美国司法部宣布，涉嫌 REvil 勒索软件附属机构 Yaroslav Vasinskyi 上周被引渡到美国接受 Kaseya 网络攻击的审判。

Vasinkyi 是一名 22 岁的乌克兰国民，于 2021 年 11 月因 作为 REvil 成员的网络犯罪活动进入波兰时被捕。

Vasinkyi 被认为是 REvil 勒索软件附属机构，其任务是破坏全球企业网络，窃取未加密数据，然后加密网络上的所有设备。

Vasinkyi 被捕后不久，美国司法部宣布他应对针对 托管服务提供商Kaseya 的勒索软件攻击负责，该攻击影响了全球数千家公司。

“在据称对 Kaseya 的攻击中，Vasinskyi 导致在整个 Kaseya 产品中部署恶意 Sodinokibi/REvil 代码，导致 Kaseya 生产功能将 REvil 勒索软件部署到 Kaseya 客户网络的“端点”，” 美国司法部的公告解释说。

“在建立对 Kaseya 端点的远程访问后，勒索软件在这些计算机上执行，导致世界各地使用 Kaseya 软件的组织的计算机上的数据加密。”

REvil 操作（又名 Sodinokibi） 要求 7000 万美元用于解密 Kaseya 的所有受影响客户的解密密钥。然而，在  执法行动获得对勒索软件行动服务器的访问权限后， FBI 收到了解密密钥。

Vasinskyi 被认为是 REvil 的长期附属机构之一，参与了至少 9 次已确认的针对美国公司的勒索软件攻击

在他被捕后公开的 起诉书 证实了 11 项罪名，将它们与针对北美公司的不同攻击联系起来。

瓦辛斯基现在因其行为而面临的指控如下：

• 共谋实施与计算机有关的欺诈和相关活动
• 故意损坏受保护的计算机
• 串谋洗钱

如果所有罪名成立，瓦辛斯基将被判处总计 115 年监禁。此外，他还将没收所有财产和金融资产。

过去被勒索软件攻击的 MSP

托管服务提供商使用专门的软件远程管理其客户的网络，包括推出补丁、执行远程支持和管理 Windows 域。

自 GandCrab 勒索软件操作及其继任者 REvil 启动以来，一家附属公司一直通过使用 MSP 平台加密目标 MSP 的客户来展示其在 MSP 平台方面的专业知识。

这种专业知识导致  使用他们使用的专业软件（包括 Kaseya、ConnectWise 和 WebRoot  MSP 平台）对托管服务提供商进行成功的攻击。

Kaseya 攻击使用了以前未知的零日漏洞和对系统如何工作的深入了解，这可能表明同一关联公司也是这次攻击的幕后黑手。

如果 Vasinskyi 是这个附属机构，那么他的被捕和可能的监禁对 MSP 行业来说是一个福音，现在该行业少了一个需要担心的威胁行为者。

REvil陷入困境

Vasinkyi 案对美国司法和执法部门来说是成功的，特别是考虑到乌克兰目前与美国没有引渡条约。

然而，他只是众多 REvil 附属机构之一，几乎可以肯定他不是  臭名昭著的 RaaS（勒索软件即服务）团伙核心团队的一员。

2021 年 11 月 4 日，  在欧洲刑警组织和国际刑警组织协调的国际执法行动中，两名涉嫌 REvil 关联公司在罗马尼亚和科威特被捕。

2022 年 1 月 15 日，联邦安全局 (FSB) 宣布逮捕 了 14 名 REvil 嫌疑人，但仍 假定主要运营商是 自由的。

虽然 REvil 勒索软件操作已关闭，但未来将其核心成员或附属机构重新命名为新操作也就不足为奇了。