起底REVil 网络基础设施

研究人员发现REVil勒索软件使用的网络基础设施。

ReSecurity研究人员发现攻击Kaseya的勒索软件组织REVil使用的网络基础设施。研究人员发现从2021年1月起，REVil使用了新的域名decoder[.]re，并加入到了TOR网络的勒索软件页面上。

该域名包含在最近的REVil版本的勒索信中，包含在一个含有支付指示信息的文本文件中。

受害者和REVil勒索软件之间是通过一个TOR页面来交互的，但是如果受害者无法访问TOR网络，就无法访问该页面，本例中，REVil就准备了一个互联网版的镜像。

TOR host

WWW host (decoder[.]re)

要访问WWW或Tor页面，受害者都需要提供一个有效的用户id（UID），9343467A488841AC。研究人员从勒索软件样本中获得了一些UID和私钥。私钥是确定相同的函数进程是否在2个页面上都确认了，内容是完全相同的。

和之前REvil / Sodinokibi版本中的decryptor[.]cc和 decryptor[.]top类似，decoder[.]re是用来授权受害者访问攻击者的web网站的，以进行进一步的沟通。网站上的聊天功能可以让受害者与REVil攻击者进行近乎实时的通信。

此外，攻击者还使用通过https://guerrillamail.com创建的一次性临时邮箱地址来匿名地注册域名，用于之后的域名服务器，也可以用作基础设施的其他部分。此类邮箱地址的使用次数是有限的，比如所有与该邮箱的通信都会在1小时内删除。

Resecurity研究人员收集了现有和历史DNS记录，然后创建了REVil使用的网络基础设施的可视化图形。

Revil网络基础设施图

原图请访问：https://i1.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2021/07/revil_map.png

根据研究人员收集的网络和DNS情报，与该攻击活动相关的IP地址在2021年1季度至少轮换了3次，之前与一家位于东欧的云服务和IOT解决方案提供商有关。

REVil背后的攻击组织与6月份的JBS勒索攻击有关，勒索1100万美元。REvil在TOR网络官方博客回应称对该攻击事件负责，并对要求Kaseya 支付价值7000万美元的赎金。

参考及来源：https://securityaffairs.co/wordpress/119799/cyber-crime/researchers-infrastructure-revil-ransomware-gang.html