欧洲刑警组织(Europol)卡特尔今天宣布逮捕7名嫌疑人,他们组织了一个大型勒索软件“会员(affiliates)”自2019年初以来,(合作伙伴)的身份帮助实施了7000多次攻击。这些嫌疑人在REvil (Sodinokibi)和GandCrab服务是勒索软件(RaaS)在一些业务中工作。
据信,REvil和GandCrab它们都是由同一批操作的,他们为其他网络犯罪分子创建了赎金软件代码。
这些租赁团体将计划入侵公司,部署勒索软件,要求赎金,然后跟进REvil/GandCrab编码器分享利润。
Europol据说,自2019年以来,这七名嫌疑人通过攻击要求赎金超过2亿欧元。
自今年2月以来,Europol它一直在与执法机构和执法机构合作Bitdefender、KPN和McAfee等安全公司合作逮捕一些会员。Europol逮捕行动发生在:
2月、4月、10月--三名REvil和GandCrab会员在韩国被捕;
10月--一名REvil会员在波兰被捕(因为Kaseya REvil被指控攻击);
11月4日--两名REvil成员在罗马尼亚康斯坦察被捕;
11月4日--一名GandCrab成员在科威特被捕。
这些逮捕是在今年夏天早些时候承诺打击以美国为首的西方国家勒索软件团伙后进行的。
在决定打击勒索软件运营商之前,勒索软件攻击今年达到了顶峰,一些团体的攻击使行业部门瘫痪了几天--如今年5月对Colonial Pipeline攻击迫使美国东海岸45%的燃料供应停止。
参与由Europol领导的打击GandCrab/REvil团伙的Bitdefender9月16日也有过去。REvil受害者发布了一个通用解密器。罗马尼亚公司还发布了它GandCrab免费解密器的版本,所有这些都可以从NoMoreRansom下载门户网站。
2020年8月,8名GangCrab会员在白俄罗斯被捕,但行动不是Europol部分联合调查。
GandCrab和REvil简短的行动历史
GandCrab RaaS广告于2018年1月首次发布,最初是一个普通的团体,他们将其代码出租给网络犯罪集团,使用带有恶意文件附件的垃圾邮件感染用户。
该组织于2019年初转移了目标。当时,他们开始与一小群会员合作,以管理服务提供商为目标,攻击企业组织。他们希望从小家庭用户那里提取的小额赎金要求转移到网络瘫痪的公司。
由于这种新的攻击方法开始产生更大的利润,该组织于2019年5月关闭了它们GandCrab行动,并在一个月后即2020年6月,发布了他们的赎金软件的重塑和改进版本。
被称为REvil或Sodinokibi,这个新RaaS门户网站只与愿意攻击大公司的会员合作。多年来,REvil RaaS会员与苹果、宏基、阿根廷电信等一些相当大的攻击公司有关。
根据2021年2月发表的一份IBM报告,据信REvil仅在2020年,行动就获得了约会1.23收入1亿美元。
然而,今年5月和7月分别针对JBS Foods和Kaseya两次服务器攻击超过了美国政府愿意接受的底线。JBS Foods对美国各地肉类供应的攻击大规模中断Kaseya7月4日,服务器的攻击造成了世界上成千上万的假期IT网络瘫痪。
组织一周后关闭,没有任何形式的解释,组织的领导人--一个名为未知的人似乎从地下论坛消失了。
一些REvil编码员试图在9月份恢复行动,但他们劫持了未知的第三方Tor一个月后,服务器基础设施关闭。
据路透社和《华盛顿邮报》报道,该组织的服务器已于7月被外国执法机构入侵并反跟踪。
而当该组织在9月卷土重来时,美国网络司令部劫持了它的服务器,并且前者并不知道执法部门的行动。不过这次劫持让REvil这个团伙被吓坏了,这似乎是最后的退休,也可能是Europol到目前为止,其他执法团体正试图确定他们GandCrab/REvil会员采取行动的原因。