近日,阿根廷电信公司遭到REVil勒索软件攻击,短短一个周末,就造成约1.8万台计算机被感染。
阿根廷电信是阿根廷最大的互联网服务提供商之一。上周末,某不明身份的勒索软件运营商感染了该公司约18,000台计算机。据了解,这次勒索方要求阿根廷电信提供750万美元的赎金。
本次攻击事件对阿根廷电信公司运营造成了严重影响。经过调查,本次攻击事件的原理已经明了。一开始,攻击者通过私密手段获得了对公司网络的访问权限。然后,他们控制了公司内部的Domain Admin系统,并使用这一访问权限感染了上万台计算机。截至目前为止,阿根廷电信运营的许多网站都因为此次勒索攻击事件而导致脱机。
幸运的是,该事件并未导致电信公司客户的连接问题。固定电话和有线电视服务也没有受到影响。
阿根廷电信公司也因此提升了公司内部的网络安全防控。在公司内部的IT人员检测到攻击后,他们立即发布通知,警告员工不要连接公司内部VPN网络,并对带有存档附件的电子邮件多加注意。
德国安全研究员Fernandez推测,本次攻击事件,REvil勒索软件或有参与。很快,REvil(Sodinokibi)勒索软件就在其暗网络支付门户上发布了有关阿根廷电信公司信息售卖的页面。
其网站显示,若要赎回信息,需支付109345.35枚Monero代币(约753万美元)。截至发稿时,勒索软件团伙并未在其暗网上将阿根廷电信列入受害者名单,信息也未曾出售。但他们威胁说,如果阿根廷电信公司在三天后不支付赎金,赎金将会翻倍。
这已经不是REvil勒索软件运营商将目标锁定在电信公司了。早前,REVil运营商的惯常做法是以Pulse Secure、Citrix VPN和企业网关系统作为入口点,入侵企业电脑,盗取信息。
今年5月,该组织还入侵了斯里兰卡的一家电信公司。
在当今的勒索软件领域,REvil(Sodinokibi)勒索软件占据着统治地位。其中,REvil(Sodinokibi)以勒索软件的形式,将其勒索软件病毒出租给其他犯罪集团。
而REvil Affaliates则是自己寻找渠道,将勒索软件按照到目标公司,然后根据在 其企业内部网络上感染的电脑数量索要赎金。
由于 REvil 公司内部这种多重角色设置,想要追踪REvil旗下所有的勒索软件动态非常复杂,需要大量的人力和时间。
荷兰电信服务商 KPN 的研究人员表示,根据他们的调查结果显示,今年以来, REvil 在索要的赎金总额已超过 3800 万美元,每家受感染的公司平均需支付26 万美元的赎金。
而在针对个人和家庭用户的感染案例中,平均赎金数量为 4.8 万美元,远远高于普通勒索软件的 赎金标准。
然而,如果像在西班牙电信公司这一案例中,REvil 旗下的子公司成功将其勒索软件扩展到整个公司内网时,企业需支付的赎金量就要大的多。据统计,截至目前为止,每家内网被入侵的公司平均需支付赎金 47 万美元,需要支付100 万美元以上的企业也不计其数。