研究人員發(fā)現(xiàn)REVil勒索軟件使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

　　ReSecurity研究人員發(fā)現(xiàn)攻擊Kaseya的勒索軟件組織REVil使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。研究人員發(fā)現(xiàn)從2021年1月起，REVil使用了新的域名decoder[.]re，并加入到了TOR網(wǎng)絡(luò)的勒索軟件頁(yè)面上。

　　該域名包含在最近的REVil版本的勒索信中，包含在一個(gè)含有支付指示信息的文本文件中。

　　受害者和REVil勒索軟件之間是通過(guò)一個(gè)TOR頁(yè)面來(lái)交互的，但是如果受害者無(wú)法訪問(wèn)TOR網(wǎng)絡(luò)，就無(wú)法訪問(wèn)該頁(yè)面，本例中，REVil就準(zhǔn)備了一個(gè)互聯(lián)網(wǎng)版的鏡像。

TOR host

　　WWW host （decoder[.]re）

　　要訪問(wèn)WWW或Tor頁(yè)面，受害者都需要提供一個(gè)有效的用戶(hù)id（UID），9343467A488841AC。研究人員從勒索軟件樣本中獲得了一些UID和私鑰。私鑰是確定相同的函數(shù)進(jìn)程是否在2個(gè)頁(yè)面上都確認(rèn)了，內(nèi)容是完全相同的。

　　和之前REvil / Sodinokibi版本中的decryptor[.]cc和 decryptor[.]top類(lèi)似，decoder[.]re是用來(lái)授權(quán)受害者訪問(wèn)攻擊者的web網(wǎng)站的，以進(jìn)行進(jìn)一步的溝通。網(wǎng)站上的聊天功能可以讓受害者與REVil攻擊者進(jìn)行近乎實(shí)時(shí)的通信。

　　此外，攻擊者還使用通過(guò)https://guerrillamail.com創(chuàng)建的一次性臨時(shí)郵箱地址來(lái)匿名地注冊(cè)域名，用于之后的域名服務(wù)器，也可以用作基礎(chǔ)設(shè)施的其他部分。此類(lèi)郵箱地址的使用次數(shù)是有限的，比如所有與該郵箱的通信都會(huì)在1小時(shí)內(nèi)刪除。

　　Resecurity研究人員收集了現(xiàn)有和歷史DNS記錄，然后創(chuàng)建了REVil使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的可視化圖形。

　　Revil網(wǎng)絡(luò)基礎(chǔ)設(shè)施圖

原圖請(qǐng)?jiān)L問(wèn)：https://i1.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2021/07/revil_map.png

　　根據(jù)研究人員收集的網(wǎng)絡(luò)和DNS情報(bào)，與該攻擊活動(dòng)相關(guān)的IP地址在2021年1季度至少輪換了3次，之前與一家位于東歐的云服務(wù)和IOT解決方案提供商有關(guān)。

　　REVil背后的攻擊組織與6月份的JBS勒索攻擊有關(guān)，勒索1100萬(wàn)美元。REvil在TOR網(wǎng)絡(luò)官方博客回應(yīng)稱(chēng)對(duì)該攻擊事件負(fù)責(zé)，并對(duì)要求Kaseya 支付價(jià)值7000萬(wàn)美元的贖金。