Nhóm mã độc tống tiền REvil liệu có hoạt động trở lại?

Nhóm hacker khét tiếng REvil có dấu hiệu trở lại sau khi nhiều thành viên tình nghi bị bắt tại Nga.

2 tài khoản Twitter nghiên cứu an ninh mạng là pancak3 (@pancak3lullz) và Soufiane Tahiri (@S0ufi4n3) phát hiện ra diễn đàn dark web Nga RuTOR đăng quảng cáo về trang web REvil sử dụng để khoe chiến tích và công khai dữ liệu đánh cắp được từ nạn nhân. 

Tuy nhiên, không phải tất cả các nhà nghiên cứu bảo mật đều tin rằng REvil đã quay trở lại.

Nhà phân tích nguy cơ Doel Santos từ Unit 42 thuộc công ty an ninh mạng Palo Alto Networks cho biết: “Chưa có thông tin nào chính thức xác nhận rằng đây là nhóm REvil gốc, tuy việc blog gốc của nhóm này chuyển hướng sang một tên miền mới có thể làm mọi người kết luận như vậy… Nếu nhóm này không phải là nhóm gốc thì cũng không phải là chuyện bất ngờ.” 

Một số cá nhân và tổ chức tội phạm mạng từng dùng cái tên REvil để đe dọa nạn nhân và ép họ trả tiền chuộc. Unit 42 đang “tiếp tục giám sát tình hình”, nhưng chưa phát hiện ra dấu hiệu REvil quay trở lại, đặc biệt là sau khi nhiều thành viên tình nghi bị bắt giữ và hạ tầng của nhóm này dừng hoạt động. 

Phó chủ tịch cao cấp về thông tin của CrowdStrike là Adam Meyers cũng có thái độ nghi ngờ tương tự ông Santos. CrowdStrike chưa xác định được mẫu mã độc mới nào từ REvil hay có bằng chứng trang web rò rỉ dữ liệu mới mang tên nhóm này được các thành viên gốc điều hành. Thêm vào đó, chưa có giao dịch Bitcoin mới nào có liên quan đến ví điện tử của REvil.  

Ông Nick Biasini từ Cisco Talos nói rằng dấu hiệu liên quan đến REvil là một ví dụ khác của mô thức biến mất - trở lại thường thấy ở các nhóm hacker mã độc tống tiền. Theo ông Biasini, nghiên cứu của Cisco Talos về nhóm hacker BlackCat cho thấy một nhóm như vậy có thể “đổi thương hiệu” khi sức ép từ cơ quan thực thi pháp luật hoặc các nguồn khác trở nên quá lớn. 

REvil, còn có tên khác là Sodinokibi, từng là một trong những nhóm mã độc tống tiền hoạt động mạnh nhất và thu hút sự chú ý nhiều nhất trong lịch sử. Danh sách nạn nhân của REvil bao gồm các nhà thầu liên quan đến quốc phòng của Mỹ cho đến những công ty quản lý dịch vụ IT lớn như Kaseya. 

Cơ quan an ninh Nga đã bắt giữ thành viên của REvil và ngừng hoạt động hạ tầng của nhóm này theo yêu cầu của nhà chức trách Mỹ, vốn gây sức ép với chính phủ Nga xung quanh vấn đề nhiều nhóm hacker hoạt động tại Nga tấn công nước Mỹ và nhiều doanh nghiệp quốc tế khác.

Tùng Phong (Theo The Register)