--Quảng cáo---
--Quảng cáo---

Một chiến dịch tấn công đa quốc gia đã đánh sập các máy chủ nhóm tội phạm ransomware Revil

THÁI BẰNG - 13:00 27/10/2021

Ngày 23/10, một thành viên của nhóm tội phạm mạng ransomware Revil cho biết, cơ sở hạ tầng Revil bị tấn công, một nhóm hacker đã đột nhập vào những máy chủ của nhóm, ngắt kết nối và ngăn chặn hoạt động của nhóm tội phạm này.

Theo tin từ Reuters, dẫn nguồn từ một cựu quan chức trong lĩnh vực tội phạm có tổ chức và 3 chuyên gia mạng khu vực tư nhân, cộng tác viên của các cơ quan thực thi pháp luật Mỹ cho biết, đây là kết quả của một chiến dịch tấn công không gian ảo có sự tham gia của các cơ quan thực thi pháp luật từ nhiều quốc gia.

Nhiều chuyên gia an ninh mạng, làm việc với các cơ quan tình báo đã tiến hành chiến dịch đột nhập vào cơ sở hạ tầng mạng của Revil, chiếm quyền kiểm soát các máy chủ của nhóm tội phạm này và ngắt kết nối mạng.

hacker.jpg

Tom Kellermann, lãnh đạo chiến lược an ninh mạng tại Vmware, cố vấn Cơ quan Mật vụ Mỹ về điều tra tội phạm mạng cho biết, FBI phối hợp với Bộ Tư lệnh Không gian mạng Quân đội Mỹ, Cơ quan Mật vụ và các cơ quan tình báo, an ninh mạng các quốc gia đồng minh liên kết phối hợp tiến hành " các chiến dịch phá hoại công nghệ chống lại các nhóm tin tặc mà REvil đứng đầu danh sách”.

Tuần trước, trên một diễn đàn tội phạm mang, admin REvil "0_neday" viết, một kẻ không xác định đã chiếm quyền kiểm soát trang web rò rỉ dữ liệu và cổng thanh toán Tor của nhóm. 0_neday cho biết: "Máy chủ đã bị xâm phạm và họ đang tìm kiếm tôi".

0_neday giải thích, anh ta và nickname " Unknown " - một thành viên hàng đầu trong nhóm tội phạm là hai thành viên duy nhất có mã khóa miền của REvil. 0_neday nhấn mạnh rằng, miền của REvil được truy cập bằng các mã khóa "không xác định".

Unknown biến mất vào tháng 7/2021, khoảng thời gian REvil lần đầu tiên bị ngắt mạng. Các thành viên khác trong nhóm tội phạm cho rằng hacker đã chết. Trang công nghệ The Record cho biết Unknown đánh cắp tất cả tiền của nhóm và đóng các máy chủ trước khi biến mất khỏi nhóm, khiến REvil không thể thanh toán cho những chi nhánh khác trên thế giới.

Nhóm tội phạm mạng hoạt đông trở lại vào tháng 9 , ngoại trừ Unknown, sử dụng tất cả những cơ sở hạ tầng máy chủ như trước đây.

Đầu tháng 7, REvil sử dụng lỗi zero-day trong công cụ quản lý từ xa VSA của Kaseya mã hóa khoảng 60 nhà cung cấp dịch vụ quản lý và hơn 1.500 doanh nghiệp vừa và nhỏ khách hàng trong một cuộc tấn công quy mô lớn đòi tiền chuộc vào chuỗi cung ứng.

Nhóm tin tặc tội phạm cũng sử dụng phần mềm mã hóa Darkside tấn công Colonial Pipeline. Các quan chức thực thi pháp luật cho rằng, các thành viên của nhóm Revil đã viết các code Darkside.

Tháng 7, vài ngày sau khi tấn công Kaseya, REvil biến mất khỏi internet, tắt tài khoản các diễn đàn, ngắt kết nối máy chủ và tắt sự hiện diện trên dark web. Các chuyên gia cho rằng, chính phủ Nga đã buộc nhóm này ngừng hoạt động.

Tháng 9, hệ thống máy chủ dark web thuộc REvil hoạt động trở lại, các chuyên gia an ninh mạng lo ngại, nhóm tin tặc đang chuẩn bị cho các cuộc tấn công mới .

Reuters, dẫn lời các chuyên gia mạng khu vực tư nhân cho biết, 0_neday và cộng sự khôi phục một số trang web của nhóm từ bản sao lưu tháng 9, nhưng khởi động lại nhầm một số hệ thống nội bộ, nằm trong quyền kiểm soát của các cơ quan thực thi pháp luật.

Oleg Skulkin, phó trưởng phòng điều tra số tại công ty bảo mật Group-IB Nga cho biết: “REvil khôi phục cơ sở hạ tầng từ những bản sao lưu, cho rằng những bảo sao này không bị hack. Nhưng chiến thuật yêu thích của nhóm tin tặc, hack vào bản sao lưu để tấn công các hệ thống bảo mật đã chống lại chính chúng."

Thành công bắt nguồn từ quyết tâm của Phó Tổng chưởng lý Mỹ Lisa Monaco khi tuyên bố rằng, những cuộc tấn công ransomware vào cơ sở hạ tầng quan trọng của quốc gia được coi là một vấn đề an ninh quốc gia tương tự như khủng bố.


(0) Bình luận
Nổi bật Khoa học & Đời sống
Tự ý sử dụng không đúng chỉ định, thuốc Molnupiravir gây nhiều tác hại
Khỏe- An Quý - 06:30 08/12/2021
Từ vài triệu đến 10 triệu đồng, người dân có thể mua được thuốc điều trị Covid-19, như Molnupiravir hay Favipiravir, trên các mạng xã hội, facebook hay zalo. Nhiều nơi cam kết “hàng Thổ, giá đẹp.” hay hàng xách tay từ Nga về, “hàng Ấn sản xuất”…
--Quảng cáo---
--Quảng cáo---
--Quảng cáo---