【黑客REvil消失】專家：自行關閉可能性不低黑客組織去年收逾4億美元贖金

By roy.law on 16 Jul 2021

Digital Editor

今年7月初攻擊美國託管軟件供應商Kaseya、與俄羅斯有關聯的最大勒索軟件黑客組織勒REvil，其網站在日前突然一夜之間消失，消失原因至今仍然眾說紛紜，但有專家認為，REvil因行事太高調正面對多重壓力，因此選擇自行關閉的可能性不低，或保留實力以便日後另起新「爐灶」。

黑客勒索組織REvil的明網或暗網中的官網、贖金協商網站、資料外洩網站或後端的基礎設施，都在一夕之間無影無蹤，網站訪問者會看到一條消息，上面寫著「找不到該指定主機名的伺服器。」安全情報業者Recorded Future的情報架構師Allan Liska表示，REvil的所有相關網站也在美國東部時間13日淩晨1點同步下線，仿如是REvil管理者走進辦公室，下令將它們全部關閉一樣，而那時正好是莫斯科早上8點；至於資安網站「BleepingComputer」創辦人亞伯拉姆斯（Lawrence Abrams）形容，REvil的消失「出奇地安靜」。

Photo from REvil相關網址已停止運作

雖然有猜測認為可能是俄羅斯總統普京下令關閉REvil，或是美國當局入侵了REvil，但美國網絡安全公司Recorded Future高級情報分析利斯卡（Allan Liska）認為，REvil是在重壓之下放棄了一切；專門追蹤勒索軟體的MalwareHunterTeam表示，REvil察覺受到太多關注而自行關閉的可能性不低。網絡公司CrowdStrike前首席技術官阿爾佩羅維奇（Dmitri Alperovitch）表示，有人進入並刪除了與該組織網站托管域名有關的IP地址，指出REvil的博客原本可以通過暗網訪問，而其網站可以通過常規搜索引擎訪問，但博客和網站目前都已經消失，但他強調服務器似乎沒有被入侵，這不太可能是一次攻擊性的網絡行動，事實上這些域名也沒有被完全被沒收。英國廣播公司（BBC）引述一名聲稱與REvil有聯繫的黑客表示，相信美國當局刪除了REvil網站部分元素，該組織遂停止其他方面的運作，或保留實力以便日後另起新「爐灶」。科網保安公司 Emsisoft 發言人考洛表示，REvil突然消失是否執法部門採取行動仍然未明，但卻產生了新的問題，因為一些被黑客入侵的公司的電腦網絡仍未解鎖，而它們現在已無法接觸黑客支付贖金取得解鎖的鎖匙，可能永遠都無法取回它們的資料和數據。

Photo from 黑客勒索組織REvil網上片段

美國總統拜登早前與俄羅斯總統普京談到黑客政擊勒索這個問題，並且曾列出一份清單，指出16項關鍵基建，包括電網、供水系統、互聯網供應商等不應該受到網絡攻擊，否則美國必定會作出回應。拜登指出，他非常明確地對普京表示，美國希望俄方根據有關信息采取行動，並暗示美國可能會對發動入侵的服務器直接采取報復。當一名記者詢問拜登，如果普京不采取行動，他是否會關閉該組織的服務器時，拜登簡單地回答說：「會的」。普京在與拜登會晤後指出：「2020年期間，我們收到了來自美國的10份關於對美國設施進行網絡攻擊的詢問﹐其中今年有兩份這樣的詢問。所有這些詢問，包括去年和今年的，美國都得到了全面的答覆，然而俄羅斯向美國提出的關於詢問網絡攻擊的所有信息，都沒有獲得任何回覆。」美國總統國家安全顧問沙利文在7月13日表示，美國政府將在本周出台旨在打擊利用勒索軟件發動黑客攻擊的新舉措。不少專家估計在這股壓力下，REvil有機會是「自動消失」，以免捲入美俄的政治漩渦。

Photo from 美俄元首談及打擊REvil

REvil是至今最大的勒索軟件黑客組織，其名稱是「勒索軟件惡魔」（Ransome Evil）的縮寫，該組織在2019年4月首次上線，相信主要「班底」是來自開發勒索軟件的黑客組織GandCrab。REvil今年6月攻擊全球最大肉类包装公司JBS，導致旗下所有美國牛肉加工廠全線停產，影響全美市場接近25％的供應量，JBS選擇支付1100萬美元取回其數據；今年7月初REvil入侵了美國託管軟件供應商Kaseya VSA並發動勒索軟件攻擊，約有60家Kaseya VSA用戶及1500家下遊廠商受到牽連，REvil提出史上最高的7000萬美元的網絡贖金，以釋出通用的解密工具，之後還自動降價至5000萬美元。至於另一家俄羅斯黑客勒索團Darkside厭，在5月份攻擊美國最大石油管道公司Colonial Pipeline之後遭到美國當局取締，無法存取伺服器及控制台被封鎖，存取時只看見「依執法機關的請求」字眼，而原本置放在支付伺服器上的資金，也已被移轉到其它的地址。遭遇襲擊的Colonial Pipeline首席執行官布朗特（Joseph Blount）曾證實，公司向黑客支付了440萬美元贖金。

Photo from Kaseya VSA遭入侵瑞典商戶Coop全線800家店鋪暫時停業

過去幾個月，包括美國在內的許多國家頻繁遭遇勒索軟件攻擊，《華盛頓郵報》對公開報道的勒索軟件攻擊作出統計，顯示從2019年到2020年，美國的勒索軟件攻擊增加了一倍多。一些專家保守估計，黑客組織去年共收到4.12億美元贖金。網絡保險公司Coalition的首席執行官莫塔（Joshua Motta）表示：「目前來看，勒索軟件是比盜刷信用卡、泄露數據、轉售社保號碼更有利可圖的商業模式。按照美國政府調查人員的說法，大量勒索軟件組織都來自俄羅斯，因勒索軟件代碼編寫時通常會避免使用俄語的目標。」