REvil于2021年7月进入公众视野,它是一个勒索软件即服务(RaaS)组织,以其对Kaseya、JBS Foods和Apple Computer等的引人注目的攻击而被广泛知晓。欧洲刑警组织于2021年11月逮捕关闭了该团伙的一些关联公司。
今年6月据报道已解散的REvil勒索软件团伙声称对针对云网络提供商Akamai的一位酒店客户的分布式拒绝服务(DDoS)活动负责。然而,研究人员表示,这次袭击很有可能不是臭名昭著的网络攻击团伙的死灰复燃,而是一些爱好者的模仿行动。
而我国最近某知名制造业企业被勒索软件攻击后,据称REvil声称实施了此次攻击。然而不管是否是真实的REvil团伙所为,我们都应该重视对勒索软件攻击的全过的了解,不管是已知的勒索软件还是未知的勒索软件,只要在其最后泄露数据、加密数据之前能发现并阻断攻击链,那么我们都有机会最终阻止勒索的发生,而不用押宝于终端/主机安全产品的能力和数据备份(当然这些手段是防勒索必要的手段)。
▌SODINOKIBI新变种简介
SODINOKIBI是用C语言编写的勒索软件,可加密存储在本地和网络共享文件夹上的文件。它可以从指定的目录、备份文件和卷影副本(比如使用vssAdmin删除影子卷)中删除文件,以防止受害者从恢复数据,并留下一个自述文件,其中包含如何支付“赎金”的说明。SODINOKIBI进行勒索最终攻击动作之前攻击者会利用注册表运行键来保持持久化,在注册表或启动文件夹中的“运行键”中添加一个条目使其可以在用户登录时执行;SODINOKIBI还会使用BCDEdit抑制系统的恢复,以及使用BCDEdit将“Safeboot”设置更改为“最小”以试图阻止防病毒软件的启动,这些方法也被其他多种勒索软件所使用;Revil团伙在对Kaseya的攻击活动中大量使用了SODINOKIBI及其变种。
▌模拟攻击库更新
您已经可以在我们平台中直接搜索SODINOKIBI即可得到所有与SODINOKIBI相关的攻击模拟实验,包括了此勒索软件的执行及其变种的网络下载,以检验您的网络安全检测与防御手段和终端/主机防御手段对这此勒索软件的及其变种以及对它行为的检测与防御能力。目前我们的攻击库中已经收集到了多达14种变种。