這恐怕是史上最高的黑客贖金記錄。

索要歷史最高記錄贖金

近日，REvil（又名Sodinokibi）勒索病毒團(tuán)伙在其網(wǎng)站上公布，他們已經(jīng)成功入侵了某計算機(jī)巨頭企業(yè)的內(nèi)部系統(tǒng)，對其重要數(shù)據(jù)進(jìn)行了竊取和加密，并公開了部分?jǐn)?shù)據(jù)截圖以證明真實性：

圖片來源于海外媒體

從Tor付款站點上顯示，得知該團(tuán)伙共向該企業(yè)勒索 5000萬美金的贖金，折合人民幣約 3.25 億元，是勒索病毒歷史上索要贖金的最高記錄。

圖片來源于海外媒體

當(dāng)然，黑客還是有條件的。

攻擊者在談判中稱，如果在周三前支付贖金，那么可以提供 20% 的折扣，收款后會提供解密工具、所利用的漏洞報告并刪除竊取的數(shù)據(jù)文件。

據(jù)悉，該企業(yè)已經(jīng)不是第一次遭該團(tuán)伙攻擊了。深信服了解到該企業(yè)曾被 REvil 團(tuán)伙利用 Microsoft Exchange漏洞攻擊過。

目前官方暫未對事件進(jìn)行更詳細(xì)的說明。

REvil（Sodinokibi）團(tuán)伙的“前世今生”

REvil 勒索病毒稱得上是 GandCrab的“接班人”。GandCrab 是曾經(jīng)最大的 RaaS（勒索軟件即服務(wù)）運(yùn)營商之一，在賺得盆滿缽滿后于 2019 年 6 月宣布停止更新。

隨后，另一個勒索運(yùn)營商買下了 GandCrab 的代碼，即最早被人們稱作 Sodinokibi 勒索病毒。由于在早期的解密器中使用了“REvil Decryptor”作為程序名稱，又被稱為 REvil 勒索病毒。

REvil 勒索團(tuán)伙在過去兩年內(nèi)頻繁作案，一直以國內(nèi)外中大型企業(yè)為攻擊目標(biāo)，每次攻擊索要的贖金不低于20 萬人民幣，并且，該犯罪團(tuán)伙已經(jīng)形成產(chǎn)業(yè)化運(yùn)作：

攻擊者負(fù)責(zé)完成勒索攻擊過程，與受害者通過網(wǎng)頁進(jìn)行溝通的則是非常擅長“交易談判”的線上客服。

深信服終端安全團(tuán)隊一直對該勒索團(tuán)伙進(jìn)行深度追蹤：

深信服終端安全團(tuán)隊曾深度揭露 Sodinokibi 產(chǎn)業(yè)運(yùn)作模式進(jìn)行追蹤，并深度揭露了產(chǎn)業(yè)運(yùn)營模式：【預(yù)警】Sodinokibi勒索病毒運(yùn)營團(tuán)伙猖獗，針對國內(nèi)用戶大肆斂財。

與此同時，REvil 勒索團(tuán)伙的攻擊手法也在不斷的發(fā)展。比起大多數(shù)只靠 RDP暴力破解進(jìn)行攻擊的團(tuán)伙，REvil 似乎更愿意使用不同的攻擊技術(shù)，從暴力破解到釣魚郵件，從利用僵尸網(wǎng)絡(luò)分發(fā)到利用高危漏洞進(jìn)行攻擊，從單純的文件加密到通過竊取數(shù)據(jù)增加勒索的籌碼。

REvil（Sodinokibi）團(tuán)伙的“談判技巧”

在溝通贖金的過程中，REvil 客服會甄別聯(lián)系人是否為真正的受害者，并拒絕與解密代理商進(jìn)行談判；REvil客服通常會向受害者提供一些折扣，引導(dǎo)受害者盡快的、一次性的支付更多贖金。 

舉個例子，大家就明白了。2021 年 3 月，國外媒體對 REvil 勒索病毒的運(yùn)營商進(jìn)行了一次采訪，在采訪中該運(yùn)營商提到：

圖片來源于海外媒體

“REvil 的成功在于提供了更好更優(yōu)質(zhì)的服務(wù)”，同時在與受害者談判時，如果有“代理商”想要故意壓低價格，那么受害者就需要支付更多的贖金。

解決方案

深信服EDR 產(chǎn)品基于勒索病毒攻擊鏈，從預(yù)防、防護(hù)、檢測與響應(yīng)整個生命周期進(jìn)行全面防護(hù)。

預(yù)防：通過安全基線檢查、漏洞檢測與修復(fù)等提前識別系統(tǒng)脆弱面，并封堵勒索病毒攻擊入口。

防護(hù)：開啟RDP爆破檢測、無文件防護(hù)、勒索誘餌防護(hù)以及遠(yuǎn)程登錄保護(hù)等安全策略，對勒索病毒的各種攻擊手段進(jìn)行針對性的對抗與防護(hù)。

檢測與響應(yīng)：通過 SAVE 人工智能引擎進(jìn)行文件實時檢測、全網(wǎng)威脅定位、網(wǎng)端云聯(lián)動等對勒索病毒進(jìn)行全網(wǎng)快速定位、處置與阻斷，阻止威脅爆破。深信服安全團(tuán)隊再次提醒廣大用戶，勒索病毒以防為主，目前大部分勒索病毒加密后的文件都無法解密，注意日常防范措施：

勒索病毒日常防范建議

及時升級系統(tǒng)和應(yīng)用，修復(fù)常見高危漏洞；

對重要的數(shù)據(jù)文件定期進(jìn)行異地多介質(zhì)備份；

不要點擊來源不明的郵件附件，不從不明網(wǎng)站下載軟件；

盡量關(guān)閉不必要的文件共享權(quán)限；

更改賬戶密碼，設(shè)置強(qiáng)密碼，避免使用統(tǒng)一的密碼，因為統(tǒng)一的密碼會導(dǎo)致一臺被攻破，多臺遭殃；

如果業(yè)務(wù)上無需使用RDP的，建議關(guān)閉RDP，盡量避免直接對外網(wǎng)映射RDP服務(wù)。

如有需要，可撥打400-050-5530 專線咨詢。