多年来,臭名昭著的俄罗斯REvil犯罪团伙一直在无情地攻击目标。去年5月,该集团及其附属公司中断了肉类供应商JBS的生产,从而获得了1,100万美元的赎金。两个月后,该公司利用it服务公司Kaseya更新机制中的一个漏洞,使数千家企业陷入瘫痪。直到现在,REvil的攻击大部分都没有受到惩罚。
俄罗斯安全机构逮捕了14名REvil成员,这一史无前例的举动可能会在其他俄罗斯网络犯罪团伙的内部圈子中引发涟漪。据独立的俄罗斯新闻机构报道,俄罗斯联邦安全局(FSB)星期五宣布了逮捕行动。这是俄罗斯政府对勒索软件团伙采取的第一次重大行动,多年来一直无视国际压力。
在很长一段时间里,REvil和主要运营商Unknown都认为他们可以不受惩罚地进行操作。这次逮捕表明,即使是在俄罗斯运营的勒索软件组织也不是不可触及的,”安全公司Recorded Future专门研究勒索软件的分析师艾伦·里斯卡(Allan Liska)说。“我认为,这表明,只要勒索软件团体有用,它们就是安全的,但一旦它们不再有用,它们就可能锒铛入狱。”
在严密的审查下,REvil于7月从雷达上消失,几个月后又重新出现。但是,随着国际执法部门在10月的努力使该组织重新下线,该组织的复兴很短暂。
在周五的逮捕行动中,俄罗斯联邦安全局和内政部的官员缴获了电脑设备、20辆豪华汽车以及550多万美元的卢布和加密货币。执法部门还查获了嫌疑人使用的加密货币钱包,并追回了近120万美元的外国现金。
嫌疑人的姓名尚未公布,但是逮捕行动在莫斯科、圣彼得堡和俄罗斯首都以南的利佩茨克地区进行。有关官员说,逮捕这些人的原因是“非法出售支付手段”,并声称他们的行为对REvil造成了打击。
俄罗斯联邦安全局声明的翻译版本称:“有组织的犯罪团体不复存在,用于犯罪目的的信息基础设施也不复存在。”来自俄罗斯的报道称,联邦安全局是在美国的要求下采取行动的;今年8月,美国总统乔•拜登(Joe Biden)告诉弗拉基米尔•普京(Vladimir Putin),他必须对在俄罗斯活动的网络犯罪分子采取行动。
鉴于俄罗斯的合作一直是全球应对行动中缺失的一个关键组成部分,此次逮捕行动可能会被证明是国际社会应对勒索软件的紧急行动中的一个分水岭时刻。但逮捕行动发生的同时,俄罗斯向乌克兰边境部署军队,加剧了该地区的紧张局势。俄罗斯、美国和北约就乌克兰的命运进行了三轮会谈,但未能缓和局势。就在俄罗斯联邦安全局周五宣布逮捕REvil的同时,十几家乌克兰政府网站遭到DDoS攻击和毁损,不过攻击的凶手还不清楚。
安全公司Mandiant负责威胁情报的副总裁John Hultquist说:“我认为,担心俄罗斯(实施逮捕REvil的)别有用心是完全合理的。”“这本质上是他们的荣誉,你当然可以采取愤世嫉俗的观点,认为这都是信号。但我认为这最终还是个好消息。演员们需要知道,如果你骚扰了成千上万的人,偷走了数亿美元,你不能坐等落幕。”
这已经不是第一次有被指控为REvil成员的人面临执法部门的行动了。去年11月,22岁的乌克兰人雅罗斯拉夫·瓦辛斯基(Yaroslav Vasinskyi)在波兰被捕,被指控策划了卡塞亚袭击事件。美国司法部(Department of Justice)的一份起诉书称,瓦辛斯基涉嫌滥用Kaseya的一款产品,部署REvil代码,然后通过Kaseya的网络传播该组织的勒索软件。28岁的俄罗斯公民叶夫根尼·波利亚宁(Yevgeniy Polyanin)也被控部署REvil的勒索软件,他被控实施了3000次勒索软件攻击,并被查获610万美元资产。
世界各地的执法机构,包括乌克兰的执法机构,都在越来越多地开展合作,打击勒索软件的作恶者。自2021年2月以来,欧洲刑警组织已经逮捕了5名与REvil有关的黑客,并表示17个国家一直在进行调查。这些国家包括美国、英国、法国、德国和澳大利亚。
不过,如果没有俄罗斯的合作,官员们对他们可以有效打击的团伙有一些严格的限制。在2021年夏天,REvil遭遇了一系列破坏性和破坏性的攻击,达到顶峰或最低点,但在国际执法机构损害了其基础设施后,REvil基本上陷入了黑暗。然而,其他以俄罗斯为基地的组织,如臭名昭著的黑暗面团伙及其后继者BlackMatter,至少目前还在继续他们的目标。
“我认为,最大的问题是,这是否意味着俄罗斯在处理这个问题上的意图发生了真正的转变,还是说,俄罗斯只是为了减轻一些国际压力而牺牲了对俄罗斯的谩骂?”反病毒公司Emsisoft的威胁分析师布雷特·卡洛(Brett Callow)说。“我怀疑是后者。”
卡洛和其他人强调,尽管了解俄罗斯政府的做法还需要时间,但看到这么多REvil经营者被捕应该会起到一定的威慑作用。在勒索软件市场这样一个相互关联的行业,每一次破坏都是重大的。
“我同意,除了‘美国友好地请求我们’,肯定还有其他动机,但无论如何,这将进一步扰乱勒索软件经济,至少在短期内是这样,”事件响应人员、前美国国家安全局黑客杰克·威廉姆斯(Jake Williams)说。
从长期来看,俄罗斯境外的几个勒索软件组织仍然非常活跃。扳倒REvil是一种进步的迹象,但真正重要的是克里姆林宫对打击其他团伙的意愿。
