Theo tin từ Reuters, dẫn nguồn từ một cựu quan chức trong lĩnh vực tội phạm có tổ chức và 3 chuyên gia mạng khu vực tư nhân, cộng tác viên của các cơ quan thực thi pháp luật Mỹ cho biết, đây là kết quả của một chiến dịch tấn công không gian ảo có sự tham gia của các cơ quan thực thi pháp luật từ nhiều quốc gia.
Nhiều chuyên gia an ninh mạng, làm việc với các cơ quan tình báo đã tiến hành chiến dịch đột nhập vào cơ sở hạ tầng mạng của Revil, chiếm quyền kiểm soát các máy chủ của nhóm tội phạm này và ngắt kết nối mạng.
Tom Kellermann, lãnh đạo chiến lược an ninh mạng tại Vmware, cố vấn Cơ quan Mật vụ Mỹ về điều tra tội phạm mạng cho biết, FBI phối hợp với Bộ Tư lệnh Không gian mạng Quân đội Mỹ, Cơ quan Mật vụ và các cơ quan tình báo, an ninh mạng các quốc gia đồng minh liên kết phối hợp tiến hành " các chiến dịch phá hoại công nghệ chống lại các nhóm tin tặc mà REvil đứng đầu danh sách”.
Tuần trước, trên một diễn đàn tội phạm mang, admin REvil "0_neday" viết, một kẻ không xác định đã chiếm quyền kiểm soát trang web rò rỉ dữ liệu và cổng thanh toán Tor của nhóm. 0_neday cho biết: "Máy chủ đã bị xâm phạm và họ đang tìm kiếm tôi".
0_neday giải thích, anh ta và nickname " Unknown " - một thành viên hàng đầu trong nhóm tội phạm là hai thành viên duy nhất có mã khóa miền của REvil. 0_neday nhấn mạnh rằng, miền của REvil được truy cập bằng các mã khóa "không xác định".
Unknown biến mất vào tháng 7/2021, khoảng thời gian REvil lần đầu tiên bị ngắt mạng. Các thành viên khác trong nhóm tội phạm cho rằng hacker đã chết. Trang công nghệ The Record cho biết Unknown đánh cắp tất cả tiền của nhóm và đóng các máy chủ trước khi biến mất khỏi nhóm, khiến REvil không thể thanh toán cho những chi nhánh khác trên thế giới.
Nhóm tội phạm mạng hoạt đông trở lại vào tháng 9 , ngoại trừ Unknown, sử dụng tất cả những cơ sở hạ tầng máy chủ như trước đây.
Đầu tháng 7, REvil sử dụng lỗi zero-day trong công cụ quản lý từ xa VSA của Kaseya mã hóa khoảng 60 nhà cung cấp dịch vụ quản lý và hơn 1.500 doanh nghiệp vừa và nhỏ khách hàng trong một cuộc tấn công quy mô lớn đòi tiền chuộc vào chuỗi cung ứng.
Nhóm tin tặc tội phạm cũng sử dụng phần mềm mã hóa Darkside tấn công Colonial Pipeline. Các quan chức thực thi pháp luật cho rằng, các thành viên của nhóm Revil đã viết các code Darkside.
Tháng 7, vài ngày sau khi tấn công Kaseya, REvil biến mất khỏi internet, tắt tài khoản các diễn đàn, ngắt kết nối máy chủ và tắt sự hiện diện trên dark web. Các chuyên gia cho rằng, chính phủ Nga đã buộc nhóm này ngừng hoạt động.
Tháng 9, hệ thống máy chủ dark web thuộc REvil hoạt động trở lại, các chuyên gia an ninh mạng lo ngại, nhóm tin tặc đang chuẩn bị cho các cuộc tấn công mới .
Reuters, dẫn lời các chuyên gia mạng khu vực tư nhân cho biết, 0_neday và cộng sự khôi phục một số trang web của nhóm từ bản sao lưu tháng 9, nhưng khởi động lại nhầm một số hệ thống nội bộ, nằm trong quyền kiểm soát của các cơ quan thực thi pháp luật.
Oleg Skulkin, phó trưởng phòng điều tra số tại công ty bảo mật Group-IB Nga cho biết: “REvil khôi phục cơ sở hạ tầng từ những bản sao lưu, cho rằng những bảo sao này không bị hack. Nhưng chiến thuật yêu thích của nhóm tin tặc, hack vào bản sao lưu để tấn công các hệ thống bảo mật đã chống lại chính chúng."
Thành công bắt nguồn từ quyết tâm của Phó Tổng chưởng lý Mỹ Lisa Monaco khi tuyên bố rằng, những cuộc tấn công ransomware vào cơ sở hạ tầng quan trọng của quốc gia được coi là một vấn đề an ninh quốc gia tương tự như khủng bố.
