俄罗斯抓获8名暗网勒索组织REvil的犯罪嫌疑人

根据美国司法部的数据，REvil，又名Sodinokibi，是近年来最臭名昭著的暗网勒索软件组织之一，积累了超过2亿美元的非法利润。

该组织的受害者包括苹果设备制造商Quanta、IT管理服务软件供应商Kaseya和肉类加工巨头JBS（向其支付了1100万美元的赎金）等。

周五，俄罗斯联邦安全局（FSB）出人意料地宣布，它已突击搜查了25处房产，并拘留了14名涉嫌参与REvil行动的人。FSB特工在突袭中查获了许多设备，以及加密货币、多种面额的现金和20辆豪华汽车。

“我们了解到，今天被捕的其中一人确实是去年春天袭击Colonial Pipeline的责任人。”一名白宫高级官员周五告诉记者。这表明此人不仅为REvil干活，而且还为DarkSide工作，因为正是勒索软件行动为针对Colonial Pipeline的攻击立下了汗马功劳，该管道运送东海岸约45%的汽油和其他燃料供应。

Colonial Pipeline向DarkSide支付了价值440万美元的比特币赎金，其中约300万美元可能会流向其附属公司，以证明单次勒索软件攻击是多么有利可图。但在其后，FBI设法收回了大约一半的加密货币。

8名嫌疑人还押候审

据俄罗斯通讯社（又名塔斯社）报道，至少8名REvil嫌疑人现已被捕并出现在莫斯科Tverskoi地方法院，他们已被还押候审。

一名法院代表告诉塔斯社：“总的来说，法院有八个人的材料。”

随着警方调查的继续，法院下令将嫌疑人拘留两个月。

包括塔斯社和路透社在内的多家新闻机构已经透露了这八名嫌疑人的名字。：

安德烈·贝索诺夫（Andrey Bessonov）
米哈伊尔·戈洛瓦丘克（Mikhail Golovachuk）
鲁斯兰·汗斯维亚罗夫（Ruslan Khansvyarov）
德米特里·科罗塔耶夫（Dmitry Korotayev）
阿列克谢·马洛泽莫夫（Alexei Malozemov）
罗曼·穆罗姆斯基（Roman Muromsky）
丹尼尔·普济列夫斯基（Daniil Puzyrevsky）
阿尔乔姆·扎耶茨（Artyom Zayets）

FSB表示，这次逮捕行动部分归功于美国政府分享的情报。

拜登政府周五表示，将继续通过去年6月成立的“白宫-克里姆林宫专家组”与莫斯科分享情报。

这位白宫高级官员周五告诉记者，“我们的期望是，俄罗斯……将在其自身系统内针对这些罪犯……所犯下的罪行采取法律行动”，并“预防未来的罪行”。

至少到目前为止，嫌疑人还没有被指控黑客攻击，而是被指控洗钱。专家表示，目前还不清楚是否可以对俄罗斯人涉及外国实体的涉嫌犯罪提出黑客指控。

俄罗斯不会引渡其公民以面对在国外提出的指控。

嫌疑人的细节不足

总部位于纽约的威胁情报公司Advanced Intelligence的研究主管、网络安全专家Yelisey Boguslavskiy告诉美联社，尽管这些逮捕代表了对REvil的前所未有的打击，但许多嫌疑人可能是较低级别的参与者。

联邦调查局对叶夫杰尼·波利亚宁的通缉令
值得注意的是，到目前为止，28岁的俄罗斯人叶夫根尼·波利亚宁（Yevgyeniy Polyanin）没有出现在嫌疑人名单中，美国检察官在去年11月公布对他的起诉书时说，他“据信在俄罗斯”，可能在俄罗斯巴尔瑙尔市。

在其他指控中，Polyanin被指控为REvil的附属机构，该附属机构于2019年通过其IT托管服务提供商针对德克萨斯州的22个城市开展攻击。

Aleksandr Sikerin也没有出现在迄今为止点名的嫌疑人名单中，去年8月，联邦调查局从他身上缴获了39.9个比特币——截至周一，价值170万美元——据称他是在作为REvil的附属机构工作时积累的。美国司法部表示，Sikerin的最后一个已知地址是在俄罗斯的圣彼得堡。

但无论被捕嫌疑人在REvil中扮演什么角色，专家都表示，他们的逮捕是朝着正确方向迈出的一步。

思科Talos威胁情报和拦截主管Matt Olney说：“虽然我们仍在寻求了解这些逮捕的真正影响，但我们对俄罗斯政府采取的行动表示赞赏。”

重大打击行动于2021年春季开始

REvil作为GandCrab行动的一个分支于2019年4月首次亮相，并迅速成为勒索软件领域的佼佼者。

但去年春天，西方政府对破坏勒索软件的关注开始加强，白宫成立了一个新的特别工作组来追踪、打击和破坏此类攻击。

白宫还开始对使用勒索软件的犯罪分子所在的国家施加更大的外交压力。去年5月，Conti行动袭击了爱尔兰的国家卫生服务部门并中断了数月的病人护理，随后DarkSide扰乱了Colonial Pipeline并引发了对燃料的恐慌性购买，以及REvil袭击了JBS——以及其他许多攻击，西方政府发起了已经成为国际打击的行动。

去年6月，在日内瓦举行的一次峰会上，美国总统乔·拜登警告俄罗斯总统弗拉基米尔·普京，除非莫斯科打击在其境内活动的网络犯罪分子，否则白宫将自行处理此事。事实上，美国和至少一个盟友似乎也开始直接针对REvil使用的基础设施，该组织去年7月遭受了一次故障，去年9月再次遭受故障，之后该组织似乎最终永远消失了。

分布式生态系统

然而，破坏勒索软件的一个挑战是，群体不能作为以严格、分层的方式组织的独立实体发挥作用。相反，它们主要由关联松散的承包商（即附属机构）组成。

例如，在REvil采用的勒索软件即服务业务模式（RASS）中，专家表示，一个由运营者和开发人员组成的核心团队（可能有7人）维护恶意软件，然后将其提供给经过预先审查的附属机构。每次附属机构感染受害者并且受害者付款时，附属机构都会获得60%的赎金，在3次成功感染后上升到70%。

但去年REvil在暗网犯罪中的声誉受到了重大打击。正如Advanced Intelligence的Boguslavskiy报道的那样，为Exploit网络犯罪论坛工作的逆向工程专家分析了REvil的恶意软件样本。他说，专家报告称，截至2021年7月，他们在REvil样本中发现了一个后门，这将使他们能够将附属机构排除在受害者谈判之外，因此运营商可以为自己保留100%的任何赎金。

尽管现在REvil品牌似乎已被完全摧毁，但没有什么能阻止核心运营者以不同的名称重新启动。尽管如果他们这样做，他们将面临俄罗斯政府的不确定反应，尤其是在当前的地缘政治环境下。

“俄罗斯勒索软件外交”

事实上，一些网络安全专家怀疑，随着俄罗斯继续在乌克兰边境集结军队，逮捕REvil的时机可能并非巧合。

“这是俄罗斯的勒索软件外交。这是向美国发出的一个信号：如果你不对我们入侵乌克兰实施严厉制裁，我们将继续与你合作进行勒索软件调查，”Silverado Policy Accelerator主席Dmitri Alperovitch在推特上说，他曾担任网络安全公司CrowdStrike的CTO。

“我怀疑美国政府不会咬人。”他补充道。

目前尚不清楚FSB在逮捕嫌疑人之前可能已经监视了多长时间。但Advanced Intelligence的Boguslavskiy表示，至少从2021年春季开始，关于暗网犯罪的讨论表明，FSB对一些勒索软件组织（包括Avaddon、Darkside、Have和BlackMatter）施加了越来越大的压力。

“例如，与Avaddon团伙有直接关联的知名黑客声称，是FSB的直接压力迫使该组织释放安全密钥。”他说，值得注意的是，该组织不仅在去年6月为所有受害者发布了解密密钥，而且还宣布退出。

专家表示，此前，在国内活动的俄罗斯网络犯罪分子似乎仍然不受起诉，只要他们从未在俄罗斯或其盟国（包括独立国家联合体的其他成员）积累受害者，并且偶尔也会为俄罗斯执法或情报机构提供帮助。

但是随着上周宣布的逮捕行动，这种情况似乎已经发生了变化，俄罗斯政府现在正在等待干掉多名REvil嫌疑人。

“他们根本不在乎这些家伙，”Alperovitch说。“他们不是安全部门的成员，他们不是寡头，他们与普京并不亲近，他们是被利用和丢弃的棋子。”

白宫表示，它不认为逮捕疑似REvil成员与俄罗斯在乌克兰边境集结军队有任何联系，也不认为上周四多个乌克兰政府网站被污损以及有迹象表明它们可能也是破坏性恶意软件的目标。

“在我们看来，这与俄罗斯和乌克兰发生的事情无关。”这位白宫高级官员周五对记者说。

这位官员补充说：“我不谈克里姆林宫的动机，但我们对这些初步行动感到满意。我们也很清楚：如果俄罗斯进一步入侵乌克兰，我们将与我们的盟友和伙伴协调，让俄罗斯付出沉重的代价。”