Các trang web của băng đảng ransomware REvil ngừng hoạt động một cách bí ẩn

Cơ sở hạ tầng và các trang web của ransomware REvil đã cùng ngừng hoạt động một cách bí ẩn từ đêm qua (đêm ngày 13 tháng 7).

Nhóm ransomware REvil, hay còn gọi là Sodinokibi, sử dụng nhiều trang web sạch và web đen để thương lượng tiền chuộc, chia sẻ dữ liệu đánh cắp và làm cơ sở hạ tầng phụ trợ.

Bắt đầu từ đêm qua, các trang web và cơ sở hạ tầng được của nhóm ransomware REvil đã ngừng hoạt động một cách bí ẩn.

"Nói một cách dễ hiểu, trang web onion của chúng đang ngoại tuyến hoặc bị vô hiệu hóa. Để biết chắc chắn, bạn cần liên hệ với quản trị viên của trang web này” - BleepingComputer dẫn lời Al Smith của Dự án Tor.

Mặc dù việc các trang web của REvil mất kết nối một lúc không phải là hiếm, nhưng việc tất cùng ngừng hoạt động là một điều bất thường.

Hơn nữa, việc trang web sạch decoder[.]re không được phản hồi bằng các truy vấn DNS cho thấy các bản ghi DNS cho miền đã bị ảnh hưởng hoặc cơ sở hạ tầng DNS bị tắt.

Theo chuyên gia Alan Liska của Recorded Future, các trang web của REvil đã ngoại tuyến vào khoảng 1 giờ sáng ngày 13 tháng 7.

Chiều cùng ngày, đại diện của ransomware LockBit đăng lên diễn đàn hack XSS rằng, băng đảng REvil đã xóa máy chủ của họ sau khi biết tin phải hầu tòa.

"Theo thông tin chưa được kiểm chứng, cơ sở hạ tầng máy chủ REvil nhận được yêu cầu pháp lý của chính phủ, buộc REvil phải xóa hoàn toàn cơ sở hạ tầng máy chủ và biến mất. Tuy nhiên, điều đó chưa được xác nhận", BleepingComputer dẫn bài đăng của đại diện ransomware LockBit.

Ngay sau đó, quản trị viên XSS đã cấm Unknown, đại diện công khai của băng đảng ransomware REvil, hoạt động trên diễn đàn.

Vitali Kremez của Advanced Intel giải thích: “Theo quy tắc thông thường, các quản trị viên của các diễn đàn sẽ cấm thành viên hoạt động khi đang bị cảnh sát nghi ngờ”.

Vào ngày 2 tháng 7, băng nhóm ransomware REvil đã mã hóa khoảng 60 nhà cung cấp dịch vụ được quản lý (MSP) và hơn 1.500 doanh nghiệp nhỏ bằng cách sử dụng lỗ hổng zero-day trong phần mềm quản lý từ xa Kaseya VSA.

Là một phần của các cuộc tấn công này, ban đầu REvil yêu cầu tiền chuộc 70 triệu USD, nhưng sau đó giảm xuống còn 50 triệu USD.

Kể từ đó, nhóm ransomware REvil đã bị cơ quan thực thi pháp luật giám sát chặt chẽ hơn.

Vì các băng đảng ransomware này thường hoạt động bên ngoài lãnh thổ nước Nga, Tổng thống Biden đã đàm phán với Tổng thống Putin về các cuộc tấn công và cảnh báo rằng, nếu Nga không đưa ra hành động đối với chúng, Mỹ sẽ tự giải quyết vấn đề.

Tại thời điểm này, vẫn chưa rõ việc các máy chủ của REvil ngừng hoạt động là vì lý do kỹ thuật hay do tác động của các cơ quan thực thi pháp luật của Nga hoặc Mỹ.

Các nhóm ransomware khác, như Darkside và Babuk , tự nguyện dừng hoạt động do áp lực từ phía pháp luật.

Tuy nhiên, khi các nhóm ransomware đóng cửa, chúng thường đổi tiên mới để tiếp tục việc tấn công. Điều này đã xảy ra trong quá khứ khi GandCrab đóng cửa và nhiều thành viên của nhóm đã hoạt động lại dưới cái tên REvil.

Babuk cũng hoạt động lại với cái tên Babuk v2.0 sau khi nhóm tan rã do sự khác biệt về cách thức tiến hành các cuộc tấn công.

FBI đã từ chối bình luận về sự việc này.