Theo Bloomberg, các cơ quan thực thi pháp luật đã bắt giữ năm thành viên được cho là có liên quan đến nhóm ransomware REvil, nhóm tin tặc bị cáo buộc đứng sau các cuộc tấn công mạng nổi tiếng nhắm vào vào Kaseya và JBS SA trong năm nay.
Theo tuyên bố được cơ quan thực thi pháp luật châu Âu Europol công bố hôm 8/11, các nhà chức trách Romania đã bắt giữ hai người liên quan đến REvil. Ngoài ra, Europol còn cho biết có thêm ba vụ bắt giữ nghi phạm REvil khác đã được thực hiện vào đầu năm nay.
Phía cảnh sát nghi ngờ các tin tặc bị cáo buộc có liên quan đến khoảng 5.000 vụ tấn công ransomware và đã nhận được khoảng nửa triệu euro (tương đương 579.000 USD) tiền chuộc. Nhiều băng nhóm ransomware cung cấp phần mềm độc hại của họ cho những người khác, được gọi là chi nhánh, sau đó họ sẽ gửi nó ra ngoài để lây nhiễm cho nạn nhân.
Trong một vấn đề liên quan, một công dân Ukraine đã bị truy tố tại Mỹ hôm 8/11 vì dính dáng đến 2.500 cuộc tấn công ransomware với mục đích đòi hàng trăm triệu USD tiền chuộc. Bản cáo trạng theo tài liệu tòa án được niêm phong ở Dallas (Mỹ) nêu rõ Yaroslav Vasinskyi bị buộc tội âm mưu lừa đảo và các tội khác liên quan đến cuộc tấn công bằng ransomware REvil vào một số tổ chức. Các công tố viên cáo buộc Vasinskyi “cố ý” âm mưu làm hỏng hệ thống máy tính trên khắp cả nước. Hiện vẫn chưa rõ liệu Vasinksyi có nằm trong số năm người liên quan đến REvil đã bị bắt hay không.
“REvil”, viết tắt của “Ransomware-Evil”, được biết đến là một trong những băng nhóm ransomware mạnh nhất thế giới
“REvil”, viết tắt của “Ransomware-Evil”, được biết đến là một trong những băng nhóm ransomware mạnh nhất thế giới. Nhóm này bị cáo buộc đã dàn dựng một số cuộc tấn công trong năm nay nhằm vào các công ty và tổ chức lớn, bao gồm nhà cung cấp thịt JBS và công ty công nghệ Kaseya có trụ sở tại Miami ở Mỹ. JBS đã trả 11 triệu USD tiền chuộc, trong khi Kaseya từ chối trả tiền cho tin tặc.
Trong những tháng gần đây, REvil và các nhóm ransomware khác phải đối mặt với áp lực ngày càng tăng từ phía cơ quan thực thi pháp luật quốc tế, sau hàng loạt cuộc tấn công làm tê liệt hoạt động của một số công ty công nghệ, nhà sản xuất thực phẩm và nhiên liệu, thậm chí cả bệnh viện.
Sáng kiến Mỹ
Chính quyền Tổng thống Mỹ Joe Biden xác định việc đối đầu với tấn công ransomware là một trong những ưu tiên lớn. Đầu năm nay, Nhà Trắng đã mời hơn 30 quốc gia tham gia vào “Sáng kiến chống Ransomware”, với mục tiêu về cải thiện an ninh mạng và phá vỡ kinh tế của các tổ chức tấn công ransomware, bao gồm cả việc sử dụng tiền điện tử.
Europol tiết lộ các cơ quan thực thi pháp luật đã xác định được những chi nhánh bị cáo buộc của REvil, sau khi thu giữ cơ sở hạ tầng do nhóm này sử dụng và thực hiện các phương pháp điều tra như nghe lén. Ngoài REvil, Europol cho biết các cơ quan thực thi pháp luật trong năm nay đã bắt giữ hai chi nhánh bị cáo buộc của nhóm ransomware GandCrab.
Vụ bắt giữ REvil công bố hôm 8/11 được thực hiện như một phần của cuộc điều tra quốc tế có tên GoldDust, với sự tham gia của các cơ quan thực thi pháp luật từ 17 quốc gia, bao gồm Mỹ, Anh, Pháp và Đức. “Điều này thể hiện hành động tập thể mang tính lịch sử giữa 17 quốc gia nhằm truy tố các thành viên của băng nhóm tội phạm mạng REvil. Các cuộc tấn công mạng lớn sẽ tiếp tục và trở nên có hệ thống hơn. Hành động tập thể giữa các nước cùng chí hướng phải được tăng cường, việc tịch thu các loại tiền điện tử có liên quan đến âm mưu tội phạm mạng phải được mở rộng”, Tom Kellermann, người đứng đầu chiến lược an ninh mạng cho VMware nói.
REvil, còn được gọi là Sodinokibi, nổi tiếng lần đầu tiên vào năm 2019. Nhóm này nói tiếng Nga, thực hiện các vụ tấn công mạng đòi tiền chuộc lớn, với chiến thuật gây hấn và nhắm mục tiêu “con mồi” cao cấp. REvil duy trì một trang trên trang web đen tên là “Happy Blog”, trang này dùng để rò rỉ hoặc bán đấu giá các tài liệu đánh cắp từ máy tính của nạn nhân.
Theo chỉ số về mối đe dọa của IBM, REvil kiếm được ít nhất 123 triệu USD vào năm 2020 và đánh cắp khoảng 21,6 terabyte dữ liệu. Tháng 7/2021, trang web của REvil đột nhiên biến mất. Sau đó, nó xuất hiện trở lại vào tháng 9/2021, nhưng thời gian tồn tại không lâu. Theo Washington Post, REvil đã đóng cửa trang web của mình một lần nữa vào tháng trước, sau khi Bộ Chỉ huy Không gian mạng của Mỹ và một chính phủ nước ngoài tấn công máy chủ của nhóm.