/ / REvil Ransomware quay trở lại, đây là việc cần làm

REvil Ransomware quay trở lại, đây là việc cần làm

REvil, một hoạt động Ransomware-as-a-Service (RaaS) đáng gờm lần đầu tiên xuất hiện vào cuối tháng 4 năm 2019, đã quay trở lại. Sau sáu tháng không hoạt động – sau cuộc đột kích của chính quyền Nga – nhóm ransomware dường như đã hoạt động trở lại.

Phân tích các mẫu ransomware mới cho thấy nhà phát triển có quyền truy cập vào mã nguồn của REvil, có nghĩa là nhóm mối đe dọa đã tái xuất hiện. Những nghi ngờ này càng được củng cố khi trang web của nhóm ransomware khởi động lại trên dark web.

LÀM VIDEO TRONG NGÀY

Chúng ta đã thấy nhiều nhóm ransomware trước đây, nhưng điều gì khiến REvil trở nên đặc biệt? Sự trở lại của nhóm có ý nghĩa gì đối với thế giới mạng? Hãy cùng tìm hiểu!

Điều gì làm cho REvil Ransomware trở nên độc đáo?

REvil đã tạo dựng được danh tiếng khi theo đuổi các mục tiêu cao cấp và sinh lợi cao, đồng thời đòi các nạn nhân của nó phải trả những khoản tiền cắt cổ. Đây cũng là một trong những nhóm đầu tiên áp dụng chiến thuật tống tiền kép, trong đó họ lấy cắp dữ liệu của nạn nhân và mã hóa nó.

Kế hoạch ransomware tống tiền kép cho phép REvil yêu cầu hai khoản tiền chuộc để đạt được lợi nhuận tài chính cao. Trong một cuộc phỏng vấn với OSINT của Nga, các nhà phát triển nhóm tuyên bố họ đã kiếm được hơn 100 triệu đô la trong một năm bằng cách nhắm mục tiêu vào các doanh nghiệp lớn. Tuy nhiên, chỉ một phần nhỏ trong số đó thuộc về các nhà phát triển, trong khi các chi nhánh nhận được phần lớn.


Các cuộc tấn công REvil Ransomware chính

Nhóm ransomware REvil đã đứng sau một số cuộc tấn công ransomware lớn nhất năm 2020-21. Tập đoàn lần đầu tiên được chú ý vào năm 2020 khi tấn công Travelex, cuối cùng dẫn đến sự sụp đổ của công ty. Năm sau, REvil bắt đầu gây chú ý bằng cách dàn dựng các cuộc tấn công mạng sinh lợi cao làm gián đoạn cơ sở hạ tầng công cộng và chuỗi cung ứng.

Nhóm này đã tấn công các công ty như Acer, Quanta Computer, JBS Foods, và nhà cung cấp phần mềm và quản lý CNTT Kaseya. Nhóm này có thể có một số mối liên hệ với vụ tấn công Đường ống Thuộc địa khét tiếng, làm gián đoạn chuỗi cung ứng nhiên liệu ở Mỹ.

Sau cuộc tấn công bằng ransomware Kaseya REvil, nhóm đã im lặng trong một thời gian để giảm bớt sự chú ý không mong muốn mà nhóm đã tự gây ra. Có nhiều suy đoán rằng nhóm đang lên kế hoạch cho một loạt cuộc tấn công mới vào mùa hè năm 2021, nhưng cơ quan thực thi pháp luật đã có kế hoạch khác cho những người điều hành REvil.

Day of Reckoning cho REvil Cyber ​​Gang

Khi băng đảng ransomware khét tiếng nổi lên để thực hiện các cuộc tấn công mới, họ nhận thấy cơ sở hạ tầng của mình bị xâm phạm và quay sang chống lại chúng. Vào tháng 1 năm 2022, cơ quan an ninh nhà nước Nga FSB thông báo họ đã làm gián đoạn hoạt động của nhóm theo yêu cầu của Hoa Kỳ.

Một số thành viên băng đảng đã bị bắt và tài sản của họ bị tịch thu, bao gồm hàng triệu đô la Mỹ, euro và rúp, cũng như 20 xe hơi sang trọng và ví tiền điện tử. Các vụ bắt giữ ransomware REvil cũng được thực hiện ở Đông Âu, bao gồm cả Ba Lan, nơi các nhà chức trách bắt giữ một nghi phạm trong vụ tấn công Kaseya.

Sự sụp đổ của REvil sau vụ bắt giữ các thành viên chủ chốt của nhóm đương nhiên được hoan nghênh trong cộng đồng an ninh, và nhiều người cho rằng mối đe dọa đã hoàn toàn biến mất. Tuy nhiên, cảm giác nhẹ nhõm chỉ tồn tại trong thời gian ngắn vì băng đảng này hiện đã bắt đầu hoạt động trở lại.


Sự trỗi dậy của REvil Ransomware

Các nhà nghiên cứu từ Secureworks đã phân tích một mẫu phần mềm độc hại từ tháng 3 và gợi ý rằng băng nhóm này có thể hoạt động trở lại. Các nhà nghiên cứu nhận thấy rằng nhà phát triển có thể có quyền truy cập vào mã nguồn ban đầu được REvil sử dụng.

Tên miền được sử dụng bởi trang web rò rỉ REvil cũng đã bắt đầu hoạt động trở lại, nhưng hiện nó chuyển hướng khách truy cập đến một URL mới nơi hơn 250 tổ chức nạn nhân của REvil được liệt kê. Danh sách này có sự kết hợp giữa các nạn nhân cũ của REvil và một số mục tiêu mới.

Oil India – một công ty kinh doanh xăng dầu của Ấn Độ – là nạn nhân nổi bật nhất trong số các nạn nhân mới. Công ty đã xác nhận việc vi phạm dữ liệu và được đáp ứng yêu cầu tiền chuộc 7,5 triệu đô la. Trong khi cuộc tấn công gây ra suy đoán rằng REvil đang tiếp tục hoạt động, vẫn có những câu hỏi về việc liệu đây có phải là một hoạt động bắt chước hay không.

Cách duy nhất để xác nhận sự trở lại của REvil là tìm một mẫu mã hóa của hoạt động ransomware và xem liệu nó có được biên dịch từ mã nguồn ban đầu hay không.

Vào cuối tháng 4, nhà nghiên cứu Jakub Kroustek của Avast đã phát hiện ra trình mã hóa ransomware và xác nhận nó thực sự là một biến thể REvil. Mẫu không mã hóa tệp nhưng đã thêm một phần mở rộng ngẫu nhiên vào tệp. Các nhà phân tích bảo mật cho biết đây là lỗi do các nhà phát triển ransomware giới thiệu.

Nhiều nhà phân tích bảo mật đã tuyên bố rằng mẫu ransomware mới liên quan đến mã nguồn ban đầu, có nghĩa là ai đó từ băng đảng — ví dụ, một nhà phát triển cốt lõi — phải có liên quan.

Thành phần của REvil’s Group

Sự xuất hiện trở lại của REvil sau vụ bắt giữ được cho là vào đầu năm nay đã đặt ra câu hỏi về thành phần của nhóm và mối quan hệ của nó với chính phủ Nga. Băng đảng này chìm trong bóng tối do chính sách ngoại giao thành công của Mỹ trước khi bắt đầu xung đột Nga-Ukraine.

Đối với nhiều người, sự trỗi dậy bất ngờ của nhóm này cho thấy Nga có thể muốn sử dụng nó như một hệ số nhân lực trong những căng thẳng địa chính trị đang diễn ra.

Vì vẫn chưa xác định được cá nhân nào nên vẫn chưa rõ ai đứng sau hoạt động này. Đây có phải là những cá nhân đã điều hành các hoạt động trước đó hay đã được một nhóm mới tiếp quản?

Thành phần của nhóm điều khiển vẫn còn là một bí ẩn. Nhưng với việc bị bắt hồi đầu năm nay, nhiều khả năng nhóm này có thể có một số nhà điều hành trước đây không phải là thành viên của REvil.

Đối với một số nhà phân tích, không có gì lạ khi các nhóm ransomware đi xuống và xuất hiện lại ở các dạng khác. Tuy nhiên, không thể loại trừ hoàn toàn khả năng ai đó lợi dụng danh tiếng của thương hiệu để tạo chỗ đứng.

Bảo vệ chống lại các cuộc tấn công của Ransomware REvil

Vụ bắt giữ kingpin của REvil là một ngày quan trọng đối với an ninh mạng, đặc biệt là khi các nhóm ransomware đang nhắm vào mọi thứ, từ các cơ sở công cộng đến bệnh viện và trường học. Nhưng như đã thấy với bất kỳ sự gián đoạn nào đối với hoạt động tội phạm trực tuyến, điều đó không có nghĩa là sự kết thúc của đại dịch ransomware.

Mối nguy hiểm trong trường hợp REvil là âm mưu tống tiền kép, trong đó nhóm sẽ cố gắng bán dữ liệu của bạn và làm hoen ố hình ảnh của thương hiệu và các mối quan hệ với khách hàng.

Nói chung, một chiến lược tốt để chống lại các cuộc tấn công như vậy là bảo mật mạng của bạn và tiến hành các thử nghiệm mô phỏng. Một cuộc tấn công ransomware thường xảy ra do các lỗ hổng chưa được vá và các cuộc tấn công mô phỏng có thể giúp bạn xác định chúng.

Một chiến lược giảm thiểu quan trọng khác là xác minh mọi người trước khi họ có thể truy cập vào mạng của bạn. Do đó, chiến lược không tin cậy có thể có lợi vì nó hoạt động trên nguyên tắc cơ bản là không bao giờ tin tưởng bất kỳ ai và xác minh mọi người dùng và thiết bị trước khi cấp cho họ quyền truy cập vào tài nguyên mạng.

Bài viết liên quan:

  1. Cách sửa lỗi Runtime trong Windows 11
  2. Bản lề so với Tinder: Cái nào tốt hơn?
  3. 6 ứng dụng iPhone miễn phí và thú vị để sử dụng với tai nghe VR
  4. Hương Đập Cho Nhật Một Trận Vì Giám Tự Ý Dùng Đồ Của Mình

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *