，人們樂觀地認為該密鑰可以解鎖與Kaseya同時發生的所有REvil攻擊。不幸的是，研究人員很快就清楚，那個解密器僅適用于在Kaseya攻擊中被鎖定的文件。

Bitdefender在一份新聞稿中說：“請注意，這是一項正在進行的調查，在獲得主要調查執法合作伙伴的授權之前，我們無法對與此案相關的細節發表評論。”“雙方都認為在調查完成之前釋放通用解密器很重要，以幫助盡可能多的受害者。”

REvil勒索軟件的受害者現在可以免費下載新的解密工具來恢復他們的數據：請參閱Bitdefender的帖子（鏈接在文章末尾）。

誰是REvil/Sodinokibi？

REvil是一家勒索軟件即服務(RaaS)運營商，可能位于獨聯合體(CIS)國家。它于2019年作為現已解散的GandCrab勒索軟件的繼任者而出現。REvil/Sodinokibi是暗網上最多產的勒索軟件之一：其加盟團伙針對全球數千家科技公司、MSP和零售商發動了攻擊。

在成功加密企業數據后，REvil的加盟團伙索要大筆贖金——最高達7000萬美元——以換取解密密鑰，并承諾該團伙不會公布在攻擊期間竊取的數據。

在REvil消失之前最大的活動是Kaseya攻擊：這是一場讓數以千計的托管服務提供商(MSP)陷入困境的閃電戰。

從7月2日開始，REvil團伙在22個國家/地區對Kaseya虛擬系統/服務器管理員(VSA)平臺發起了超過5000次攻擊。這些攻擊不僅打擊了Kaseya的MSP客戶群，而且鑒于他們中的許多人使用VSA來管理其他企業的網絡，即這些MSP的客戶也成了攻擊目標。

REvil的密鑰層次結構

在解密密鑰方面，REvil以及其他RaaS組使用密鑰層次結構。

Advanced Intelligence的研究主管Yelisey Boguslavskiy解釋說，如果受害者付費，每個RaaS附屬公司都可以獲得自己的鑰匙來解鎖受害者。但是該密鑰僅適用于該特定受害者：這就是為什么Kaseya掌握的密鑰無法解鎖其他REvil受害者的原因。

核心團隊還擁有一個通用密鑰，用于像Kaseya這樣的一組受害者。Boguslavskiy周三告訴Threatpost，該通用密鑰可以覆蓋多個網絡和工作站。

“這是Kaseya攻擊后發布的密鑰，”他說，指的是據稱重生的REvil的新代表講述的一個故事，關于編碼器誤點擊并意外生成和發布密鑰。

此外，還有一個“操作員密鑰”或“主密鑰”，由頂級RaaS領導層使用，例如UNKN——在7月13日服務器關閉之前活躍的REvil代表。

主密鑰或“萬能密鑰”可以解鎖任何受害者，但Kaseya得到的不是萬能鑰匙。事實上，Advanced Intelligence“以前從未見過這個密鑰，”Boguslavskiy說。下面是Advanced Intel在暗網論壇中關于解密密鑰主題的對話截圖：

REvil密鑰層次結構的暗網討論

資料來源：Advanced Intelligence

這個主密鑰就是Bitdefender現在公開發放的“萬能鑰匙”。

雖然Bitdefender無法分享有關密鑰的詳細信息，但考慮到該公司提到了“值得信賴的執法合作伙伴”，Boguslavskiy推測Bitdefender可能“與歐洲執法部門一起，或幫助歐洲執法部門對REvil的核心服務器和基礎設施進行了高級操作，以某種方式能夠重建或獲取了主密鑰。”

他說，使用解密器中的主密鑰可以解鎖任何受害者，“除非REvil重新設計他們的整個惡意軟件集。”

但即使近日死灰復燃的REvil重新設計了原始惡意軟件集，該密鑰仍然能夠解鎖在7月13日之前受到攻擊的受害者，Boguslavskiy說。

Advanced Intelligence負責監控所有地下論壇中的頂級參與者，包括大名鼎鼎的XSS，這是一個俄語論壇，旨在分享有關漏洞利用、漏洞、惡意軟件和網絡滲透的知識。到目前為止，這家情報公司還沒有在這些地下論壇上發現任何關于萬能鑰匙的實質性討論。然而，Boguslavskiy指出，XSS的管理員一直在試圖關閉討論線程，因為他們“認為八卦沒有任何用處”。

最終，Bitdefender獲得了通用解密器，發布主密鑰“顯然改變了游戲規則”，Boguslavskiy說，考慮到獲得或開發一個（密鑰）是多么困難，而且“勒索軟件組織對主密鑰層層設防，只有團伙中最重要的人擁有訪問它的權限。”

主密鑰不是網絡安全的底線

NNT安全研究全球副總裁Dirk Schrader指出，這些解密器是“受害者的最后希望，是古希臘戲劇中的‘deus ex machina’的網絡安全版本。”

但是，盡管獲得主密鑰是最終極的手段，但企業不能指望將勒索軟件主密鑰泄漏作為抵御威脅主要防線。“這樣的解密器或許能夠幫助解鎖文件并恢復對數據的訪問，但它無法解決諸如’為什么我們首先成為勒索軟件受害者？’這樣的問題。或者’攻擊者還做了什么？’”Schrader指出。

“安全團隊資源有限，董事會可能會認為——使用減輕工作量的奇怪論點——通用解密器是解決勒索軟件的方法，”他繼續說道。他認為REvil——無論現在的名稱是什么，無論是低技能的遺留物，還是最初編寫了最初、非常成功的勒索軟件的實際專業人士——都可能會改變代碼和加密算法，使現有的解密器變得無用。

“有一個方面將再次被忽略，”Schrader預測說：“采取主動的、具有網絡彈性的信息安全方法，不是專注時間點上的解決方案，而是徹底消除基礎設施、身份、和數據的孤島。”

REvil復活還是詐尸？

Bitdefender認為，新的REvil攻擊“迫在眉睫”，因為勒索軟件團伙的服務器和支持基礎設施在中斷兩個月后最近重新上線。該公司在其新聞稿中說：“我們敦促組織保持高度警惕并采取必要的預防措施。”

Boguslavskiy透露，所謂的程序員手滑導致REvil編碼器主密鑰生成和發布純屬八卦：“這不是勒索軟件的工作原理，地下組織對此非常了解。”

相反，REvil等頂級組織使用高級管理面板，這些管理面板是復雜的開發流程管理系統，其外觀和操作類似于JIRA等合法軟件平臺。

“從勒索軟件運營商的角度來看，勒索軟件攻擊更像是一個業務流程，”Boguslavskiy解釋說。“加盟團伙獲得訪問權限并與核心開發人員團隊進行驗證。這通常是通過工單系統完成的，該系統使管理層能夠調節和評估預期目標。只有當票務過程完成后，附屬機構才可以通過從管理層接收有效載荷開始推進攻擊。協商和數據發布通常與創建票證的方式相同，管理層將提供為該特定受害者生成的解密密鑰。”

他繼續說道：“這是一個高度定制、運行良好的系統，由UNKN密切監督和管理。正如地下社區所爭論的那樣，REvil向外界透露的，在Kaseya勒索軟件攻擊中密鑰泄漏是因為程序員手滑錯誤點擊導致主密鑰泄漏并損失50-7000萬美元贖金的解釋看起來非常可疑。其他黑客爭辯說，很難想象，這樣的誤點擊在REvil的歷史上從未發生過，偏偏在他們最大的攻擊中突然發生。”

包括LockBit在內的所有地下論壇參與者的代表都同意，新REvil代表宣稱的解密密鑰是誤點擊生成的說法“絕對荒謬，在當代RaaS運營的工作方式下沒有任何可能性，” Boguslavskiy說道。

一個更現實的場景也許是：（Kaseya）解密密鑰被泄漏是因為REvil的管理層，特別是UNKN，從某個渠道收到了付款，并決定不與加盟團伙共享，偽造了編碼事故讓程序員來頂鍋。

“所謂的REvil復活，很可能是在Kaseya贖金事件被割了韭菜的低級幫派成員之一，”博古斯拉夫斯基通過電子郵件說。“然而，REvil運營團伙不會承認這一點，因為他們正試圖重建該團伙已經很差的聲譽。”

但是，在重生的REvil的數據泄露網站上短暫出現的受害者是怎么回事呢？

Boguslavskiy認為，出現在數據泄露站點上的那家美國公司在短暫停留后實際上已從REvil的Happy Blog中刪除，這可能表明它是一名“資深”受害者，在REvil關閉之前被勒索過，并且其數據被用于扮演“詐尸”。

“總的來說，安全社區一致認為REvil的所謂復活是一種騙局或操作，”他說。“如果REvil真的復活，也沒有未來。因為核心開發者的UNKN已經消失了（編者：在韓國被逮捕）。即使其他REvil成員結盟重新建立該團伙，他們也不太可能在沒有UNKN的情況下成功開發勒索軟件。”