起底REVil 网络基础设施

admin 2021年12月3日11:36:51安全闲碎评论43 views1112字阅读3分42秒阅读模式

起底REVil 网络基础设施

研究人员发现REVil勒索软件使用的网络基础设施。

ReSecurity研究人员发现攻击Kaseya的勒索软件组织REVil使用的网络基础设施。研究人员发现从2021年1月起,REVil使用了新的域名decoder[.]re,并加入到了TOR网络的勒索软件页面上。

该域名包含在最近的REVil版本的勒索信中,包含在一个含有支付指示信息的文本文件中。

受害者和REVil勒索软件之间是通过一个TOR页面来交互的,但是如果受害者无法访问TOR网络,就无法访问该页面,本例中,REVil就准备了一个互联网版的镜像。

起底REVil 网络基础设施

TOR host

起底REVil 网络基础设施

WWW host (decoder[.]re)

要访问WWW或Tor页面,受害者都需要提供一个有效的用户id(UID),9343467A488841AC。研究人员从勒索软件样本中获得了一些UID和私钥。私钥是确定相同的函数进程是否在2个页面上都确认了,内容是完全相同的。

和之前REvil / Sodinokibi版本中的decryptor[.]cc和 decryptor[.]top类似,decoder[.]re是用来授权受害者访问攻击者的web网站的,以进行进一步的沟通。网站上的聊天功能可以让受害者与REVil攻击者进行近乎实时的通信。

此外,攻击者还使用通过https://guerrillamail.com创建的一次性临时邮箱地址来匿名地注册域名,用于之后的域名服务器,也可以用作基础设施的其他部分。此类邮箱地址的使用次数是有限的,比如所有与该邮箱的通信都会在1小时内删除。

Resecurity研究人员收集了现有和历史DNS记录,然后创建了REVil使用的网络基础设施的可视化图形。

起底REVil 网络基础设施

Revil网络基础设施图

原图请访问:https://i1.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2021/07/revil_map.png

根据研究人员收集的网络和DNS情报,与该攻击活动相关的IP地址在2021年1季度至少轮换了3次,之前与一家位于东欧的云服务和IOT解决方案提供商有关。

REVil背后的攻击组织与6月份的JBS勒索攻击有关,勒索1100万美元。REvil在TOR网络官方博客回应称对该攻击事件负责,并对要求Kaseya 支付价值7000万美元的赎金。

参考及来源:https://securityaffairs.co/wordpress/119799/cyber-crime/researchers-infrastructure-revil-ransomware-gang.html

起底REVil 网络基础设施

起底REVil 网络基础设施

本文始发于微信公众号(嘶吼专业版):起底REVil 网络基础设施

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月3日11:36:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  起底REVil 网络基础设施 http://cn-sec.com/archives/418169.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: