เมื่อวันที่ 17 ตุลาคม 2564 ที่ผ่านมา ได้มีข่าวการกลับมาของกลุ่ม REvil Randsomware ที่อยู่เบื้องหลังการโจมตีทางไซเบอร์ในช่วงไม่กี่ปีที่ผ่านมา หลังจากที่หายไปนานถึง 2 เดือน
จากรูปที่ 1 เมื่อวันที่ 18 ตุลาคม 2564 Mr.Dmitry Smilyanets จาก Recorded Future ได้พบกับข้อความของกลุ่ม REvil ที่โพสลงบนฟอร์รัมชื่อ “XSS hacking forum” โดยชื่อผู้ใช้งาน “0_neday” ได้มีการระบุข้อความดังรูปที่ 2
รูปที่ 2
อ้างอิง https://thehackernews.com/
จากรูปที่ 2 ข้อความที่ระบุได้กล่าวไว้ว่า “เซิร์ฟเวอร์ของกลุ่ม REvil ได้ถูกบุกรุก และลบเส้นทางการติดต่อสื่อสาร” ซึ่งกลุ่ม.REvil ransomware ได้รับความสนใจและถูกตรวจสอบครั้งใหญ่หลังจากโจมตี JBS และ Kaseya เมื่อต้นปีที่ผ่านมา ส่งผลให้ เครือข่าย Darknet ของกลุ่ม REvil หยุดให้บริการ ภายในเดือนกรกฎาคม 2564 ซึ่งต่อมากลุ่ม REvil ได้กลับมาอีกครั้งเมื่อวันที่ 9 กันยายน 2564 และได้พบว่ามีการรั่วไหลของข้อมูลจากบริษัททั้ง 2 ที่กล่าวในข้างต้น ก่อนที่จะหายตัวไปอีกครั้ง
เมื่อเดือนกันยายน 2564 เว็ปไซต์ข่าว Washington Post ได้รายงานว่าสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) สามารถยึดครองเครื่องเซิร์ฟเวอร์ของกลุ่ม REvil ได้สำเร็จและดำเนินการขัดขวางกิจกรรมที่เป็นอันตรายโดยการระงับการแชร์ตัวถอดรหัสที่ใช้สำหรับเรียกค่าไถ่กับเหยื่อที่ถูกโจมตีด้วย Kaseya ransomware
หลังจากที่ได้รับคีย์ดิจิทัลจาก “law enforcement partner.” ในปลายเดือนกรกฎาคม Bitdefender ซึ่งเป็น บริษัทรักษาความมั่นคงปลอดภัยทางไซเบอร์ของโรมาเนียก็สามารถใช้ตัวถอดรหัสร่วมกันได้
ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์
ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง
เผยแพร่ : วันที่ 28 ตุลาคม 2564