กลุ่ม REvil Ransomware หายไปอย่างลึกลับ

revil-ransomware-gang-mysteriously.jpg

อ้างอิง https://thehackernews.com/

REvil เป็นหนึ่งในกลุ่ม ransomware-as-a-service (RaaS) ที่ปรากฏตัวครั้งแรกในเดือนเมษายน 2562 โดยการนำ ransomware จากกลุ่มผู้ไม่ประสงดี GandCrab[1] มาพัฒนาต่อยอด

 

โดยการพัฒนา REvil Ransomware เกิดขึ้นอย่างรวดเร็วและยังได้ทำการโจมตีโดยมุ่งเป้าหมายไปที่ผู้ให้บริการเทคโนโลยี Kaseya ซึ่ง REvil (โดยใช้นามแฝงชื่อ Sodinokibi) และได้เรียกค่าไถ่ 70 ล้านดอลลาร์เพื่อแลกกับกุญแจถอดรหัสลับเพื่อปลดล็อกการเข้าสู่ระบบที่ถูกเข้ารหัสลับบนเครื่องเป้าหมาย

 

ซึ่งการโจมตีดังกล่าวในข้างต้นทำให้กลุ่ม REvil Ransomware ได้กระทำการเข้ารหัสลับผู้ให้บริการในลักษณะของ Managed Service Provider (MSP) ประมาณ 60 รายและทำให้ธุรกิจหยุดให้บริการชั่วคราวเป็นจำนวนกว่า 1,500 แห่งทั่วโลก โดยอาศัยช่องโหว่ Zero-Day เพื่อเข้ามาควบคุมการจัดการซอฟต์แวร์ Kaseya VSA ซึ่งต่อมาในเดือนมิถุนายน FBI กล่าวว่า “REvil อยู่เบื้องหลังการโจมตีทางไซเบอร์ครั้งใหญ่ที่ทำให้บริษัท JBS ผู้จัดหาเนื้อสัตว์รายใหญ่ที่สุดของโลกต้องหยุดให้บริการและจ่ายเงินค่าไถ่เป็นจำนวน 11 ล้านดอลลาร์ เพื่อให้สามารถกลับมาให้บริการได้อีกครั้ง”

revil-ransomware-gang-mysteriously-1.jpg

อ้างอิง https://thehackernews.com/

ข้อมูลของกลุ่ม REvil Ransomware  ได้หายไปจาก Dark Web ซึ่งนำไปสู่การคาดเดาต่างๆ ว่าเจ้าหน้าที่สหรัฐหรือรัสเซียอาจดำเนินการบังคับใช้กฏหมายกับกลุ่ม REvil แต่ในเบื้องต้นยังไม่มีหน่วยงานใดออกมาพูดถึงเรื่องนี้ โดยทาง FBI ก็ปฏิเสธที่จะแสดงความคิดเห็นเกี่ยวกับเรื่องนี้

 

ซึ่งการปิดตัวโดยไม่ทราบสาเหตุของกลุ่ม REvil อาจเป็นแผนการที่ได้เตรียมเอาไว้ก่อนแล้ว อาจหลบซ่อนชั่วคราว เพื่อรอเวลาที่จะกลับมาใหม่ สร้างตัวตนใหม่ ดึงดูดความสนใจให้น้อยลง และลดผลกระทบต่างๆ ที่จะเข้ามา

 

อ้างอิง : https://thehackernews.com/2021/07/revil-ransomware-gang-mysteriously.html

[1] : https://www.crowdstrike.com/blog/the-evolution-of-revil-ransomware-and-pinchy-spider/

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 23 กรกฏาคม 2564