根據英國資安公司 X Cyber Group 的執行長Matt Lane 表示,在美國時間的周2,發現 REvil 入侵了 Fimmick 的數據庫,據指Fimmick的數據庫中有來自多個全球品牌的數據,操作REvil勒索軟體的駭客在其揭秘網站Happy Blog中,上傳盜來的數據目錄,名單上有 Cetaphil、麥當勞、可口可樂、Adidas和 Kate Spade、 Acuvue等企業。
資安公司 Recorded Future的勒索軟體專家Allan Liska 表示,留意到行銷公司相較容易受到攻擊,尤其是網路釣魚攻擊,因為他們經常接觸不同類型的客戶,並會收到大量帶有附件的電子郵件,而這正正是勒索軟體組織最喜歡的初始接觸受害者的方法,去年至少有其他三間行銷公司(Wieden+Kennedy、MBA Group 和 Empirical Research Partners)受到勒索軟體的攻擊,但Liska 又指,被攻擊的行銷公司的實際數量可能還要更多,但與學校或醫院不同,當行銷公司受到勒索軟體攻擊時,它很少成為頭條新聞。 McAfee 在最近發布的深度威脅研究報告Ransomware’s Increasing Prevalence中指出,REvil勒索軟體是占2021年第二季勒索軟體攻擊的檢測量第1名,總檢測量為73%,第2和3名攻擊最兇的勒索軟體分別是RansomEXX和Ryuk。
Kaseya VSA 的設計是以高管理員系統權限運行,REvil使用惡意動態連結程式庫,該庫由合法 Windows Defender 反惡意軟體程式的簽名副本執行,以加密受害者數據。作為攻擊鏈的一部分,惡意軟體執行代碼通過 PowerShell 腳本,禁用 Microsoft Defender for Endpoint 的即時監控、腳本掃描、受控
臭名昭著的REvil勒索軟體在其揭秘網站Happy Blog上又發文,並列出南內華達大學醫學中心(University Medical Center of Southern Nevada, UMCSN) 為其受害者,根據Review Journal報導,REvil在6月28日發布了只有六名人士的內華達州駕照、護照和社會安全卡的截圖,相信現階段駭客仍與UMCSN進行談判,目前也不知道勒索金額。
REvil表示在掃描網路時,發現一個帶有遠端程式碼執行(RCE)弱點的伺服器,並進一步以該RCE來執行payload並收集對伺服器的所有存取權限。接下來,REvil以安全工具從伺服器中轉儲所有可能的密碼,並使用這些密碼收集對其他網路的存取,直到存取網域控制器。REvil植入木馬程式以鍵盤側錄方法式,存取和操控整個 IT 基礎設施。
