Sản phẩm gỡ xuống băng đảng ransomware REvil của FSB Nga vào ngày 14 tháng 2022 năm XNUMX, đã khiến cả thế giới phải ngạc nhiên. Trước đó, luật bất thành văn là tin tặc sẽ an toàn ở Nga với điều kiện chúng không tấn công Nga.
Thông báo của FSB khẳng định việc gỡ bỏ là để đáp lại yêu cầu từ chính quyền Hoa Kỳ. Đây có phải là buổi bình minh của một thời đại hợp tác quốc tế mới chống lại tội phạm mạng hay chỉ là một ví dụ điển hình về hoạt động ngoại giao của Nga? Thời gian sẽ là trọng tài – và trong lúc chờ đợi, chúng ta chỉ có thể phỏng đoán.
Một lập luận mạnh mẽ cho góc độ ngoại giao là REvil có thể bị coi là một mục tiêu mềm, gần như là một con vịt què ở Nga. Vào tháng 2021 năm XNUMX, cơ sở hạ tầng REvil đã phải chịu đựng những gì được mô tả là 'kế hoạch gỡ xuống'. John Hultquist của Mandiant Threat Intelligence nói với AFP: “Tình hình vẫn đang diễn ra, nhưng bằng chứng cho thấy REvil đã phải hứng chịu một đợt phá hủy đồng thời và có kế hoạch đối với cơ sở hạ tầng của họ, do chính các nhà điều hành hoặc thông qua hành động thực thi pháp luật hoặc ngành”.
Vào tháng 2021 năm XNUMX, các máy chủ Tor liên kết với nhóm ransomware REvil đã bị tấn công. thu giữ trong những gì được mô tả là một hoạt động hack-back “đa quốc gia”. Một trong những người điều hành đã để lại lời nhắn chia tay: “Họ đang tìm kiếm tôi. Chúc mọi người may mắn; Tôi đi đây.”
[ Đọc: Năm tín hiệu quan trọng từ vụ phá sản REvil Ransomware của Nga ]
Vào tháng 2021 năm 5.6, Europol thông báo bắt giữ 20 cá nhân có liên quan đến ransomware REvil và GandCrab. Trong bối cảnh đó, Biden đã thúc ép Putin hành động chống lại tội phạm mạng của Nga trong khi bản thân những người điều hành REvil dường như đang sống một cách phô trương. Interfax đưa tin rằng hành động của FSB đã thu giữ khoảng XNUMX triệu USD và XNUMX ô tô hạng sang.
Có thể gợi ý rằng REvil đã đánh mất giá trị cơ bản của cộng đồng hacker bí mật ở Nga - cung cấp quyền phủ nhận chính đáng cho Putin trước những tuyên bố về sự tham gia của nhà nước vào các cuộc tấn công mạng. REvil đã trở thành quả tầm thấp và quả tầm thấp luôn là mục tiêu hàng đầu trong bất kỳ hoạt động mạng nào. Lập luận ngoại giao cho việc triệt phá REvil là Nga mất ít nhưng có thể thu được rất nhiều.
Trustwave đã được theo dõi (báo cáo blog) Cuộc trò chuyện ngầm của Nga để xem các hacker khác nghĩ gì về tình hình. Công ty lần đầu tiên nhận thấy dấu hiệu lo lắng vào tháng 2021 năm XNUMX khi có thông tin về các cuộc đàm phán bí mật giữa FBI và FSB. Ngay trước vụ bắt giữ REvil, một số tin tặc đã cho rằng Nga có thể không còn là nơi trú ẩn an toàn nữa.
Kể từ khi bị bắt giữ, Trustwave báo cáo rằng mối lo ngại đã trở nên mạnh mẽ hơn, bao gồm cả gợi ý rằng ít nhất một quản trị viên diễn đàn ngầm đã bị cơ quan thực thi pháp luật 'quay lưng'. Một thành viên đăng: “Anh ấy là quản trị viên của diễn đàn đoạn đường nối, người làm việc để thực thi pháp luật chống lại những người lao động chăm chỉ bình thường”.
Một người khác đăng: “Có một điều rõ ràng là những người mong đợi nhà nước sẽ bảo vệ họ sẽ thất vọng rất nhiều”.
Có rất nhiều tranh cãi về việc các hacker, những người không còn cảm thấy an toàn, nên làm gì bây giờ. Các khuyến nghị bao gồm sử dụng Tor để ẩn danh, mã hóa để đảm bảo an toàn và không giữ hàng hóa bị đánh cắp trên một máy tính để bảo vệ. Trớ trêu thay, một thành viên diễn đàn đã viết: “Bây giờ thật nguy hiểm khi viết bất cứ thứ gì, ở bất cứ đâu”. “Và có camera ở khắp mọi nơi ở Moscow và St. Petersburg.”
[ ĐỌC: Trường hợp gỡ bỏ các trang web tối ]
Bản chất dễ kiếm tiền của băng đảng REvil không bị chú ý. “Thật không đáng tiếc chút nào cho những kẻ chơi bóng tham lam. Một loạt chủ đề hữu ích đã được tiết lộ cho rất nhiều người đang ngồi lặng lẽ làm việc gì đó của riêng họ trong các công ty khác nhau, và sau họ (REvil), mọi thứ ở đó hoàn toàn bị xáo trộn.”
Trustwave cũng đặt câu hỏi nhưng không đưa ra câu trả lời, liệu các vụ bắt giữ REvil có thể chỉ nhằm mục đích ngoại giao hay không. Các nhà nghiên cứu viết: “Một thành viên diễn đàn nêu lên khả năng hoạt động của FSB trên thực tế là giả mạo hoặc chỉ là 'trình diễn' để tiêu thụ quốc tế. “Có thể hỗ trợ cho dòng suy nghĩ này là thực tế là các nhà chức trách Hoa Kỳ chưa bình luận chính thức về các vụ bắt giữ, họ cũng không phủ nhận hay xác nhận rằng hoạt động của FSB là để đáp lại yêu cầu của một cơ quan Mỹ.”
Điều đáng chú ý là chính sách ngoại giao của Nga rất thành thạo trong việc tạo ra sự chuyển hướng (vụ bắt giữ REvil?) để chuyển sự chú ý của quốc tế ra khỏi mối quan tâm chính của họ (Ukraine?).
Nhưng câu hỏi lớn là, điều gì tiếp theo? Liệu chính phủ Nga có theo dõi và truy tố những người bị bắt theo đúng luật pháp hay không? Liệu nó có tiếp nối việc bắt giữ những tội phạm mạng khác không? Cộng đồng hacker hiện tại sẽ phản ứng thế nào? Tin tặc có thể từ bỏ và nghỉ hưu (khó xảy ra); họ có thể tiến sâu hơn trong hoạt động im lặng (gần như chắc chắn); hoặc họ có thể khởi hành đến những vùng có khí hậu khác nhau.
Có một điều rõ ràng. Như một thành viên diễn đàn đã nhận xét: “Trở thành siêu sao trong lĩnh vực kinh doanh của chúng tôi là một ý tưởng rất tồi”. Có thể các vụ bắt giữ REvil chủ yếu sẽ ngăn chặn những tên tội phạm ít ồn ào hơn, trong khi không gây rắc rối nghiêm trọng cho những tên tội phạm trầm lặng 'chuyên nghiệp' hơn. Tất nhiên, trừ khi đây thực sự là một bước ngoặt trong hợp tác quốc tế.
Sản phẩm liên quan: Năm tín hiệu quan trọng từ vụ phá sản REvil Ransomware của Nga
Sản phẩm liên quan: SecurityWeek Cyber Insights 2022: Ransomware
Sản phẩm liên quan: FBI xác nhận REvil Ransomware có liên quan đến cuộc tấn công JBS
Sản phẩm liên quan: Quy mô, chi tiết về cuộc tấn công ransomware Kaseya quy mô lớn xuất hiện
Kevin Townsend là Cộng tác viên cấp cao tại SecurityWeek. Ông đã viết về các vấn đề công nghệ cao kể từ trước khi Microsoft ra đời. Trong 15 năm qua, ông chuyên về an ninh thông tin; và đã có hàng nghìn bài báo được xuất bản trên hàng chục tạp chí khác nhau - từ The Times và Financial Times đến các tạp chí máy tính hiện tại và lâu đời.
tags: 
