REvil, nhóm tin tặc phát tán mã độc tống tiền khét tiếng đứng đằng sau một loạt vụ tấn công mạng trong những năm gần đây có vẻ đã tiếp tục ẩn mình chỉ hơn một tháng sau khi nhóm tin tặc lên kế hoạch tái xuất bất ngờ sau 2 tháng gián đoạn.
Sự kiện này lần đầu được phát hiện bởi chuyên gia Dmitry Smilyanets của công ty bảo mật Recorded Future’s sau khi một thành viên của nhóm REvil, đăng trên forum chuyên về hack XSS rằng ai đó đã chiếm quyền kiểm soát cổng thanh toán trên Tor và trang web rò rỉ dữ liệu của nhóm này.
“Máy chủ đã bị xâm nhập và họ đang tìm tôi. Chính xác là họ đã xóa đường dẫn tới dịch vụ ẩn của tôi trong thư mục torcc và tạo đường dẫn riêng của họ để tôi đến đó. Tôi đã kiểm tra những người khác, điều này không xảy ra với họ, tôi sẽ ẩn đi, chúc mọi người may mắn”, người dùng 0_neday viết trong bài đăng của mình.
Dựa theo bài đăng thì chưa thể xác định rõ ràng ai đứng đằng sau việc xâm nhập máy chủ của REvil, tuy nhiên cũng sẽ không có gì bất ngờ nếu các cơ quan hành pháp đóng vai trò trong việc đánh sập máy chủ của nhóm này.
Nhóm tin tặc ransomware có liên kết với Nga đã thu hút sự chú ý rất lớn sau khi tấn công vào JBS và Kaseya vào đầu năm nay, khiến cho họ phải tạm thời ngưng hoạt động các trang web darknet của họ vào tháng 7/2021. Nhưng vào tháng 9/2021, REvil bất ngờ tái xuất, mở lại hoạt động cả trang web rò rỉ dữ liệu của họ lẫn các cổng thanh toán.
Vào tháng trước, tờ Washington Post đưa tin rằng Cục điều tra liên bang Mỹ FBI đã trì hoãn việc chia sẻ thông tin giải mã mà họ lấy được sau khi xâm nhập máy chủ của nhóm này với Kaseya trong gần ba tuần, như là một phần để làm gián đoạn hoạt động của nhóm này. “Kế hoạch đánh sập của FBI cuối cùng đã không xảy ra vì vào giữa tháng 7 REvil đã tạm ngưng hoạt động mà không hề có sự can thiệp của chính phủ Mỹ, và các hacker biến mất trước khi FBI có cơ hội thực hiện kế hoạch”, bài báo cho hay.
Cuối cùng, công ty an ninh mạng của Romania Bitdefender đã chia sẻ công cụ giải mã vào cuối tháng 7 sau khi có được chìa khóa ảo từ một “đối tác thực thi pháp luật”.
Mặc dù không có gì lạ khi các nhóm tin tặc phát triển, chia nhỏ hoặc tổ chức lại dưới tên mới, việc phạm tội đang càng ngày thu hút nhiều sự chú ý khi các hacker tấn công vào các cơ sở hạ tầng quan trọng. Các tội phạm mạng đang dần nhận ra lợi nhuận từ việc phát tán mã độc tống tiền https://cystack.net/vi/blog/ransomware-la-gi, một phần được hỗ trợ bởi các loại tiền ảo không bị kiểm soát, điều này giúp cho các tin tặc có thể tống tiền nạn nhân thanh toán qua tiền ảo mà không bị trừng phạt.
Theo Thehackernews
