REvil, tập đoàn ransomware khét tiếng đứng sau một số cuộc tấn công mạng lớn nhất nhắm vào JBS và Kaseya, đã biến mất một cách bí ẩn khỏi dark web, dẫn đến những suy đoán rằng doanh nghiệp tội phạm có thể đã bị hạ gục.
Nhiều trang web darknet và clearnet do tổ chức tội phạm mạng có liên kết với Nga duy trì, bao gồm cả việc rò rỉ dữ liệu, tống tiền và các cổng thanh toán, vẫn không thể truy cập được, hiển thị thông báo lỗi “Không tìm thấy trang web nào”.
Nhóm Cơ sở hạ tầng mạng Tor trên dark web bao gồm một trang blog rò rỉ dữ liệu và 22 trang web lưu trữ dữ liệu. Không rõ ngay lập tức điều gì đã khiến cơ sở hạ tầng bị loại bỏ ngoại tuyến.
REvil là một trong những nhóm ransomware-as-a-service (RaaS) sung mãn nhất, lần đầu tiên xuất hiện trên bối cảnh mối đe dọa vào tháng 4 năm 2019. Đó là một sự phát triển của GandCrab ransomware, tấn công thị trường ngầm vào đầu năm 2018.
“Nếu REvil bị gián đoạn vĩnh viễn, nó sẽ đánh dấu sự kết thúc của một nhóm chịu trách nhiệm cho hơn 360 cuộc tấn công vào khu vực công và tư nhân của Hoa Kỳ chỉ trong năm nay”, Brett Callow của Emsisoft đã tweet.
Sự phát triển đột ngột đến gần trên quy mô rộng cuộc tấn công ransomware chuỗi cung ứng nhằm vào nhà cung cấp dịch vụ công nghệ Kaseya, mà REvil (hay còn gọi là Sodinokibi) nhận trách nhiệm và yêu cầu khoản tiền chuộc 70 triệu USD để mở khóa quyền truy cập vào các hệ thống được mã hóa để đổi lấy một khóa giải mã chung có thể mở khóa tất cả dữ liệu nạn nhân.
Cuộc tấn công thảm khốc cho thấy băng đảng ransomware mã hóa khoảng 60 nhà cung cấp dịch vụ được quản lý (MSP) và hơn 1.500 doanh nghiệp hạ nguồn bằng cách sử dụng lỗ hổng zero-day trong phần mềm quản lý từ xa Kaseya VSA. Vào cuối tháng 5, REvil cũng chủ mưu vụ tấn công vào nhà sản xuất thịt lớn nhất thế giới JBS, kết quả là trả 11 triệu đô la cho những người tống tiền để phục hồi sau sự cố.
Sự cố mất điện cũng trùng với sự kiện của Tổng thống Hoa Kỳ Joe Biden gọi điện với Tổng thống Nga Vladimir Putin vào tuần trước, thúc giục Tổng thống Nga thực hiện các bước để phá vỡ các nhóm ransomware hoạt động trong nước, đồng thời cảnh báo hành động trả đũa để bảo vệ cơ sở hạ tầng quan trọng.
“Tình hình vẫn đang diễn ra, nhưng bằng chứng cho thấy REvil đã phải chịu một kế hoạch, đồng thời gỡ xuống cơ sở hạ tầng của họ, do chính các nhà khai thác hoặc thông qua ngành hoặc hành động thực thi pháp luật”, John Hultquist của FireEye Mandiant kể lại CNBC.
Có vẻ như Blog Hạnh phúc của REvil đã được thực hiện ngoại tuyến vào khoảng 1 giờ sáng theo giờ EST vào Thứ Ba, với vx-underground lưu ý rằng đại diện công khai của nhóm, Unknown, đã không đăng trên các diễn đàn hack phổ biến như Exploit và XSS kể từ ngày 8 tháng 7.
Sau đó, một đại diện cho LockBit ransomware đã đăng đến Diễn đàn hack nói tiếng Nga của XSS rằng cơ sở hạ tầng tấn công của REvil đã nhận được yêu cầu pháp lý của chính phủ, khiến các máy chủ bị tháo dỡ. “REvil bị cấm trên XSS”, vx-underground sau đó được thêm vào.
Không có gì lạ khi các nhóm ransomware tiếp tục hoạt động sau các sự cố được công bố rộng rãi. Sau khi băng đảng DarkSide nhắm mục tiêu Colonial Pipeline vào tháng 5, các nhà điều hành công bố có kế hoạch kết thúc chương trình liên kết RaaS của mình cho tốt, tuyên bố rằng các máy chủ của họ đã bị một cơ quan thực thi pháp luật không xác định thu giữ, đặt ra câu hỏi liệu nhóm có thực sự nghỉ hưu hay được đổi tên thành một tên mới.
Lý thuyết này cuối cùng đã được chứng thực khi Bộ Tư pháp Hoa Kỳ tiết lộ tháng trước rằng nó đã có thể thu hồi phần lớn số tiền mà Colonial Pipeline đã trả cho nhóm DarkSide thông qua phân tích các đường mòn của bitcoin.
Sự đóng cửa không rõ lý do của REvil, theo cách tương tự, cũng có thể là một trường hợp nghỉ hưu theo kế hoạch hoặc một bước lùi tạm thời, buộc nó dường như chỉ giải tán để cuối cùng tập hợp lại dưới một danh tính mới để thu hút ít sự chú ý hơn, hoặc có thể là hậu quả tăng cường giám sát quốc tế trong bối cảnh cuộc khủng hoảng ransomware toàn cầu.
Nếu thực sự nhóm đã đóng cửa hoạt động vĩnh viễn, động thái này nhất định khiến các mục tiêu của nhóm bị chao đảo, không có biện pháp khả thi nào để thương lượng tiền chuộc và nắm giữ các khóa giải mã cần thiết để giành lại quyền kiểm soát hệ thống của họ, do đó vĩnh viễn khóa chúng khỏi dữ liệu của chúng.
“Tôi không biết điều này có nghĩa là gì, nhưng mặc kệ, tôi rất vui!” đã tweet Katie Nickels, giám đốc tình báo của Red Canary. “Nếu đó là một vụ gỡ xuống của chính phủ – thật tuyệt vời, họ đang hành động. Nếu các diễn viên tự nguyện im lặng – tuyệt vời, có thể họ đang sợ hãi.”
