《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 起底REVil 网络基础设施

起底REVil 网络基础设施

2021-07-10
来源:嘶吼专业版
关键词: 勒索软件 网络

  研究人员发现REVil勒索软件使用的网络基础设施。

  ReSecurity研究人员发现攻击Kaseya的勒索软件组织REVil使用的网络基础设施。研究人员发现从2021年1月起,REVil使用了新的域名decoder[.]re,并加入到了TOR网络的勒索软件页面上。

  该域名包含在最近的REVil版本的勒索信中,包含在一个含有支付指示信息的文本文件中。

  受害者和REVil勒索软件之间是通过一个TOR页面来交互的,但是如果受害者无法访问TOR网络,就无法访问该页面,本例中,REVil就准备了一个互联网版的镜像。

微信图片_20210710130704.jpg

TOR host

微信图片_20210710130707.jpg

  WWW host (decoder[.]re)

  要访问WWW或Tor页面,受害者都需要提供一个有效的用户id(UID),9343467A488841AC。研究人员从勒索软件样本中获得了一些UID和私钥。私钥是确定相同的函数进程是否在2个页面上都确认了,内容是完全相同的。

  和之前REvil / Sodinokibi版本中的decryptor[.]cc和 decryptor[.]top类似,decoder[.]re是用来授权受害者访问攻击者的web网站的,以进行进一步的沟通。网站上的聊天功能可以让受害者与REVil攻击者进行近乎实时的通信。

  此外,攻击者还使用通过https://guerrillamail.com创建的一次性临时邮箱地址来匿名地注册域名,用于之后的域名服务器,也可以用作基础设施的其他部分。此类邮箱地址的使用次数是有限的,比如所有与该邮箱的通信都会在1小时内删除。

  Resecurity研究人员收集了现有和历史DNS记录,然后创建了REVil使用的网络基础设施的可视化图形。

微信图片_20210710130711.jpg

  Revil网络基础设施图

原图请访问:https://i1.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2021/07/revil_map.png

  根据研究人员收集的网络和DNS情报,与该攻击活动相关的IP地址在2021年1季度至少轮换了3次,之前与一家位于东欧的云服务和IOT解决方案提供商有关。

  REVil背后的攻击组织与6月份的JBS勒索攻击有关,勒索1100万美元。REvil在TOR网络官方博客回应称对该攻击事件负责,并对要求Kaseya 支付价值7000万美元的赎金。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。