REvil / Sodinokibi
REvil / Sodinokibi 是什么?
REvil / Sodinokibi讲俄语的勒索软件即服务运营组织,2019—2021 年活跃,以双重勒索和针对 Kaseya VSA 的供应链攻击闻名。
REvil,又名 Sodinokibi,于 2019 年 4 月出现,被普遍视为 GandCrab 的继任者。其以 RaaS 模式运营,附属者通常分得 60—70% 的赎金,并采用对被盗数据进行拍卖与高调公开喊价的强硬策略。著名受害者包括 Travelex(2019 年 12 月)、JBS Foods(2021 年 5 月,据报道支付了 1100 万美元),以及 2021 年 7 月的 Kaseya VSA。MSP 端的 0day 让 REvil 将加密器推送给约 1500 家下游客户机构,成为史上规模最大的勒索软件供应链事件之一。2021 年末,美国、欧盟与俄罗斯相继采取逮捕、基础设施打击与起诉行动,俄罗斯 FSB 于 2022 年 1 月宣布拘捕成员。此后曾零星出现重启与改头换面的报道。
● 示例
- 01
2021 年 7 月的 Kaseya VSA 供应链攻击将 REvil 推送至约 1500 家下游 MSP 客户。
- 02
JBS Foods 据报在 2021 年 5 月向 REvil 支付 1100 万美元以恢复肉类加工业务。
● 常见问题
REvil / Sodinokibi 是什么?
讲俄语的勒索软件即服务运营组织,2019—2021 年活跃,以双重勒索和针对 Kaseya VSA 的供应链攻击闻名。 它属于网络安全的 防御与运营 分类。
REvil / Sodinokibi 是什么意思?
讲俄语的勒索软件即服务运营组织,2019—2021 年活跃,以双重勒索和针对 Kaseya VSA 的供应链攻击闻名。
REvil / Sodinokibi 是如何工作的?
REvil,又名 Sodinokibi,于 2019 年 4 月出现,被普遍视为 GandCrab 的继任者。其以 RaaS 模式运营,附属者通常分得 60—70% 的赎金,并采用对被盗数据进行拍卖与高调公开喊价的强硬策略。著名受害者包括 Travelex(2019 年 12 月)、JBS Foods(2021 年 5 月,据报道支付了 1100 万美元),以及 2021 年 7 月的 Kaseya VSA。MSP 端的 0day 让 REvil 将加密器推送给约 1500 家下游客户机构,成为史上规模最大的勒索软件供应链事件之一。2021 年末,美国、欧盟与俄罗斯相继采取逮捕、基础设施打击与起诉行动,俄罗斯 FSB 于 2022 年 1 月宣布拘捕成员。此后曾零星出现重启与改头换面的报道。
如何防御 REvil / Sodinokibi?
针对 REvil / Sodinokibi 的防御通常结合技术控制与运营实践,详见上方完整定义。
REvil / Sodinokibi 还有哪些其他名称?
常见的别称包括: Sodinokibi, REvil RaaS。
● 相关术语
- defense-ops№ 901
勒索软件团伙
以经济利益为动机的网络犯罪团伙,开发、运营或分发勒索软件,通过加密文件与数据泄露威胁勒索组织。
- malware№ 902
勒索软件即服务(RaaS)
一种犯罪商业模式,勒索软件运营者将其恶意软件和基础设施租赁给执行攻击的关联方(affiliate),并按比例分成。
- defense-ops№ 624
LockBit
讲俄语的勒索软件即服务运营组织,2022—2024 年成为全球最活跃的勒索软件品牌,直至被 Cronos 行动重创。
- defense-ops№ 215
Conti 勒索软件
讲俄语的勒索软件团伙,2020—2022 年间运营高产量的双重勒索项目,因大规模内部聊天记录与源码泄露后解散。
- defense-ops№ 099
BlackCat / ALPHV
基于 Rust 编写的勒索软件即服务运营组织,2021 年末至 2024 年活跃,以跨平台加密器与激进的多阶段勒索著称。
- attacks№ 1116
供应链攻击
通过攻陷可信的第三方软件、硬件或服务提供商,进而入侵其下游客户的攻击方式。