关键词：勒索软件 REvil Kaseya 网络安全

（六）又一次反转！犯罪主角忽然神秘消失！

1、REvil 忽然消失

在没有任何征兆的情况下，REvil突然人间蒸发了……

REvil通过许多用作赎金谈判站点、勒索软件数据泄漏站点和后端基础设施的明网和暗网站点运行，但从7月13日开始，这些网站和基础设施已神秘关闭，曾经极度活跃的那些勒索页面、支付入口以及聊天功能都消失了。而当时大部分受害者还没有支付赎金。

REvil的忽然跑路，也使得那些确实需要支付赎金的公司猝不及防。找不到卖家，这些无法购买解密器的公司只能继续直面自己无法恢复的数据……

虽然REvil站点也曾发生过在一段时间内失去连接的情况，但所有站点同时关闭就很不寻常了……这背后究竟发生了什么？

曼迪昂特（Mandiant。FireEye旗下公司)负责分析的副总裁约翰·胡尔特奎斯特(John Hultquist)称：“REvil的基础设施遭到了有计划的同时下线，要么是运营商自己做的，要么是有关当局做的。”他说：“跟REvil有关的暗网网站（.onion）和明网站点（decoder.re）目前均处于离线状态，尽管我们无法确切了解他们的暗网网站是如何被关闭的。”

7月14日，英国广播公司（BBC）援引一名自称是REvil成员的话称，FBI停用了REvil网页的部分功能，因此他们干脆将网页彻底关停；他还称，REvil也受到来自克里姆林宫的压力，“俄罗斯已经厌倦了美国和其他国家向他们哭诉”。

【脑补一下场面……（咳，以下纯属想象）

鹰村村长老拜：老普！你们村的小偷又来我们村偷东西了！三天两头这么干，有完没完？！

熊村村长老普：你又来了！谁偷你东西你找谁去呀！有啥证据说小偷是我们村的？

老拜：是不是你自己心里清楚啊！以前小偷小打小闹的，我们就忍了，但最近小偷搞得我们村加油站也关了，肉铺也关了，这两天更离谱，这么多店都关了……还让不让人过日子了？！

老普：啊咳，你也别闹了，虽然我不知道小偷是谁，但我叫治安主任去查查，总行了吧？你隔三差五的就来闹，烦死了！】

2、美俄两国都说“不是我干的”

克里姆林宫表示对REvil从暗网中消失的原因并不知情。发言人强调，俄罗斯认为任何网络犯罪都是不可接受的：“我不掌握有关该团体的详细信息。不过俄罗斯和美国已开始就打击网络犯罪进行双边磋商。”

美国也表示没有针对性操作。

好吧，虽然没有人领功，但这事儿到底是件好事儿。

（七）大圆满结局：Kaseya喜获价值7000万美元解密器

7月24日，在遭遇攻击三周后，Kaseya发出声明，他们从一个“受信任的第三方”收到了对应上次勒索攻击的通用解密器，现在也已经分发给了受到影响的顾客，能让所有托管服务提供商及其客户免费解密文件。

“我们确认解密器是从一个可靠的第三方渠道获取的，但无法透露更多有关来源的信息。”Kaseya说，“我们让另一个第三方验证了那个解密器，而后才开始把它交给受影响的顾客。”当被问及是否支付了赎金时，Kaseya拒绝回答。

安全公司Emsisoft就是那个验证解密器的第三方，同时他们也将继续协助Kaseya进行恢复工作。他们证实，解密器可以工作，并且一直在与客户合作恢复文件。

神秘出现的解密器，不啻于从天而降的救命仙丹。不过——它究竟来自何方？

目前并不清楚，解密器究竟是Kaseya向REvil支付赎金买来的？还是REvil退出江湖前发善心免费送的？或是安全公司哪位低调的高手搞来的？或是俄罗斯警方从REvil那里收缴来的？

有推测称，是俄罗斯让REvil勒索软件团伙关停并消失的，以表明他们正在与美国合作。由于解密器是在REvil团伙失踪后获得的，因此俄可能直接从勒索软件团伙那里获取了它，并作为善意与美国执法部门共享。

（八）真的就此天下太平？

REvil是所有勒索软件团伙中最多产、最令人恐惧的团伙之一，如果这真的是它最后一次犯罪活动，那当然求之不得。但是，它真的会就此退出江湖吗？

推测一：有人认为 REvil这一次是被永久关停，是美俄联合打击的合作成果。在目前国际联合打击网络犯罪的大趋势下，REvil没有机会再复出。有消息称拜登命令美国网络司令部（USCYBERCOM）与FBI等美国执法机构合作，摧毁REvil的网站。而美国网络司令部也已经证明过自己有能力做到这一点——去年，由于担心一个黑客组织可能会利用其技术冻结2020年美国总统选举的数据，美国网络司令部攻击了该组织，并让其陷入瘫痪。

推测二：其他勒索软件组织也曾有过由于执法部门的压力而自行关闭的先例。但是，当勒索软件组织关闭时，运营商和附属公司通常会重新命名，以继续执行勒索软件攻击。过去GandCrab勒索软件宣布关闭，后来其中的成员重出江湖更名为REvil，再一次掀起了腥风血雨。所以，也有人认为REvil将来有可能换个马甲，作为新的勒索软件再次出现。

推测三：也有人认为 REvil只是迫于压力，暂时全员休假。此前攻击美国科洛尼尔公司、造成美国17个州进入紧急状态的另一个黑客组织“黑暗面”（DarkSide），在拿到价值近500万美元的比特币赎金后，也选择了“拿钱跑路”（虽然大部分赎金事后又被美国司法部追回了）。毕竟REvil早已经赚得盆满钵满，完全可以在风声紧的时候去放松一下，也许将来哪天还会卷土重来。

额……这是好莱坞大片结尾的常见场景么？犯罪主角黑客清除掉所有痕迹，携巨款神秘蒸发，消失得无影无踪，后来完全以一副普通人的模样，掩饰起自己犯过的网袭案底和富可敌国的身家，悄悄出现在某个小镇平静生活？

三：“剧情”点评

业内人士称，Kaseya遭勒索攻击事件可能是今年影响最大的网络安全事件，甚至比美国科洛尼尔公司事件以及去年年底的太阳风（SolarWinds）事件影响更大。

与事件造成的直接影响相比，其发生原因更应引起重视，即通过破坏软件交付机制作为安装勒索软件的手段。诸如此类的供应链攻击是造成许多最严重网络攻击的直接技术原因，类似事件如NotPetya和SolarWinds。2017年6月的NotPetya攻击在全球造成了大约100亿美元的损失。SolarWinds活动则导致成千上万的大型机构和数十个联邦机构遭入侵。NotPetya是通过乌克兰会计软件公司MeDoc的恶意更新所实现的；SolarWinds恶意软件则是通过对SolarWinds的IT管理软件的恶意更新所实现的。

虽然目前 REvil已经退出江湖，但在暗流涌动变化多端的网络空间中，勒索软件组织还有许多。只要互联网依然存在，关于网络安全的攻防双方的对抗，就会始终存在。网络犯罪的危害，早已不仅限于某一个国家。今年才刚过半，全球范围内的勒索软件威胁事件就愈演愈烈，在这种影响巨大的新型犯罪形式考验下，如何应对政企所面临的相关网络威胁，是各国在网络安全领域的重大课题。