安全廠商Bitdefender近日發(fā)布了勒索軟件REvil/Sodinokibi的免費(fèi)通用解密密鑰（主密鑰）,，可以解鎖7月13日REvil服務(wù)器被關(guān)停之前被其攻擊加密的所有數(shù)據(jù)。

　　Bitdefender在周四晚間官方網(wǎng)站開始贈(zèng)送通用解密密鑰，這個(gè)消息來得很及時(shí),，因?yàn)閮H僅數(shù)天前,，REvil剛剛“死灰復(fù)燃”。

　　萬能鑰匙

　　Bitdefender說,，這是真正的“萬能密鑰”,，可以解密所有該勒索軟件加密的數(shù)據(jù)，而不是上個(gè)月REvil受害者Kaseya獲得的那種不完全的密鑰,。當(dāng)時(shí),，人們樂觀地認(rèn)為該密鑰可以解鎖與Kaseya同時(shí)發(fā)生的所有REvil攻擊。不幸的是,，研究人員很快就清楚，那個(gè)解密器僅適用于在Kaseya攻擊中被鎖定的文件,。

　　Bitdefender在一份新聞稿中說：“請(qǐng)注意,，這是一項(xiàng)正在進(jìn)行的調(diào)查，在獲得主要調(diào)查執(zhí)法合作伙伴的授權(quán)之前,，我們無法對(duì)與此案相關(guān)的細(xì)節(jié)發(fā)表評(píng)論,。”“雙方都認(rèn)為在調(diào)查完成之前釋放通用解密器很重要,，以幫助盡可能多的受害者,。”

　　REvil勒索軟件的受害者現(xiàn)在可以免費(fèi)下載新的解密工具來恢復(fù)他們的數(shù)據(jù)：請(qǐng)參閱Bitdefender的帖子（鏈接在文章末尾）,。

　　誰是REvil/Sodinokibi,？

　　REvil是一家勒索軟件即服務(wù)（RaaS）運(yùn)營商，可能位于獨(dú)聯(lián)合體（CIS）國家,。它于2019年作為現(xiàn)已解散的GandCrab勒索軟件的繼任者而出現(xiàn),。REvil/Sodinokibi是暗網(wǎng)上最多產(chǎn)的勒索軟件之一：其加盟團(tuán)伙針對(duì)全球數(shù)千家科技公司、MSP和零售商發(fā)動(dòng)了攻擊,。

　　在成功加密企業(yè)數(shù)據(jù)后,，REvil的加盟團(tuán)伙索要大筆贖金——最高達(dá)7000萬美元——以換取解密密鑰，并承諾該團(tuán)伙不會(huì)公布在攻擊期間竊取的數(shù)據(jù),。

　　在REvil消失之前最大的活動(dòng)是Kaseya攻擊：這是一場(chǎng)讓數(shù)以千計(jì)的托管服務(wù)提供商（MSP）陷入困境的閃電戰(zhàn),。

　　從7月2日開始，REvil團(tuán)伙在22個(gè)國家/地區(qū)對(duì)Kaseya虛擬系統(tǒng)/服務(wù)器管理員（VSA）平臺(tái)發(fā)起了超過5000次攻擊,。這些攻擊不僅打擊了Kaseya的MSP客戶群,，而且鑒于他們中的許多人使用VSA來管理其他企業(yè)的網(wǎng)絡(luò)，即這些MSP的客戶也成了攻擊目標(biāo),。

　　REvil的密鑰層次結(jié)構(gòu)

　　在解密密鑰方面,，REvil以及其他RaaS組使用密鑰層次結(jié)構(gòu)。

　　Advanced Intelligence的研究主管Yelisey Boguslavskiy解釋說，如果受害者付費(fèi),，每個(gè)RaaS附屬公司都可以獲得自己的鑰匙來解鎖受害者,。但是該密鑰僅適用于該特定受害者：這就是為什么Kaseya掌握的密鑰無法解鎖其他REvil受害者的原因。

　　核心團(tuán)隊(duì)還擁有一個(gè)通用密鑰,，用于像Kaseya這樣的一組受害者,。Boguslavskiy周三告訴Threatpost，該通用密鑰可以覆蓋多個(gè)網(wǎng)絡(luò)和工作站,。

　　“這是Kaseya攻擊后發(fā)布的密鑰,，”他說，指的是據(jù)稱重生的REvil的新代表講述的一個(gè)故事,，關(guān)于編碼器誤點(diǎn)擊并意外生成和發(fā)布密鑰,。

　　此外，還有一個(gè)“操作員密鑰”或“主密鑰”,，由頂級(jí)RaaS領(lǐng)導(dǎo)層使用,，例如UNKN——在7月13日服務(wù)器關(guān)閉之前活躍的REvil代表。

　　主密鑰或“萬能密鑰”可以解鎖任何受害者,，但Kaseya得到的不是萬能鑰匙,。事實(shí)上，Advanced Intelligence“以前從未見過這個(gè)密鑰,，”Boguslavskiy說,。下面是Advanced Intel在暗網(wǎng)論壇中關(guān)于解密密鑰主題的對(duì)話截圖：

　　REvil密鑰層次結(jié)構(gòu)的暗網(wǎng)討論

　　資料來源：Advanced Intelligence

　　這個(gè)主密鑰就是Bitdefender現(xiàn)在公開發(fā)放的“萬能鑰匙”。

　　雖然Bitdefender無法分享有關(guān)密鑰的詳細(xì)信息,，但考慮到該公司提到了“值得信賴的執(zhí)法合作伙伴”,，Boguslavskiy推測(cè)Bitdefender可能“與歐洲執(zhí)法部門一起，或幫助歐洲執(zhí)法部門對(duì)REvil的核心服務(wù)器和基礎(chǔ)設(shè)施進(jìn)行了高級(jí)操作,，以某種方式能夠重建或獲取了主密鑰,。”

　　他說,，使用解密器中的主密鑰可以解鎖任何受害者,，“除非REvil重新設(shè)計(jì)他們的整個(gè)惡意軟件集?！?/p>

　　但即使近日死灰復(fù)燃的REvil重新設(shè)計(jì)了原始惡意軟件集,，該密鑰仍然能夠解鎖在7月13日之前受到攻擊的受害者，Boguslavskiy說,。

　　Advanced Intelligence負(fù)責(zé)監(jiān)控所有地下論壇中的頂級(jí)參與者,，包括大名鼎鼎的XSS，這是一個(gè)俄語論壇,，旨在分享有關(guān)漏洞利用,、漏洞,、惡意軟件和網(wǎng)絡(luò)滲透的知識(shí)。到目前為止,，這家情報(bào)公司還沒有在這些地下論壇上發(fā)現(xiàn)任何關(guān)于萬能鑰匙的實(shí)質(zhì)性討論,。然而，Boguslavskiy指出,，XSS的管理員一直在試圖關(guān)閉討論線程,，因?yàn)樗麄儭罢J(rèn)為八卦沒有任何用處”。

　　最終,，Bitdefender獲得了通用解密器,，發(fā)布主密鑰“顯然改變了游戲規(guī)則”，Boguslavskiy說,，考慮到獲得或開發(fā)一個(gè)（密鑰）是多么困難,，而且“勒索軟件組織對(duì)主密鑰層層設(shè)防，只有團(tuán)伙中最重要的人擁有訪問它的權(quán)限,?！?/p>

　　主密鑰不是網(wǎng)絡(luò)安全的底線

　　NNT安全研究全球副總裁Dirk Schrader指出，這些解密器是“受害者的最后希望,，是古希臘戲劇中的‘deus ex machina’的網(wǎng)絡(luò)安全版本,?！?/p>

　　但是,，盡管獲得主密鑰是最終極的手段，但企業(yè)不能指望將勒索軟件主密鑰泄漏作為抵御威脅主要防線,?！斑@樣的解密器或許能夠幫助解鎖文件并恢復(fù)對(duì)數(shù)據(jù)的訪問，但它無法解決諸如‘為什么我們首先成為勒索軟件受害者,？’這樣的問題,。或者‘攻擊者還做了什么,？’”Schrader指出,。

　　“安全團(tuán)隊(duì)資源有限，董事會(huì)可能會(huì)認(rèn)為——使用減輕工作量的奇怪論點(diǎn)——通用解密器是解決勒索軟件的方法,，”他繼續(xù)說道,。他認(rèn)為REvil——無論現(xiàn)在的名稱是什么，無論是低技能的遺留物,，還是最初編寫了最初,、非常成功的勒索軟件的實(shí)際專業(yè)人士——都可能會(huì)改變代碼和加密算法，使現(xiàn)有的解密器變得無用,。

　　“有一個(gè)方面將再次被忽略,，”Schrader預(yù)測(cè)說：“采取主動(dòng)的,、具有網(wǎng)絡(luò)彈性的信息安全方法，不是專注時(shí)間點(diǎn)上的解決方案,，而是徹底消除基礎(chǔ)設(shè)施,、身份、和數(shù)據(jù)的孤島,?！?/p>

　　REvil復(fù)活還是詐尸？

　　Bitdefender認(rèn)為,，新的REvil攻擊“迫在眉睫”,，因?yàn)槔账鬈浖F(tuán)伙的服務(wù)器和支持基礎(chǔ)設(shè)施在中斷兩個(gè)月后最近重新上線。該公司在其新聞稿中說：“我們敦促組織保持高度警惕并采取必要的預(yù)防措施,?！?/p>

　　Boguslavskiy透露，所謂的程序員手滑導(dǎo)致REvil編碼器主密鑰生成和發(fā)布純屬八卦：“這不是勒索軟件的工作原理,，地下組織對(duì)此非常了解,。”

　　相反,，REvil等頂級(jí)組織使用高級(jí)管理面板,，這些管理面板是復(fù)雜的開發(fā)流程管理系統(tǒng)，其外觀和操作類似于JIRA等合法軟件平臺(tái),。

　　“從勒索軟件運(yùn)營商的角度來看,，勒索軟件攻擊更像是一個(gè)業(yè)務(wù)流程，”Boguslavskiy解釋說,?！凹用藞F(tuán)伙獲得訪問權(quán)限并與核心開發(fā)人員團(tuán)隊(duì)進(jìn)行驗(yàn)證。這通常是通過工單系統(tǒng)完成的,，該系統(tǒng)使管理層能夠調(diào)節(jié)和評(píng)估預(yù)期目標(biāo),。只有當(dāng)票務(wù)過程完成后，附屬機(jī)構(gòu)才可以通過從管理層接收有效載荷開始推進(jìn)攻擊,。協(xié)商和數(shù)據(jù)發(fā)布通常與創(chuàng)建票證的方式相同,，管理層將提供為該特定受害者生成的解密密鑰?！?/p>

　　他繼續(xù)說道：“這是一個(gè)高度定制,、運(yùn)行良好的系統(tǒng)，由UNKN密切監(jiān)督和管理,。正如地下社區(qū)所爭論的那樣,，REvil向外界透露的，在Kaseya勒索軟件攻擊中密鑰泄漏是因?yàn)槌绦騿T手滑錯(cuò)誤點(diǎn)擊導(dǎo)致主密鑰泄漏并損失50-7000萬美元贖金的解釋看起來非?？梢?。其他黑客爭辯說,，很難想象，這樣的誤點(diǎn)擊在REvil的歷史上從未發(fā)生過,，偏偏在他們最大的攻擊中突然發(fā)生,。”

　　包括LockBit在內(nèi)的所有地下論壇參與者的代表都同意,，新REvil代表宣稱的解密密鑰是誤點(diǎn)擊生成的說法“絕對(duì)荒謬,，在當(dāng)代RaaS運(yùn)營的工作方式下沒有任何可能性，” Boguslavskiy說道,。

　　一個(gè)更現(xiàn)實(shí)的場(chǎng)景也許是：（Kaseya）解密密鑰被泄漏是因?yàn)镽Evil的管理層,，特別是UNKN，從某個(gè)渠道收到了付款,，并決定不與加盟團(tuán)伙共享,，偽造了編碼事故讓程序員來頂鍋。

　　“所謂的REvil復(fù)活,，很可能是在Kaseya贖金事件被割了韭菜的低級(jí)幫派成員之一,，”博古斯拉夫斯基通過電子郵件說?！叭欢?，REvil運(yùn)營團(tuán)伙不會(huì)承認(rèn)這一點(diǎn)，因?yàn)樗麄冋噲D重建該團(tuán)伙已經(jīng)很差的聲譽(yù),?！?/p>

　　但是，在重生的REvil的數(shù)據(jù)泄露網(wǎng)站上短暫出現(xiàn)的受害者是怎么回事呢,？

　　Boguslavskiy認(rèn)為,，出現(xiàn)在數(shù)據(jù)泄露站點(diǎn)上的那家美國公司在短暫停留后實(shí)際上已從REvil的Happy Blog中刪除,，這可能表明它是一名“資深”受害者,，在REvil關(guān)閉之前被勒索過，并且其數(shù)據(jù)被用于扮演“詐尸”,。

　　“總的來說,，安全社區(qū)一致認(rèn)為REvil的所謂復(fù)活是一種騙局或操作，”他說,?！叭绻鸕Evil真的復(fù)活，也沒有未來,。因?yàn)楹诵拈_發(fā)者的UNKN已經(jīng)消失了（編者：在韓國被逮捕）,。即使其他REvil成員結(jié)盟重新建立該團(tuán)伙，他們也不太可能在沒有UNKN的情況下成功開發(fā)勒索軟件,?！?/p>