Logo Zephyrnet

Nga loại bỏ Chiến dịch Ransomware REvil, Bắt giữ các thành viên chính

Ngày:

Cơ quan An ninh Liên bang Nga (FSB) đã bắt giữ các thành viên của nhóm ransomware REvil nổi tiếng theo yêu cầu của chính phủ Hoa Kỳ trong một diễn biến quan trọng đang được đón nhận với một số hoài nghi do thời điểm xảy ra giữa lúc căng thẳng địa chính trị giữa hai quốc gia.

Trong một tuyên bố, FSB cho biết họ đã bắt giữ 14 thành viên của băng đảng REvil và khám xét 25 địa chỉ có liên quan đến chúng trong một chiến dịch dẫn đến tịch thu nhiều tài sản của nhóm này. Điều này bao gồm số tiền tương đương khoảng 6.8 triệu USD bằng nhiều loại tiền tệ khác nhau, bao gồm cả tiền điện tử; 20 xe cao cấp; Thiết bị máy tính; và ví tiền điện tử mà nhóm REvil sử dụng trong hoạt động của mình.

Diễn biến này diễn ra trong bối cảnh có thông tin về một loạt các cuộc tấn công mạng ở Ukraine hôm nay đã đánh sập các trang web thuộc sở hữu của Ukraine. một số cơ quan chính phủ, bao gồm Bộ Giáo dục và Bộ Ngoại giao của đất nước. Vẫn chưa rõ liệu các đặc vụ có trụ sở tại Nga có đứng đằng sau các vụ tấn công hay không, mặc dù nhiều người cho rằng họ có thể là nghi phạm.

FSB mô tả cuộc điều tra của mình là một nỗ lực phức tạp và phối hợp dẫn đến hoạt động REvil bị phá bỏ và cơ sở hạ tầng tội phạm của nó bị vô hiệu hóa. Cuộc điều tra và triệt phá được tiến hành theo lệnh của chính quyền Hoa Kỳ, những người đã xác định kẻ cầm đầu REvil cho FSB và cung cấp thông tin chi tiết về các hoạt động ransomware của băng nhóm này nhắm vào các thực thể nước ngoài, FSB anh ấy nói. Cơ quan chức năng Mỹ đã được cung cấp đầy đủ thông tin chi tiết về hoạt động này.

Việc triệt phá REvil, ít nhất là như mô tả của chính quyền Nga, là rất có ý nghĩa vì Nga trong lịch sử luôn phủ nhận việc chứa chấp các nhóm ransomware có tổ chức và không có hành động chống lại chúng, bất chấp yêu cầu của Mỹ. Trong cuộc họp vào tháng 6 năm ngoái, Tổng thống Biden cảnh báo Nga rằng cơ sở hạ tầng quan trọng của Hoa Kỳ nằm ngoài giới hạn đối với tin tặc và kêu gọi Tổng thống Nga Vladimir Putin hành động chống lại ransomware và các nhóm tội phạm mạng khác hoạt động bên ngoài đất nước.

Hoạt động tấn công từ REvil, còn được gọi là Sodinokibi, nổi lên vào năm 2020 và cung cấp phần mềm độc hại theo mô hình ransomware dưới dạng dịch vụ cho các nhóm đe dọa khác. Phần mềm ransomware đã được sử dụng trong một số cuộc tấn công chống lại các tổ chức lớn, nhưng không có cuộc tấn công nào đáng lo ngại bằng cuộc tấn công chống lại Thực phẩm JBS vào tháng 2021 năm ngoái đã gây ra sự gián đoạn lớn trong quá trình chế biến và giao thịt ở Hoa Kỳ và Úc. Một sự cố khác gây lo ngại rộng rãi là vụ tấn công vào tháng XNUMX năm XNUMX vào kaseya, trong đó ransomware được triển khai trên hệ thống của hàng nghìn khách hàng của các nhà cung cấp dịch vụ được quản lý.

Vào tháng 11, Bộ Tư pháp Hoa Kỳ đã công bố một Phần thưởng 10 triệu đô la cho thông tin dẫn đến việc nhận dạng hoặc vị trí của các cá nhân chủ chốt trong nhóm REvil và 5 triệu USD cho thông tin dẫn đến việc bắt giữ và kết án bất kỳ chi nhánh nào.

Chủ nghĩa hoài nghi về động cơ thực sự
Một số chuyên gia an ninh hôm thứ Sáu hoan nghênh hành động của FSB và mô tả đây là một điều tốt nhìn chung.

Tuy nhiên, có một số người hoài nghi về động cơ thực sự đằng sau hành động này, vì nó diễn ra trong bối cảnh căng thẳng ngày càng tăng giữa Mỹ và Nga vì lo ngại Nga đang chuẩn bị xâm chiếm Ukraine. Các cuộc đàm phán giữa hai nước nhằm giảm leo thang tình hình ở Ukraine cho đến nay vẫn chưa đi đến đâu và ngày càng có mối lo ngại rằng xung đột trong khu vực có thể dẫn đến sự gián đoạn lớn trong quan hệ Mỹ-Nga.

Josh Lospinoso, Giám đốc điều hành, đồng sáng lập của Shift5 và là thành viên sáng lập của Shift11, cho biết: “Việc hạ bệ REvil sẽ phục vụ tốt cho Nga trong các cuộc đàm phán với Hoa Kỳ và giúp giành được sự ưu ái từ các nước phương Tây có khả năng can thiệp vào cuộc xung đột với Ukraine”. Bộ chỉ huy mạng Hoa Kỳ. “Việc trình bày công khai này cũng mang lại cho Nga sự phủ nhận chính đáng [rằng] REvil chịu trách nhiệm về vụ tấn công mạng JBS, nơi họ đã nhận được XNUMX triệu đô la tiền chuộc.”

Bằng cách hạ gục REvil, Nga gửi thông điệp rằng họ đang xem xét nghiêm túc sự tấn công dữ dội của các cuộc tấn công mạng nhằm vào cơ sở hạ tầng quan trọng. Tuy nhiên, các nhóm ransomware, đặc biệt là những nhóm làm việc trực tiếp hoặc gián tiếp với chế độ của Putin, có lịch sử hoạt động trở lại, Lospinoso nói. Ông nói: Rất có khả năng một nhóm khác sẽ xuất hiện để thay thế REvil.

Kevin Breen, giám đốc nghiên cứu mối đe dọa mạng tại Immersive Labs, cho biết tình hình địa chính trị hiện tại khiến khó có thể hiểu được loại thông điệp nào mà Nga đang gửi đi khi triệt phá hoạt động REvil. Chỉ có thời gian mới có thể biết liệu hoạt động này có báo hiệu sự sẵn sàng hợp tác lâu dài về các vấn đề an ninh mạng của chính quyền Nga hay không. 

Breen nói: “Việc hợp tác liên tục với các cơ quan quốc tế nhằm ngăn chặn và ngăn chặn các cuộc tấn công mạng bắt nguồn từ lãnh thổ Nga sẽ gửi đi một thông điệp rằng chính phủ có ý định thúc đẩy sự thay đổi lâu dài”.

Ít nhất, nhìn bề ngoài, việc FSB triệt phá REvil cho thấy sự sẵn sàng hành động từ phía Nga dựa trên thông tin từ chính quyền Mỹ và các quốc gia đồng minh. Trò chuyện trên các diễn đàn ngầm rằng Trustwave được giám sát Tháng 11 năm ngoái đã cho thấy ít nhất một số mức độ lo ngại của các tác nhân đe dọa ở Nga về việc cơ quan thực thi pháp luật ở nước này đang theo dõi họ. Theo nhà cung cấp bảo mật, một số thành viên diễn đàn thậm chí còn thảo luận về khả năng họ bị bắt và cách chuẩn bị cho điều đó, cũng như bất kỳ bản án tiềm năng nào có thể xảy ra sau đó. Bản thân nhóm REvil đã ngừng hoạt động trong vài tháng qua do cơ quan thực thi pháp luật ngày càng chú ý đến các hoạt động của nhóm này.

Silas Cutler, nhà phân tích mối đe dọa tại Stairwell, cho biết vụ bắt giữ REvil có thể là một nỗ lực của Nga nhằm duy trì vẻ ngoài đang nỗ lực chống lại ransomware và các nhóm đe dọa khác hoạt động bên ngoài đất nước. Nhưng ít nhất cho đến nay, hành động này dường như chưa làm được gì nhiều để khiến một số tội phạm mạng sợ hãi.

Cutler nói: “Các thành viên của diễn đàn tội phạm mạng đã nhanh chóng bình luận, nói đùa rằng những người bị bắt không chắc là thành viên chủ chốt của các nhóm này và có thể là các chi nhánh cấp thấp đến trung bình đã không trả đúng số tiền cho cơ quan có thẩm quyền để được bảo vệ”. “Trong nhiều năm qua, một số họ ransomware đã được thiết kế đặc biệt để không tác động đến các hệ thống có cấu trúc ngôn ngữ tiếng Nga, có khả năng đảm bảo hoạt động của chúng chỉ tập trung vào các mục tiêu quốc tế để không vi phạm luật pháp Nga.”

Nguồn: https://www.darkreading.com/threat-intelligence/russia-takes-down-revil-ransomware-Operation-arrests-key-members

tại chỗ_img

Tin tức mới nhất

tại chỗ_img