关键词：勒索软件 REvil Kaseya 网络安全

七月。网络空间变化多端。

从未平静的勒索江湖中，又发生了一件“空前”的大事。

都说电影来源于生活，而这次发生的大事，简直就是一部现实生活中的好莱坞犯罪大片。

让我们来梳理一下“剧本”吧。

一、“剧情”概要

【片名】卡西亚（Kaseya）勒索软件事件

【事件】REvil勒索软件团伙，通过远程补丁管理和监控软件Kaseya VSA，对管理服务提供商 (MSP) 及其客户发起大规模供应链攻击，数十家MSP服务商遭到打击；而这些服务商中的每一个都与许多家企业合作，这使其成为有史以来最严重的勒索软件海啸级攻击。

  【犯罪主角】REvil团伙宣布对此负责，索要价值7000万美元的比特币赎金。这样的天价赎金前所未有，创下了史上最高勒索赎金的纪录。

  【受害者】至少17个国家的数千家组织受到影响，受害者遍布美国、英国、瑞典、南非、加拿大、阿根廷、墨西哥、印度尼西亚、新西兰和肯尼亚等。

二、“剧情”提纲

（一）犯罪主角是独占勒索江湖“半壁江山”的惯犯

网络勒索惯犯 REvil团伙，是一家总部位于俄罗斯的网络犯罪集团，是所有勒索软件团伙中最多产、最复杂的团伙之一，据称也是最富有的黑客组织。

REvil（也被称为Sodinokibi）勒索软件，于2019年首次被发现。它是以一种勒索即服务（RaaS）的模式进行分发和营销的，即为其附属机构提供预构建的勒索软件工具以执行攻击。其名称来源于电影《生化危机》(Resident Evil)及其系列游戏。

REvil活动十分猖獗，仅在近期几个月，犯下的大案就有：

3月下旬，攻击了台湾计算机大厂宏碁（acer），索取 5000 万美元赎金；

4月中旬，攻击了台湾笔记本代工大厂广达（Quanta），索取5000 万美元赎金；

4月下旬，要求苹果公司支付赎金以换取其产品设计图不被泄露。

6月初，攻击全球最大肉类生产商JBS公司，获价值 1100 万美元的比特币赎金。

6 月，攻击全球再生能源巨头Invenergy、日本富士胶片公司、美国核武器承包商Sol Oriens公司。

7月，这次已经不仅仅是攻击某一家公司，而是盯上了为成百上千公司提供服务的IT服务供应商，对Kaseya的攻击影响了数千家组织……

REvil这是对各行各业的巨头都要去割一把韭菜的节奏？根据威胁情报公司Recorded Future的数据，REvil占已知勒索软件受害者的42%。也就是说，REvil仅靠一己之力，就独占了勒索江湖黑帮的几乎“半壁江山”。

（二）这次的受害者是怎么中招的

1、Kaseya简介

这次的受害者——远程管理软件提供商Kaseya，是位于美国一家IT服务公司，其客户大多是管理服务提供商（MSP），即使用Kaseya的VSA平台为自己的客户管理IT基础设施，而这些管理服务提供商服务于全球数千家企业。

Kaseya VSA 是一个基于云的 MSP 平台，MSP 是一种通过建立自己的网络运作中心来为企业提供系统管理服务的业务。Kaseya 在全球已经拥有了超过 10000 家客户。

2、遇袭过程

7月2日，Kaseya正在修补零日漏洞的时候，REvil团伙利用它进行了大规模攻击。
    REvil入侵了Kaseya的管理系统，并将勒索软件推送到Kaseya管理的所有系统中。Kaseya的远程IT管理软件以高权限管理系统，从而允许勒索软件在客户系统中轻松传播。勒索软件在那里立即禁用了这些计算机。REvil声称约有100万台计算机受到影响。

3、REvil索要天价赎金

7月5日，REvil团伙向受害者“贴心”的提供了“团购价”，索要7000万美元的比特币，来交换通用解密器，就可以一次性解锁所有受影响系统，让所有受影响的企业恢复他们的文件。

7000万美元！约合4.52亿人民币！这不仅是该组织迄今为止索要的最高赎金，也是勒索软件有史以来最高的赎金。

（三）攻击严重到什么程度？

1、一发不可收拾

Kaseya称，此次攻击涉及金融服务、旅游休闲行业以及多国的公共机构，并破坏了遍布美国的数千个网络系统。

现实生活中，瑞典连锁超市Coop的约800家门店被迫停业；瑞典另一家连锁药店、一个连锁加油站、国有铁路和瑞典公共电视台（SVT）也受到影响。一家德国IT服务商认为，其数千家客户均受到此次攻击的影响。荷兰两家大型IT企业也遇到了问题。

影响还蔓延到更下游的组织，两个与Kaseya没有任何业务往来的美国城镇，因此次事件被迫陷入瘫痪。

2、Kaseya报警

Kaseya表示，它正在与FBI和CISA（美国网络安全和基础设施安全局）合作，为受网络攻击影响的全球客户制定事件处理流程。

7月5日，FBI和CISA发布了对Kaseya勒索软件攻击受害者的指导。但在混乱之中，还有其他黑客趁火打劫的伪造Kaseya VSA安全更新，进行攻击。Kaseya不得不警告客户，须警惕有黑客假借更新来进行网袭。

（四）反转来了：“绑匪”主动降价

就在一片混乱之中，安全行业人士爆出消息，REvil组织索要的赎金降至5000万美元。

这是REvil组织发善心了？

当然不是。REvil团伙的攻击从表面上看应该是成功的，但这次的操作没按它以往标准流程走，导致没有太多受害者肯支付赎金。
    通常，当一个勒索软件团伙实施攻击时，他们会窃取数据并删除相应数据备份，最后对受害者的设备进行加密。当受害者受到这样“连环三击”后，几乎走投无路，只能选择支付赎金。但本次攻击中，REvil没有删除相应数据备份，也没有窃取数据，因此他们的操作对受害者的影响很小，受害者可以通过备份数据恢复服务。那些最终支付赎金的受害者很可能只是因为没有足够的备份来恢复数据。

那么在此次事件中，有企业支付赎金吗？还是有的。有报道称部分受害者向REvil支付了共计45,000 美元的赎金。不过，勒索天价赎金习惯了的REvil，区区几万美元哪儿入得了眼。

（五）另一条“剧情线”：美国政府的应对

看完受害者那边的一团混乱，我们再来看另一条“剧情线”。那就是美国政府的应对措施。

1、对外：美屡次与俄交涉

最近美国接连遭遇三次勒索软件大型网袭：美国输油管道运营商科洛尼尔公司遭攻击导致输油管线关闭、肉类加工巨头JBS遭攻击导致生产线关停、Kaseya事件又有众多企业遭大规模攻击，一个赛一个的都是大事儿。焦头烂额的拜登，马上下令启动全面联邦调查。

事情到了这个地步，再次激起了美俄之间的紧张关系。

在6月初对JBS勒索得手之后，REvil已经成为美国情报机构的重点目标。在此次事件之前，美俄已经就REvil互撕过。美国说俄罗斯涉嫌窝藏网络犯罪分子，要求对REvil采取行动，而俄罗斯照例否认三连，还要求美国拿出证据证明黑客在俄罗斯。

但这次美国真急了。7月6日，美国警告称，俄罗斯需要逮捕在俄罗斯运作的勒索软件团伙，否则美国将采取行动。9日，拜登致电普京，再次要求对相关勒索团伙实施打击。

2、安内：美推出一系列措施

此次事件后，拜登政府首次表态要把“应对勒索软件威胁”拔高至国家安全优先工作方向。白宫透露拜登政府的“应对勒索软件威胁”战略将包括以下工作重点：

①与私营部门密切合作，阻断破坏勒索软件攻击所使用的网络基础设施，并揪出攻击背后的恶意行为者；②开展国际合作，让“庇护勒索软件攻击实施者”的国家（暗指俄罗斯等）付出代价；③加强对虚拟货币网络的分析取证，发现并追踪犯罪分子的非法交易活动；④审视美国联邦政府的现有政策，针对受害者支付勒索软件赎金问题形成一个统一的应对策略。

拜登政府还在推出一系列的阻止勒索软件的方案，包括：提供巨额奖励以助查明肇事者，对黑客团伙发起破坏性网络攻击，以及与企业建立合作伙伴关系以加快有关勒索软件感染的信息共享；促进关键基础设施公司的数字弹性，努力停止通过加密货币平台支付赎金，并协调与美国盟友的活动；CISA（美国网络安全和基础设施安全局）将启动一个跨机构网站stopransomware.gov，以收集来自各个机构的防御指导等。

未完待续：故事发展到这里，始料未及的是，又要出现一次大反转……明天我们会接着讲完这个故事的下半部分，敬请继续关注。

（本文参考内容来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。侵删）