歐洲刑警組織(Europol)今日宣布逮捕了7名嫌疑人，他們以一個大型勒索軟件卡特爾組織“會員(affiliates)”(合作伙伴)的身份工作，自2019年初以來幫助實施了7000多次攻擊。這些嫌疑人在REvil (Sodinokibi)和GandCrab勒索軟件即服務(wù)(RaaS)的部分業(yè)務(wù)中工作。

 

據(jù)信，REvil和GandCrab都是由同一批操作的，他們創(chuàng)建了贖金軟件代碼以提供給其他網(wǎng)絡(luò)犯罪分子出租。

這些租賃團體將策劃對公司的入侵、部署勒索軟件、要求支付贖金，然后跟REvil/GandCrab的編碼者分享利潤。

Europol稱，自2019年以來，這七名嫌疑人經(jīng)手過的攻擊總共要求的贖金超過了2億歐元。

自今年2月以來，Europol表示，它一直在跟執(zhí)法機構(gòu)和Bitdefender、KPN和McAfee等安全公司合作以逮捕其中一些會員。根據(jù)Europol的說法，逮捕行動發(fā)生在：

2月、4月、10月--三名REvil和GandCrab會員在韓國被捕;

10月--一名REvil會員在波蘭被捕(因Kaseya REvil攻擊而被指控);

11月4日--兩名REvil成員在羅馬尼亞康斯坦察被捕;

11月4日--一名GandCrab成員在科威特被捕。

這些逮捕行動是在以美國為首的西方國家今年夏天早些時候承諾打擊勒索軟件團伙之后進行的。

在決定打擊勒索軟件運營商之前，勒索軟件攻擊在今年達到了頂峰，一些團體發(fā)起的攻擊使行業(yè)部門癱瘓了好幾天--如今年5月對Colonial Pipeline的攻擊，該攻擊迫使美國東海岸45%的燃料供應(yīng)停止。

參與由Europol領(lǐng)導(dǎo)的打擊GandCrab/REvil團伙的Bitdefender也有在9月16日為過去的REvil受害者發(fā)布了一個通用解密器。這家羅馬尼亞公司還發(fā)布了針對GandCrab版本的免費解密器，所有這些都可以從NoMoreRansom門戶網(wǎng)站下載。

2020年8月，8名GangCrab會員在白俄羅斯被捕，但該次行動并不是Europol聯(lián)合調(diào)查的一部分。

 

GandCrab和REvil行動的簡短歷史

GandCrab RaaS于2018年1月首次發(fā)布廣告，它最初是一個普通的團體，他們將其代碼出租給網(wǎng)絡(luò)犯罪集團，后者使用帶有惡意文件附件的垃圾郵件來感染用戶。

該組織在2019年初轉(zhuǎn)移了目標，當時他們開始跟一小群會員合作，在針對企業(yè)組織的攻擊中以管理服務(wù)提供商為目標，希望從他們可以從小型家庭用戶那里提取的小額贖金要求轉(zhuǎn)移到他們可以從其網(wǎng)絡(luò)癱瘓的公司那里索取更大的贖金。

由于這種新型攻擊方法開始產(chǎn)生更大的利潤，該組織在2019年5月關(guān)閉了他們的GandCrab行動，并在一個月后即2020年6月，發(fā)布了他們的贖金軟件的重塑和改進版本。

被稱為REvil或Sodinokibi，這個新RaaS門戶網(wǎng)站只跟愿意攻擊大公司的會員合作。多年來，REvil RaaS及其會員跟一些相當大的攻擊公司有關(guān)，如蘋果、宏基、阿根廷電信等等。

根據(jù)2021年2月發(fā)表的一份IBM報告，據(jù)信REvil行動僅在2020年就獲得了約1.23億美元的收入。

然而，今年5月和7月分別針對JBS Foods和Kaseya服務(wù)器的兩次攻擊越過了美國政府愿意接受的底線。JBS Foods的攻擊造成了美國各地肉類供應(yīng)的大規(guī)模中斷，而對Kaseya服務(wù)器的攻擊則在7月4日假期造成了全球數(shù)以千計的IT網(wǎng)絡(luò)癱瘓。

該組織在一周后關(guān)閉，沒有任何形式的解釋，該組織的領(lǐng)導(dǎo)人--一個名為未知的人似乎從地下論壇消失了。

一些REvil編碼員試圖在9月恢復(fù)該行動，但他們因為一個未知的第三方劫持了其Tor服務(wù)器基礎(chǔ)設(shè)施而在一個月后關(guān)閉。

 

路透社和《華盛頓郵報》的報道后來顯示，到7月，該組織的服務(wù)器已經(jīng)被一個外國執(zhí)法機構(gòu)入侵并反追蹤。

而當該組織在9月卷土重來時，美國網(wǎng)絡(luò)司令部劫持了它的服務(wù)器，并且前者并不知道執(zhí)法部門的行動。不過這次劫持讓REvil團伙受到驚嚇，這似乎成為了最后的退休，而也可能是Europol和其他執(zhí)法團體正在對他們迄今為止設(shè)法確定的GandCrab/REvil會員采取行動的原因。