中國網軍濫用直播軟體OBS,在賭博網站上傳播 BIOPASS木馬程式

Key Points:

*研究人員在針對中國賭博網站用戶的攻擊中發現了新的RAT(遠端存取木馬程式) “BIOPASS”

*BIOPASS利用 OBS Studio 軟體向攻擊者直播受害者的螢幕

*已經發現 BIOPASS 惡意軟體與Winnti/APT41 的中國APT駭客組織之間存在聯繫

Trend Micro研究人員警告說,一種新的惡意軟體正在通過水坑攻擊(Watering hole)來入侵中國的線上賭博公司,以部署 Cobalt Strike beacon程式或新的Python 的後門程式BIOPASS RAT,該後門利用 Open Broadcaster Software(簡稱為OBS Studio) 的直播實況串流應用程式直播受害者的螢幕給攻擊者。研究人員指出RAT 已被偽裝在 Adobe Flash Player 或 Microsoft Silverlight 的合法安裝程式中(這兩種軟體已到產品生命週期終止End of Life),但在中國仍然使用。根據上週TrendMicro的研究報告,攻擊者在中國賭博網站的技術/聊天支援頁面上植入的惡意 JavaScript 程式將用戶重新導向到攻擊者用於感染受害者的頁面。

具體來說,那些安裝了惡意 Flash Player 和 Silverlight 應用程式的人,不止安裝了合法版本的軟體同時也將BIOPASS木馬程式安裝下去,從而使攻擊者可以完全控制他們的系統。

研究人員在分析中指出,BIOPASS具有在其他惡意軟體中發現的基本功能,例如檔案系統評估、遠端桌面存取、檔案外洩和 shell 命令執行。同時它還能夠通過竊取web browser和即時通訊客戶端數據來洩露受害者的私人資訊。

雖然 BIOPASS 看起來與任何其他遠端存取木馬程式一樣,但它還帶有任何其他惡意軟體中沒有的新功能——即它在受害者的系統上安裝 OBS Studio軟體。OBS Studio 是個免費且開放原始碼的影音串流直播工具,可支援 YouTube, YouTube Gaming, Twitch, Facebook Live, Smashcast, DailyMotion, Twitter…等三十多個影音平台與直播服務。

BIOPASS 除了具有運行典型間諜軟體範圍的一系列功能外,還配備通過即時通訊遞協定 (RTMP) 將即時串流流建立到攻擊者控制下的遠端服務,此外還可使用 Socket.IO 協定與C2伺服器通信。

趨勢科技的研究人員表示,他們發現 BIOPASS 與 Winnti Group(又名APT41)相關的 TTPs 之間存在重疊,Winnti Group是一個專門從事網路間諜攻擊的中國政府長期資助的對象,官方色彩非常濃厚。2020年5月中,法務部調查局曾就中油、台塑化及封測廠力成遭惡意程式攻擊,研判為Winnti Group所為。

Winnti除了發動的路間諜攻擊外,過去也曾對線上遊戲公司發動於經濟動機的攻擊,以謀取利益。

有關BIOPASS RAT的情資:

https://otx.alienvault.com/pulse/60ec06ea60906a8a9c69cf23

瑞典連鎖超市Coop不是Kaseya VSA的客戶,卻遭到龐大的影響!被迫關閉800家門店!

史上最大規模的勒索軟體攻擊在全球蔓延,在7月2日Kaseya事件發生後,因為無法操作收銀機和自行付費結帳(self-check out)系統,迫使瑞典連鎖超市 Coop連鎖店於7月2日下午關閉其800 家門店。根據這家瑞典連鎖超市其網站上發布的消息,Coop 的 800商店中只有 5 家沒有受到影響,coop.se 的線上商店維持服務。

Coop承認因公司其中一個分包商遭網路攻擊,令其結帳系統無法運作,根據外媒報導,Coop 並未直接在其系統上使用 Kesaya VSA,但他們的軟體供應商之一Visma Esscom使用了 Kesaya, Visma Esscom也證實他們受到了 Kaseya 事件的影響。瑞典媒體 TT 稱,Visma Esscom為許多瑞典企業管理伺服器和設備,除了Coop外,瑞典國家鐵路服務和一家藥房連鎖店也同時受到了不同程度的影響。

雖然Kaseya執行長Fred Voccola曾在2日一份聲明中表示,使用其on-prem VSA 伺服器的客戶中只有不到40家客戶受到該事件的影響,並已經確定了漏洞的來源,將盡快發布修補,但目前連Kaseya 的 SaaS VSA(雲端)服務仍處於離線狀態,新的更新稱“維護期延長至另行通知”。

然而,Kaseya的40 家客戶大多是託管服務提供商 (MSP),這些公司使用 Kaseya 的 VSA 平台為自己的客戶管理 IT 基礎設施,因此目前認為該事件間接影響了全球上千家公司,而瑞典連鎖超市 Coop 似乎是目前受影響最大的公司。

另外根據ESET的遙測(telemetry)數據,全球多國家紛紛受到Kaseya事件的影響,受害公司有來自日本、印尼加拿大、德國、美國、哥倫比亞、瑞典等國

一些專家表示,REvil故意在美國7月4日獨立日假期前發動攻擊,目的是假期間企業的IT人手薄弱,以利其盡快傳播勒索軟體。

美國總統喬拜登週六宣布對這起國際勒索軟體攻擊展開調查,他已指示美國情報機構FBI著手調查,誓言揪出幕後黑手。

有關Kaseya VSA供應鏈勒索攻擊的最新情資:

Kaseya VSA Supply-Chain Ransomware Attack

Source:

https://www.reuters.com/article/us-usa-cyber-kaseya-sweden/cyber-attack-against-us-it-provider-forces-swedish-chain-to-close-800-stores-idUSKCN2E90F5

https://www.bbc.com/news/technology-57707530

https://www.theguardian.com/technology/2021/jul/03/kaseya-ransomware-attack-us-sweden

https://www.bleepingcomputer.com/news/security/coop-supermarket-closes-500-stores-after-kaseya-ransomware-attack/

SolarWinds事件2.0,REvil鎖定Kaseya VSA軟體發動大規模供應鏈勒索攻擊,過百間公司遭駭,全球客戶感染勒索軟體

美國CISA呼籲立即關閉Kaseya的VSA 伺服器

在美國迎來7/4國慶日之際,REvil 勒索軟體的幕後駭客投下震撼蛋,他們被發現通過IT供應商Kaseya的VSA軟體的自動更新,將其勒索軟體散播到最少8間MSP和200間企業的網路中,造成史上最大供應鏈勒索攻擊。

這起件事是REvil利用許多託管服務提供商 (MSP) 使用的Kaseya VSA 端點監控軟體進行廣泛的供應鏈攻擊。據知REvil獲得了Kaseya 基礎設施的存取權限,並使用受感染的Kaseya VSA軟體的更新在企業網路上部署勒索軟體藉以加密企業,勒索贖金。

外媒取得其中一封Kaseya事件中受害公司的贖索信,要求高達5百萬美元的贖金,目前不清楚是否每間受害公司需付同樣金額,或每個MSP是否有個別的勒索信

根據外媒報導,受感染的Kaseya惡意更新從VSA 的on prem伺服器,透過使用內部scripting引擎,將勒索軟體部署到所有連接的客戶端系統,Kaseya 敦促所有 IT 管理服務提供商 (MSP) 客戶立即關閉on prem設備,以防止攻擊在調查過程中蔓延。此外,除了建議客戶關閉他們的VSA伺服器之外,為了阻止惡意更新的傳播,並試圖將 REvil從其系統中剷除,Kaseya 還關閉了自己的雲端基礎設施。

投遞: REvil通過 Kaseya中的自動軟體更新

REvil立即停止管理員存取 VSA

再把這些檔案丟去客戶端的系統上:

Propagation

Kaseya VSA 的設計是以高管理員系統權限運行,REvil使用惡意動態連結程式庫,該庫由合法 Windows Defender 反惡意軟體程式的簽名副本執行,以加密受害者數據。作為攻擊鏈的一部分,惡意軟體執行代碼通過 PowerShell 腳本,禁用 Microsoft Defender for Endpoint 的即時監控、腳本掃描、受控

檔案夾存取(勒索軟體防護功能)、入侵保護系統、雲端查找和樣本提交以及網路保護功能。

powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend

IoCs

d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e

8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd

e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2

美國網路安全和基礎設施安全局 (CISA) 表示,目前正在針對此攻擊採取行動,以了解並解決此事件。

REvil勒索軟體的情資: 

REvil ransomware Linux version

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

Source:

https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/

https://old.reddit.com/r/kaseya/comments/ocf0x1/kaseya_has_been_hacked_with_randomware_that/

https://gist.github.com/fwosar/a63e1249bfccb8395b961d3d780c0354

愛爾蘭高等法院下令VirusTotal提交上傳或下載了愛爾蘭衛生健康署被盜數據的有關人士個資

在英國《金融時報》歸還了數據,但拒絕透露提供樣本的來源下,高等法院要求 VirusTotal交出下載或上傳 HSE 數據的用戶資訊

今年 5 月,愛爾蘭的公共醫療保健系統 Health Service Executive, HSE被Conti 勒索軟體攻擊,該攻擊使HSE在設備被加密後造成 IT 系統大規模中斷,嚴重影響該國的醫療服務,Conti在攻擊過程竊取了HSE 約700GB 的數據,據稱這些數據包括患者和員工個資、合約、財務報表、會議記錄、薪資單等。

據金融時報的報導,有人將27份HSE的檔案包含12名病患的個資上傳到惡意檔案分析網站VirusTotal上,檔案在 5 月 25 日被 Chronicle (VirusTotal的母公司)刪除之前被VirusTotal用戶下載了 23 次。VirusTotal除了掃描惡意檔案之外,還能充當上傳檔案的存儲庫,允許訂閱者搜索和下載檔案以分析他們自己的安全研究或改進他們的安全軟體。

在愛爾蘭法院發布禁令要求任何擁有被盜數據的人將其歸還給 HSE 後,英國《金融時報》歸還了數據,但拒絕透露提供樣本的來源。

週二,愛爾蘭高等法院發布命令,要求 VirusTotal 的所有者 Chronicle Security Ireland 和 Chronicle LLC 交出下載或上傳 HSE 數據的用戶的個資包括電子郵件地址、電話號碼、IP 地址或地址。高等法院法官也同時指出,被告沒有反對下達的命令,即所謂的Norwich Pharmacal Order第三方披露令。

有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

美國一級創傷中心”南內華達大學醫學中心”遭REvil攻擊,數據被盜

臭名昭著的REvil勒索軟體在其揭秘網站Happy Blog上又發文,並列出南內華達大學醫學中心(University Medical Center of Southern Nevada, UMCSN) 為其受害者,根據Review Journal報導,REvil在6月28日發布了只有六名人士的內華達州駕照、護照和社會安全卡的截圖,相信現階段駭客仍與UMCSN進行談判,目前也不知道勒索金額。

 6月29日UMCSN在一份聲明承認遭到入侵,確認網路犯罪分子在 6 月中旬非法存取了其系統用於存儲數據的伺服器。UMCSN說,執法部門現在正在調查這起事件,沒有證據表明在攻擊中存取了任何臨床系統,但會通知患者和員工他們的個資可能處於暴露的風險,醫院還將提供“免費身份保護和信用監控服務”。UMCSN表示其IT部門迅速採取行動,入侵僅影響了內部間歇性的電腦登錄問題,但沒有影響患者護理或 UMC 的臨床系統並沒有中斷。聲明更進一步說:“這種類型的攻擊在醫療保健行業變得越來越普遍,世界各地的醫院都遇到了類似的情況。”

南內華達大學醫學中心(UMCSN) 的聲明

聲明並未提及駭客的動機,但專門跟踪勒索軟體的 Emsisoft 安全研究員Brett Callow表示,REvil擅長在鎖定目標組織的系統之前竊取目標組織的數據,然後威脅要在網上發布數據以迫使組織支付贖金。Callow補充說,REvil可能以威脅要發布從整容手術過程中的前後照片等,盡其所能向UMCSN施加壓力。

截至目前仍無法打開官方網站的頁面:

UMCSN是一家非營利性公立醫院,也是內華達州唯一的 1 級創傷中心(Level 1 Trauma Center)。

REvil勒索軟體的情資: 

REvil ransomware Linux version

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

Linux版的REvil勒索軟體,鎖定VMware ESXi虛擬機器

隨著企業轉向虛擬機以便更輕鬆地進行備份、設備管理和有效利用資源,同時也有越來越多的勒索軟體組織建立自己的工具來對 VM 使用的存儲進行大規模加密。現在資安研究員發現REvil 勒索軟體操作Linux 加密工具,來攻擊與加密VMware ESXi虛擬機器。

根據資安公司Advanced Intelligence的執行長Vitali Kreme分享了他分析REvil勒索軟體 的Linux變種是如何殺掉VM 的 process:

1. Leverages “esxcli” CLI component to kill VMs via world id

2. affiliate “sub”:”7864″ | usual struct

3. GCC: (Ubuntu 4.8.4-2ubuntu1~14.04.4) 4.8.4

另外AT &T Alien Labs技術總監Jaime Blasco,也分享了Linux 版的REvil勒索軟體的惡意程式特徵規則YARA RULE與Hash值:

FileHash-MD5 ab3229656f73505a3c53f7d2e95efd0e

FileHash-MD5 e199f02ffcf1b1769c8aeb580f627267

FileHash-MD5 96a157e4c0bef22e0cea1299f88d4745

FileHash-MD5 395249d3e6dae1caff6b5b2e1f75bacd

FileHash-SHA256 3d375d0ead2b63168de86ca2649360d9dcff75b3e0ffa2cf1e50816ec92b3b7d

FileHash-SHA256 796800face046765bd79f267c56a6c93ee2800b76d7f38ad96e5acb92599fcd4

FileHash-SHA256 d6762eff16452434ac1acc127f082906cc1ae5b0ff026d0d4fe725711db47763

FileHash-SHA256 ea1872b2835128e3cb49a0bc27e4727ca33c4e6eba1e80422db19b505f965bc4

FileHash-SHA1 446771415864f4916df33aad1aa7e42fa104adee

FileHash-SHA1 45404b862e70a7a1b4db6c73d374b8ac19ddf772

FileHash-SHA1 9586ebc83a1b6949e08820b46faf72ee5b132bca

FileHash-SHA1 29f16c046a344e0d0adfea80d5d7958d6b6b8cfa

看更多Linux版REvil勒索軟體的情資: REvil ransomware Linux version

勒索軟體的另類售後服務,付贖金後,REvil詳述如何入侵!

根據Malwarebytes 的資安分析師Mr. Rivero取得的被駭公司(以下稱U公司)與REvil的缐上對話,由於該公司已付贖金,REvil釋出解密工具,U公司可直到7月11日截止時間前享有免費解密工具的使用權,一般來說,就算付了贖金給勒索軟體的駭客團體,他們釋出的解密工具是有時效性的,通常在䆁出的當天至往後的3-4個禮拜有效。如果沒有在時效內完成解密,駭客也不會再延長或給與新的解密功具。

在下圖的案例, 由於U公司的員工在收信過程不慎點擊了帶有惡意病毒的檔案使駭客有機可乘,把病毒payload安裝到受感染的電腦,之後REvil使用工具掃描電腦和所有用戶授權的數據,這授權數據正可用於遠端存取U公司網路。

Photo Credit : Mr. Rivero from Malwarebytes

REvil表示在掃描網路時,發現一個帶有遠端程式碼執行(RCE)弱點的伺服器,並進一步以該RCE來執行payload並收集對伺服器的所有存取權限。接下來,REvil以安全工具從伺服器中轉儲所有可能的密碼,並使用這些密碼收集對其他網路的存取,直到存取網域控制器。REvil植入木馬程式以鍵盤側錄方法式,存取和操控整個 IT 基礎設施。

由於駭客修改了M公司的防毒config,可逃避在IT 網路被檢測到,在收集並存取所有可能的 IT數據後,駭客也找到了連接到M公司其餘分公司的方法,在收集完M公司所有有價值的數據,REvil正式加密M公司的IT 系統。

在這案例中,REvil通過垃圾郵件活動來突破M公司的防禦,進入企業內部網路。透過教育訓練與各種社交工程的演練,提高員工的資安意識真的很重要!

這一兩年以來,REvil勒索軟體的威脅越來越大,台灣企業包括台灣塩野義製藥宏碁、日月光孫公司Asteelflash Group廣達紛紛遭到REvil的毒手,

在國外REvil的受害者更是不計其數,包括再生能源公司Invenergy,美國肉類供應巨頭 JBS,印度最大鋼鐵生產商塔塔鋼鐵

有關REvil勒索軟體的情資:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

*****竣盟科技快報歡迎轉載,但請註明出處

在6名CLOP勒索軟體的嫌犯被捕一周後,CLOP在其揭秘網站上又公佈新的受害公司,這意味著什麼呢?!

在上週 6 月 16 日,6名CLOP勒索軟體的幕後駭客被烏克蘭警方拘捕,當時警方表示,他們在烏克蘭首都基輔及其周邊地區對涉嫌駭客的家中和他們的汽車進行了 21 次搜查並扣獲了電腦、手機和伺服器設備、185,000 美元的現金(相信是贖金)及幾輛汽車等。

但今在CLOP揭秘網站CLOP^_-LEAKS上發現新的受害者,表示CLOP仍然活躍,也證明最近被逮捕的駭客不包括核心成員。目前尚不清楚這家新公司是何時遭到CLOP的攻擊,這是否在6名CLOP成員逮捕前已被入侵但直到現在才發布的數據,還是完全是一次新的攻擊。無論是哪種,它都表明CLOP仍然以某種方式活躍。專門跟踪勒索軟體的 Emsisoft 安全研究員Brett Callow表示:“數據已經發布的事實表明,烏克蘭警方的行動沒有涉及CLOP的核心成員,也沒有完全擾亂CLOP的操作。”

CLOP^_-LEAKS上的更新,出現新的受害者

CLOP在上週被捕後,今發布新的受害者和盜竊數據,正如網路安全情報公司Intel 471上週表示,被捕的嫌疑人僅限於CLOP業務的套現和洗錢方面,逮捕並沒有打擊經營犯罪集團的核心。

換句話說,CLOP又重新浮出水面意味著企業與CLOP的鬥爭遠未結束。

CLOP勒索軟體的相關情資:

https://otx.alienvault.com/pulse/5d442cfb09ea006776a81c42

烏克蘭與韓國警方的聯合行動,逮捕了6名CLOP勒索軟體的幕後駭客

6 月 16 日在烏克蘭和韓國的執法機構聯合行動後,6名與 CLOP勒索軟體有關的嫌疑人已在烏克蘭被拘留。

烏克蘭國家警察和該國網路警察部門證實,在對首都基輔(Kyiv)附近地區的 21 處住宅進行搜查後,並逮捕了 6 名 CLOP勒索軟體組織的嫌疑人,目前還不清楚被告是否為CLOP勒索軟體組織的核心成員,他們被指控對美國和韓國企業的伺服器進行了勒索軟體攻擊。據稱Clop勒索軟體造成了約 5 億美元的總經濟損失。在行動之後,當局報告說他們成功關閉了CLOP用來發動過去攻擊的伺服器。當局補充道:“執法部門設法攜手關閉了用於散播勒索病毒的基礎設施,並封鎖了使其非法獲得的加密貨幣合法化的渠道”。

警方還從CLOP的幕後駭客中沒收了電腦,手機,伺服器,幾輛汽車(包括特斯拉,Lexus和賓士) 以及約 185,000 美元的現金。

據悉,CLOP 發動的攻擊可追溯到2019 年2 月,當時該組織攻擊了四家韓國企業、並加密了810 台內部伺服器和個人電腦。自那以後,CLOP涉及多起臭名昭著的勒索軟體攻擊,其中包括2020 年4 月針對美國製藥巨頭ExecuPharm 的入侵、以及11 月針對韓國電商巨頭E -Land 的攻擊(迫使該零售商關閉了將近一半的門店),韓國警方去年加大了對Clop的調查力度,在本週突襲CLOP駭客時韓國警察也親自到場。在過去的六個月裡,CLOP 一直特別忙於利用檔案傳輸設備(FTA) 中的四個不同的零時差漏洞,用來攻擊使用Accellion FTA的企業,其中包括加拿大飛機製造商龐巴迪BombardierJones Day律師事務所、資安公司Qualys和新加坡電信巨頭Singtel馬里蘭大學斯坦福大學等。

目前尚不清楚烏克蘭當局的這項執法行動將在多大程度上影響 CLOP的運作。

網路安全情報公司Intel 471表示,烏克蘭的執法突襲僅限於 CLOP 業務的套現和洗錢方面。“我們認為 CLOP 背後的任何核心參與者都沒有被逮捕,因為他們很可能住在俄羅斯。”

烏克蘭與韓國執法部門突襲Clop的影片

CLOP勒索軟體的相關情資:

https://otx.alienvault.com/pulse/5d442cfb09ea006776a81c42

REvil盜走跨國再生能源公司Invenergy的4 TB數據,當中還包含Invenergy億萬富豪執行長勁爆的資訊

REvil在其揭秘網站Happy Blog以標題“奧巴馬的朋友是個骯髒的變態”來介紹再生能源業者Invenergy

總部位於美國的可再生能源公司Invenergy遭到駭攻,該公司在6月11日發布了一份電子郵件聲明給彭博社並證實了這一點。據稱,該公司在其某些系統上檢測到未經授權的活動後,對其網路展開了調查,而勒索軟體REvil的背後駭客也直接在其揭秘網站公佈是他們所作的。

Invenergy 是一家跨國再生能源業者,該公司在美洲、歐洲和亞洲開發、建造、擁有和運營發電和儲能項目。其產品組合包括風能、太陽能和天然氣發電和儲能設施。它是美國六大風力發電廠所有者之一,也是北美最大的私營可再生能源發電公司。

REvil在其Happy Blog以標題“奧巴馬的朋友是個骯髒的變態”來介紹再生能源業者Invenergy

REvil在其揭秘網站Invenergy的頁面,聲稱竊取了大量數據:“我們擁有所有部門的所有資訊。項目、合約、保密協議、退稅、ssn、護照等。”為了迫使Invenergy付贖金,REvil還威脅要洩露有關Invenergy的億萬富豪執行長Michael Polsky的尷尬細節,REvil聲稱掌握了一些隱私與火辣(personal and spicy)的資訊,包含Polsky 的私人信件、有關他與第一任妻子 Maya 離婚的敏感事實以及這位富翁企業家的照片,Invenergy 沒有對這些說法發表任何評論。

Forbes報導,Polsky在 1976 年以 500 美元從蘇聯烏克蘭移民到美國後,通過建立電力公司積累了 15 億美元的財富。2007 年,一名法官裁定,Maya Polsky 女士應獲得她當時丈夫的一半現金和資產,約 1.8 億美元,這是當時歷史上最昂貴的離婚案之一。

REvil聲稱已準備好與Invenergy進行長期的交涉,最後還在 Invenergy的頁面附上了Polsky上 Forbes封面的照片。

Invenergy 表示其運營並未受到攻擊的影響,沒有數據被加密,並補充說:“Invenergy 尚未支付也不打算支付任何贖金”。

有關REvil勒索軟體的情資:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

*****竣盟科技快報歡迎轉載,但請註明出處。