REvil

เมื่อวันที่ 17 ตุลาคม 2564 ที่ผ่านมา ได้มีข่าวการกลับมาของกลุ่ม REvil Randsomware  ที่อยู่เบื้องหลังการโจมตีทางไซเบอร์ในช่วงไม่กี่ปีที่ผ่านมา หลังจากที่หายไปนานถึง 2 เดือน

จากรูปที่ 1 เมื่อวันที่ 18 ตุลาคม 2564 Mr.Dmitry Smilyanets จาก Recorded Future ได้พบกับข้อความของกลุ่ม REvil ที่โพสลงบนฟอร์รัมชื่อ “XSS hacking forum” โดยชื่อผู้ใช้งาน “0_neday” ได้มีการระบุข้อความดังรูปที่ 2

รูปที่ 2

อ้างอิง https://thehackernews.com/

จากรูปที่ 2 ข้อความที่ระบุได้กล่าวไว้ว่า เซิร์ฟเวอร์ของกลุ่ม REvil ได้ถูกบุกรุก และลบเส้นทางการติดต่อสื่อสารซึ่งกลุ่ม.REvil ransomware ได้รับความสนใจและถูกตรวจสอบครั้งใหญ่หลังจากโจมตี JBS และ Kaseya เมื่อต้นปีที่ผ่านมา ส่งผลให้ เครือข่าย Darknet ของกลุ่ม REvil หยุดให้บริการ ภายในเดือนกรกฎาคม 2564 ซึ่งต่อมากลุ่ม REvil ได้กลับมาอีกครั้งเมื่อวันที่ 9 กันยายน 2564 และได้พบว่ามีการรั่วไหลของข้อมูลจากบริษัททั้ง 2 ที่กล่าวในข้างต้น ก่อนที่จะหายตัวไปอีกครั้ง

 

เมื่อเดือนกันยายน 2564 เว็ปไซต์ข่าว Washington Post ได้รายงานว่าสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) สามารถยึดครองเครื่องเซิร์ฟเวอร์ของกลุ่ม REvil ได้สำเร็จและดำเนินการขัดขวางกิจกรรมที่เป็นอันตรายโดยการระงับการแชร์ตัวถอดรหัสที่ใช้สำหรับเรียกค่าไถ่กับเหยื่อที่ถูกโจมตีด้วย Kaseya ransomware

 

หลังจากที่ได้รับคีย์ดิจิทัลจาก “law enforcement partner.” ในปลายเดือนกรกฎาคม Bitdefender ซึ่งเป็น บริษัทรักษาความมั่นคงปลอดภัยทางไซเบอร์ของโรมาเนียก็สามารถใช้ตัวถอดรหัสร่วมกันได้

 

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 28 ตุลาคม 2564