REvil – nhóm hacker Nga khiến nước Mỹ lao đao
REvil, nhóm hacker có liên quan đến Nga, đã tống tiề.n hàng nghìn công ty Mỹ và các công ty toàn cầu với số tiề.n hàng triệu USD mỗi nạ.n nhâ.n.
Ngày 2/7, một nhóm hacker đã đột nhập vào phần mềm của Kaseya và dùng ransomware để tấ.n côn.g hàng loạt doanh nghiệp sử dụng dịch vụ của công ty này. Kaseya là một công ty công nghệ có trụ sở tại Miami (Mỹ), chuyên cung cấp công cụ cho các doanh nghiệp chuyên gia công phần mềm và các tiện ích khác, chủ yếu cho các công ty vừa và nhỏ.
REvil được cho là một nhóm hacker quan tâm đến tài chính, không liên quan đến các tổ chức chính trị.
Vụ tấ.n côn.g đã dẫn tới một phản ứng dây chuyền liên quan đến các doanh nghiệp không chỉ ở Mỹ, mà còn trên toàn cầu. Ngày 5/7, CEO của Kaseya xác nhận có khoảng 800 đến 1.500 doanh nghiệp trên khắp thế giới bị ảnh hưởng.
Theo các chuyên gia bảo mật, vụ Kaseya được xem là một trong những đợt tấ.n côn.g bằng ransomware có quy mô lớn kỷ lục từ trước tới nay. Công ty an ninh mạng Eset thống kê khoảng 10 quốc gia bị ảnh hưởng, gồm cả trường học, các cơ quan thuộc chính phủ, ngân hàng, các tổ chức du lịch và giải trí.
Cũng trong 5/7, tổ chức hacker REvil đã nhận trách nhiệm, đồng thời yêu cầu 70 triệu USD tiề.n chuộc. Trong quá khứ, nhóm này đã tấ.n côn.g một loạt các tổ chức và doanh nghiệp khác.
REvil là ai
Video đang HOT
Satnam Narang, chuyên gia của công ty bảo mật Tenable, cho biết tên gọi của REvil là sự kết hợp của từ “ransomware” và “evil”. Nhóm này còn được gọi với cái tên khác là Sodinokibi.
Khác với các tổ chức hacker thường ẩn giấu danh tính, các thông tin về REvil được công khai trên dark web. Một thành viên giấu tên trên diễn đàn tội phạm mạng XSS cho biết nhóm tin tặc này đang ở “đỉnh cao sự nghiệp” và tuyên bố đây là cuộc tấ.n côn.g lớn nhất từ trước đến nay của họ. Tuy nhiên, việc tìm ra người cầm đầu REvil là thực sự khó khăn, bởi chúng hoạt động theo hệ thống cấu trúc riêng lẻ, khó xác định hành tung.
Ransomware mà REvil dùng để tấ.n côn.g là một loại mã độc thường mã hóa dữ liệu hoặc mạng máy tính của nạ.n nhâ.n. Các hacker sau đó yêu cầu một khoản tiề.n chuộc để giải mã thông tin hoặc cam kết không bán bí mật tài liệu ra ngoài.
Giới bảo mật xác nhận REvil “có khả năng rất cao” xuất phát từ Nga. Dữ liệu phân tích từ ransomware mà nhóm này dùng để tấ.n côn.g cho thấy mã nguồn của phần mềm tống tiề.n này được viết để qua mặt các máy tính sử dụng tiếng Nga. Bài đăng của REvil cũng được biết bằng tiếng Nga. Tổ chức này thậm chí còn đang tìm cách tuyển dụng thành viên để mở rộng chi nhánh.
Những người đứng sau REvil được cho là có liên quan đến một ransomware “khét tiếng” khác là GandCrab – mã độc được sử dụng lần đầu tiên vào năm 2018, chủ yếu để tấ.n côn.g các công ty chăm sóc sức khỏe, theo Fortune . Nhóm hacker đứng sau GandCrab đã tuyên bố “nghỉ hưu” vào 2019 và “khoe” đã đán.h cắp được hơn 2 tỷ USD tiề.n chuộc. Cùng năm, Belarus cho biết đã bắt giữ một hacker có quan hệ với GandCrab.
Tony Cook, chuyên gia về ransomware tại GuidePoint Security, cho biết REvil dường như được “truyền cảm hứng” từ GandCrab. Hai nhóm sử dụng công cụ và kỹ thuật hack tương tự nhau. Thậm chí, ông nghi ngờ một số thành viên cũ của GandCrab đã tham gia mạng lưới REvil sau khi tan rã.
REvil muốn gì?
REvil thực hiện các cuộc tấ.n côn.g được mô tả là “vô cùng tinh vi”, sau đó yêu cầu tiề.n chuộc từ các nạ.n nhâ.n. Nếu không nghe theo, chúng sẽ đ.e dọ.a tiết lộ dữ liệu và thông tin lên dark web.
Theo Narang, REvil cũng hoạt động như một doanh nghiệp chuyên bán công nghệ hack và các công cụ khác cho hacker bên thứ ba. Các thành viên của REvil tạo ra cơ sở hạ tầng trực tuyến trên dark web, đăng tài liệu bị đán.h cắp và kiếm các khoản thanh toán ransomware từ nạ.n nhâ.n.
Jack Cable, kiến trúc sư bảo mật tại công ty tư vấn an ninh mạng Krebs Stamos Group, cho rằng không giống như các hacker khác có liên quan đến chính phủ nào đó, REvil chỉ nhắm mục tiêu động cơ tài chính. Cable đã thử liên hệ với đại diện của REvil và đã ngạc nhiên khi có thể mặc cả dữ liệu mua bán. Nhóm cũng như chấp nhận Bitcoin làm phương thức thanh toán thay vì yêu cầu ban đầu là đồng Monero vốn khó bị theo dõi hơn.
Cũng theo Cable, những nhóm hacker như REvil nguy hiểm hơn các nhóm có liên quan đến chính phủ vì chúng “sẵn sàng đán.h sập bệnh viện”. Theo ông, các nhóm hacker do chính phủ hậu thuẫn thường hoạt động theo “các quy tắc và chuẩn mực bất thành văn”, nghĩa là họ tránh các vụ hack có thể giế.t ngườ.i và làm tê liệt bệnh viện nằm trong số không được phép đó.
Các nạ.n nhâ.n
Năm 2019 được xem là lần đầu tiên REvil tổ chức tấ.n côn.g mạng quy mô lớn. Khi đó, nhóm này đã nhắm vào hệ thống máy tính của 22 thị trấn thuộc Texas (Mỹ), chiếm quyền điều khiển, lây nhiễm ransomware và đòi 2,5 triệu USD tiề.n chuộc, theo ZDnet .
Ngoài vụ tấ.n côn.g Kaseya, REvil từng thực hiện nhiều vụ gây rúng động khác. Chẳng hạn, hồi tháng 3, nhóm này đã xâm nhập vào hệ thống của Quanta Computer – đối tác của Apple – và đán.h cắp một số bản thiết kế các sản phẩm mới chưa ra mắt của “Táo Khuyết”.
Các hình ảnh sau đó được đăng tải bao gồm số serie linh kiện, kích thước và dung lượng cụ thể mô tả chi tiết nhiều bộ phận hoạt động bên trong máy tính xách tay Apple. Một trong những hình ảnh có chữ ký của nhà thiết kế John Andreadis. REvil đã yêu cầu Apple trả khoản tiề.n chuộc 50 triệu USD trước ngày 1/5.
Ngày 31/5, JBS – một trong những doanh nghiệp chế biến thịt lớn nhất thế giới – cho biết công ty đã bị tấ.n côn.g mạng và bị yêu cầu phải trả 11 triệu USD tiề.n chuộc bằng Bitcoin. FBI sau đó điều tra và xác nhận REvil là những kẻ đứng sau.
REvil cũng thừa nhận đã tấ.n côn.g vào các công ty luật Grubman, Shire, Meiselas & Sacks tại New York, tuyên bố đã lấy được nhiều tài liệu liên quan đến cựu Tổng thống Mỹ Donald Trump. Năm 2019, nhóm này cũng tấ.n côn.g một nhóm thư ký bầu cử ở Louisiana. Chính quyền dưới thời Tổng thống Trump đã chỉ định REvil là một nhóm khủn.g b.ố.
Trong một cuộc họp tại Phòng Tình huống với các cố vấn an ninh mạng hàng đầu nước Mỹ, Tổng thống Joe Biden cho biết “sẽ đưa ra phản ứng” với Tổng thống Nga Vladimir V. Putin về làn sóng tấ.n côn.g ransomware từ các nhóm hacker Nga nhằm vào các công ty Mỹ sắp tới.
Nhóm tin tặc REvil rao bán 'bộ giải mã đa năng' trị giá 70 triệu USD
Nhóm ransomware REvil vừa đưa ra yêu cầu khoản Bitcoin trị giá 70 triệu USD để đổi lấy một "bộ giải mã đa năng" cho phép bất kỳ tổ chức bị ảnh hưởng truy xuất dữ liệu được mã hóa của họ.
REvil muốn 70 triệu USD giá trị Bitcoin cho bộ giải mã đa năng của mình
Theo Neowin , bộ giải mã đa năng này được REvil đưa ra sau khi tấ.n côn.g nhắm vào công ty phần mềm Kaseya của Mỹ và gây ảnh hưởng đến 40 khách hàng của công ty, nhưng tổng số công ty gián tiếp bị ảnh hưởng lên đến hàng trăm.
Cuộc tấ.n côn.g nhắm vào phần mềm máy chủ VSA của Kaseya, buộc nhóm ứng phó sự cố của công ty đã phải làm việc với các đối tác an ninh mạng trên toàn cầu để ngăn chặn thiệt hại và giảm thiểu các lỗ hổng trong phần mềm của họ. Hiện tại hệ thống máy chủ của VSA đã buộc ở trạng thái ngoại tuyến và cần phải áp dụng bản vá trước khi chúng được khởi động lại.
Mặc dù đã có một số báo cáo từ các công ty bị ảnh hưởng rằng ransomware đã đưa ra yêu cầu tiề.n chuộc lên đến 5 triệu USD và tăng gấp đôi nếu không được thanh toán trước hạn nhưng giờ đây nhóm tin tặc công bố một "bộ giải mã đa năng" để mở khóa các tập tin ảnh hưởng với khoản Bitcoin trị giá 70 triệu USD. Nhóm rói điều này sẽ cho phép tất cả công ty bị ảnh hưởng giải mã các tệp của họ và khôi phục quyền truy cập vào hệ thống của họ trong vòng chưa đầy 1 giờ.
Vẫn chưa rõ liệu các công ty có chấp nhận lời đề nghị của REvil hay không nhưng việc thanh toán qua Bitcoin đang đặt ra dấu hỏi về tuyên bố công khai của nhóm ransomware này, sẵn sàng sử dụng phương thức thanh toán có thể bị thu hồi. Bộ Tư pháp Mỹ (DoJ) vào tháng trước đã thu hồi 2,3 triệu USD giá trị Bitcoin khi chuyển đến nhóm hack DarkSide. Vào thời điểm đó, Cục Điều tra Liên bang Mỹ (FBI) thậm chí đã đưa ra một tuyên bố cảnh báo những kẻ tấ.n côn.g rằng không có nơi nào cho chúng sử dụng để lưu trữ tiề.n do các hành vi xấu.
Mỹ truy tố một phụ nữ giúp phát triển phần mềm độc hại Trickbot Bộ Tư pháp Mỹ (DOJ) đã buộ.c tộ.i một phụ nữ Latvia vì vai trò của cô này trong việc phát triển phần mềm độc hại Trickbot lây nhiễm hàng triệu máy tính với mục tiêu là các trường học, bệnh viện và chính phủ. Alla Witte là một thành viên của Trickbot Group Theo Theverge , DOJ cáo buộc Alla Witte là...