前不久刚成功勒索肉类巨头JBS千万美元赎金的REvil勒索软件组织，近期仍然频繁出击。仅在本月，受其所害的名单中就又多了两家企业：日本富士胶片公司、美国核武器承包商Sol Oriens公司。 

一、日本富士胶片公司遭受攻击

（一）始末

6月初，富士胶片公司（也称富士胶片株式会社）在官网宣布受到勒索软件攻击，公司被迫停止了受影响的服务器和电脑，关闭了部分网络及对外连接，暂停了电话和邮件服务。之后，富士胶片确定了影响范围仅限于日本特定网络，即报告了日本相关省厅，并联络了警方。

4日，富士胶片开始逐步恢复网络通信。

8日，富士胶片称咨询窗口的电话和邮件服务已经恢复。

14日，富士胶片称，产品订购及发货等日常业务已经复原，至今延误的订单也会尽快配送。

此次事件中，富士胶片成立了以该社社长为委员长的“综合危机管理委员会”，及包括外部专家在内的特别对策小组，专门进行了调查。富士胶片称，未发现信息外泄的情况，今后将继续监视，并强化信息安全。 

（二）富士胶片简介

富士胶片公司创建于1934年，是一家总部位于东京的日本跨国企业集团，是综合性影像、信息、文件处理类产品及服务的制造和供应商之一，最初以光学胶片和相机起家，目前业务已经扩展至药品、存储设备、复印机和打印机(XEROX)以及数码相机。富士胶片在2020年的收入为201亿美元，在全球拥有37151名员工。2021年5月，《2021福布斯全球企业2000强》发布，富士胶片位列第444名。 

（三）幕后黑手

外媒BleepingComputer引述安全企业Advanced Intel首席执行官Vitali Kremez的发言指出，富士胶片5月份已感染Qbot木马。这是一种具有蠕虫特征的木马，专门盗取个人信息和财务数据。而Qbot背后的操作组织，之前曾与勒索软件团伙ProLock或Egregor合作，但随着这两家勒索软件运营的关闭，REvil勒索软件取而代之成为Qbot僵尸网络的主要勒索软件合作伙伴。这意味着富士胶片可能也是遭到了REVil的攻击。

僵尸网络（Botnet）是指采用一种或多种传播手段，使大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。

由于Qbot木马僵尸网络与勒索软件组织紧密合作，长期向勒索软件提供感染网络的远程访问权限，感染木马的企业将面临巨大的勒索软件攻击风险。

根据ESG最新发布的安全报告，九成企业安全领导者担忧bot僵尸网络攻击威胁。具体包括流量过大导致的网站宕机、新账户欺诈、凭证破解/暴力攻击、帐户接管、内容操纵、敏感内容抓取而导致的网站速度下降，以及库存耗尽和购物车失效等。

此次事件发生后，富士胶片曾要求外部安全公司调查是否存在信息泄露等安全因素以及影响程度。后据称，富士胶片拒绝支付任何赎金，并已从备份中恢复服务器。富士胶片的应对措施得到了业内的认可，因为即便支付赎金也不能保证数据完好无损，甚至会助长受到勒索的恶性循环。

这是日本公司近期又一起重大安全事件。5月底，日本信息大厂富士通的ProjectWEB项目信息共享平台遭到非法访问，导致使用该平台的日本内阁官房网络安全中心（NISC）及国土交通省、外务省等中央省厅资料发生外泄。

二、美国核武器承包商Sol Oriens公司遭受攻击

（一）始末

6月11日，外媒Threatpost 发布文章称，美国能源部 (DOE) 的分包商 Sol Oriens 公司，遭受到网络攻击。该公司同时也是美国国家核安全管理局 (NNSA)的核武器开发合作商。Sol Oriens公司人员证实，该公司5月已发现被勒索软件攻击。国外安全专家宣称此次攻击黑手为 REvil 勒索软件组织。

攻击者将Sol Oriens的部分数据公开到了REvil 的暗网官网上，其中包括2020年9月的公司工资单，少数员工的姓名、社会保障号码和季度工资；还有一个公司合同分类账以及部分概述工人培训计划的备忘录，备忘录顶部有美国能源部和美国国家核安全管理局的标志。

同时，为了迫使Sol Oriens支付勒索赎金，REvil在官网上威胁称，将会保留把所有相关数据和文件提供给其他军事机构的权力。 

（二）Sol Oriens公司简介

Sol Oriens总部位于新墨西哥州阿尔伯克基，公司人数在50人左右，涉及行业为国防和太空，提供项目管理、技术管理、武器研发和产品工程的服务。根据LinkedIn（领英）企业资料显示，Sol Oriens是一家小型、资深的咨询公司，专注于管理具有强大军事和空间应用潜力的先进技术和概念，与国防部、能源部、航空航天承包商、技术公司合作，执行复杂的项目。

（三）REvil不打自招

最近频繁登场的REvil，还有一个名字就是Sodinokibi。最早这款勒索软件被称为Sodinokibi，后来一些安全研究人员基于Sodinokibi的解密工具又称其为REvil勒索软件，于是它就有了两个名字。

在Threatpost发布此次勒索事件文章前，6月初，REvil就在其暗网官网上发布通告，宣称有5家企业被攻击。Sol Oriens公司就在其中。REvil指出，他们的目标不仅是大型企业，还包括与之相关的承包商。

REvil是否得到了美国核武器的更敏感的信息，还有待观察。但是，无论黑客从核武器承包商那里拿到什么信息，都让人深感担忧。

三、REvil近期攻击情况

 REvil近期攻击的部分情况如下：

3月下旬，攻击了台湾计算机大厂之一的宏碁（acer）。

4月上旬，攻击了法国领先的电子制造服务公司Asteelflash。

4月中旬，攻击了台湾笔记本代工大厂广达（Quanta）。

4月下旬，要求苹果公司在5月1日之前支付赎金以换取其产品设计图不被泄露。

5月底，攻击全球最大肉类生产商 JBS 公司，后获得价值 1100 万美元的比特币赎金。

（详情戳这里《黑客“首富”搞钱路子野》）

四、结语

近期的两次攻击事件也值得引起所有企业的重视。一方面，勒索软件活动日益猖獗，受害对象遍布各个行业；另一方面，勒索软件的目标，并不仅限于大型企业。许多大型企业的承包商和合作商，一样面临被攻击的危险。因此，所有企业都应该重视风险，提前做好预防，以避免此类事件的发生。

（来源：日本富士胶片公司官网、微步在线、安全客、黑客技术等）