REvil的故事——身世之谜

admin 2022年9月19日11:04:26安全闲碎评论2 views1225字阅读4分5秒阅读模式

据说手艺活很多都需要传帮带。

又据说,欧亚极寒之地,乃是勒索组织的故乡。就是那个让拿破仑和希特勒都倒下的地方。

REvil的第一次,起于上一代勒索GandCrab 金盘洗手,退出江湖的前一个月。

作为上一代勒索赚钱中的一代大佬,GandCrab一直不是以攻击的复杂度著称,而是市场牛逼,不到一年占了百分之五十的勒索份额,成为勒索黑产居家旅行必备工具。

这里必须得解释下,勒索软件的商业模式——RaaS(Ransomware As a Service)。

这个业务模式脱胎于会员营销模式。简单点讲,就是勒索软件从勒索中抽成。勒索组织提供勒索软件,黑客负责找客户(也就是受害者)。

黑客黑了任意一个组织,使用GandCrab成功勒索之后,GrandCrab抽成百分之四十。这里黑客就是GandCrab的会员。

也就是说,勒索软件组织跟实际下手入侵的组织是两拨人。


REvil的故事——身世之谜


GandCrab兴起于2018年1月,退休于2019年6月。

我们来欣赏下他们的退休宣言。


REvil的故事——身世之谜

退休宣言一开始,GandCrab先念了一句诗,天下无不散之筵席。

在第二自然段,GandCrab就开始宣传自己是如何让自己的客户获得成功。在这一年多的时间里,“GandCrab让我们的会员挣了20亿刀。和我们一起的客户每周能挣250万刀”。从这里,我们也就洞察了GandCrab为啥技术一般,但却挣了不少钱。因为微商的套路,他们是真的懂啊。即使是退休宣言,都不忘发广告。

REvil的故事——身世之谜

第三自然段,GandCrab表示自己挣了1亿5千万,并且成功洗钱。

第四自然段,GandCrab说,我们体面的退休了。

2019年4月25日,思科安全团队发现,攻击者在利用Weblogic 漏洞  CVE-2019-2725 获取权限,部署了一款新型的勒索软件REvil/ Sodinokibi 。在八个小时之后,攻击者又一次进行了漏洞利用,并部署了GandCrab。

也就是这次行动,让REvil的身世变得不明不白。很多安全公司认为,REvil和GandCrab后面可能是一伙人。

第一版的REvil里面存在一个调试路径,“D:gc6coresrccommondebug.c ”,gc6看起来很像是GandCrab的缩写。

McAFee使用IDA和bindiff分析调用图,两份代码找到百分之四十的相似度。


REvil的故事——身世之谜


有很多人认为,GandCrab只是宣称自己退休了,安全公司开发出了GandCrab的解密工具,他们无法进一步盈利,不得已只能退休。之后换个马甲,也就是REvil,继续在勒索产业里兴风作浪。

也有一种猜想,认为GandCrab把自己的代码卖给了REvil。而后续很多次勒索事件中,REvil的手法表现的跟GandCrab相似,是因为GandCrab退休后,它的加盟商重新加盟了REvil。

无论真相如何,名义上看,GandCrab退休了,REvil兴起了。

之后,REvil将会成为勒索组织新的标杆,并带来新的业务模式。



原文始发于微信公众号(落水轩):REvil的故事——身世之谜

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月19日11:04:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  REvil的故事——身世之谜 http://cn-sec.com/archives/1303249.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: