REvil, băng đảng ransomware khét tiếng đứng sau hàng loạt cuộc tấn công mạng trong những năm gần đây đã trở lại sau hai tháng gián đoạn.
Được phát hiện lần đầu tiên bởi Dmitry Smilyanets của Recorded Future, xảy ra sau khi một thành viên liên kết với hoạt động REvil đăng trên diễn đàn hack XSS rằng các actors không xác định đã chiếm quyền kiểm soát cổng thanh toán Tor của băng đảng và trang web rò rỉ dữ liệu.
“Máy chủ đã bị xâm phạm và họ đang tìm kiếm tôi. Nói chính xác là họ đã xóa đường dẫn đến dịch vụ ẩn của tôi trong tệp torrc và nâng đường dẫn của họ lên để tôi (sic) đến đó. Tôi đã kiểm tra những người khác – điều này không. Chúc mọi người may mắn, tôi đã tắt “, người dùng 0_neday nói trong bài đăng.
Khi viết bài, không rõ chính xác ai đứng sau vụ xâm phạm máy chủ của REvil, mặc dù sẽ không hoàn toàn ngạc nhiên nếu các cơ quan thực thi pháp luật đóng một vai trò trong việc xóa tên miền.
Nhóm ransomware có liên kết với Nga đã thu hút sự giám sát lớn sau các cuộc tấn công của họ vào JBS và Kaseya vào đầu năm nay, khiến họ phải đưa các trang web darknet của mình ngoại tuyến vào tháng 7 năm 2021. Nhưng vào ngày 9 tháng 9 năm 2021, REvil đã trở lại, làm nổi lại cả vụ rò rỉ dữ liệu của trang web cũng như các cổng thanh toán và đàm phán trực tuyến trở lại.
Cục Điều tra Liên bang Hoa Kỳ (FBI) đã ngăn cản việc chia sẻ trình giải mã với các nạn nhân của cuộc tấn công Kaseya ransomware trong gần ba tuần, mà nó thu được từ việc truy cập vào các máy chủ của nhóm, như một phần của kế hoạch làm gián đoạn các hoạt động thâm độc của băng nhóm. “Kế hoạch gỡ xuống không bao giờ xảy ra vì vào giữa tháng 7, nền tảng của REvil đã hoạt động ngoại tuyến – mà không có sự can thiệp của chính phủ Mỹ – và các tin tặc đã biến mất trước khi FBI có cơ hội thực hiện kế hoạch của mình”, báo cáo cho biết thêm.
Công ty an ninh mạng Bitdefender của Romania đã chia sẻ một công cụ giải mã phổ quát vào cuối tháng 7 sau khi mua được khóa kỹ thuật số từ một “đối tác thực thi pháp luật”.
Mặc dù không có gì lạ khi các nhóm ransomware phát triển, tách rời hoặc tổ chức lại dưới những cái tên mới, nhưng lĩnh vực tội phạm ngày càng thu hút sự chú ý của các cơ sở hạ tầng quan trọng, ngay cả khi ngày càng có nhiều tội phạm mạng nhận ra lợi nhuận của ransomware , một phần được hỗ trợ bởi tiền điện tử không được kiểm soát chặt chẽ, do đó cho phép các kẻ đe dọa tống tiền nạn nhân để thanh toán kỹ thuật số mà không bị trừng phạt.
Fanpage: Trí Việt JSC (Theo thehackernews)
