การหายตัวไปของกลุ่มมัลแวร์เรียกค่าไถ่ REvil ในต้นสัปดาห์นี้ เป็นผลจากการร่วมมือกันของผู้บังคับใช้กฎหมายสหรัฐ และหน่วยงานจากหลายประเทศ
กลุ่มมัลแวร์เรียกค่าไถ่ REvil หรือที่รู้จักในอีกชื่อ Sodinokibi เป็นกลุ่มที่อยู่เบื้องหลังการโจมตี May cyberattack ที่ได้ทำการโจมตีบริษัท Colonial Pipeline ผู้ให้บริการเครือข่ายท่อส่งน้ำมันรายใหญ่ของสหรัฐ ซึ่งส่งผลให้เกิดการขาดแคลนน้ำมันเป็นวงกว้างในบริเวณชายฝั่งทางตะวันออกของสหรัฐอเมริกา
ทางการสหรัฐกล่าวว่าการโจมตีบริษัท Colonial Pipeline นั้นใช้ซอฟต์แวร์เข้ารหัสที่ชื่อว่า DarkSide ซึ่งถูกสร้างโดยผู้ที่เกี่ยวข้องกับ REvil
กลุ่มมัลแวร์เรียกค่าไถ่ REvil ปิดเซิร์ฟเวอร์ไปครั้งแรก เมื่อเดือนกรกฎาคม ซึ่งเป็นช่วงเดียวกันกับที่มีการกดดันให้รัสเซียดำเนินการจัดการกับกลุ่มมัลแวร์เรียกค่าไถ่ ภายในประเทศ และเซิร์ฟเวอร์ของกลุ่มได้กลับมาออนไลน์อีกครั้งในเดือนกันยายนจนถึงปัจจุบัน ก่อนจะถูกปิดไปอีกครั้งโดยหน่วยงานของสหรัฐฯ
ผู้ที่ถูกกล่าวหาว่าเป็นตัวแทนของกลุ่ม REvil กล่าวว่ามีบุคคลที่ไม่ทราบตัวตน ได้เข้าถึงระบบภายในของเว็บไซต์บางส่วนของกลุ่ม REvil ได้แก่ Landing page และ Blog ทำให้เขาคาดว่า ข้อมูลสำรอง (Backups) ของเว็บไซต์ และ Key สำหรับจัดการกับ Onion service นั้นถูกบุคคลที่สามเข้าถึงได้แล้ว
แหล่งข่าวไม่เปิดเผยตัวรายหนึ่งบอกกับสำนักข่าว Reuters ว่าบุคคลที่ไม่ทราบตัวตน และเป็นคนลงมือแฮ็กเซิร์ฟเวอร์ของ REvil นั้นเป็นชาวต่างชาติที่ร่วมมือกับสำนักงานสอบสวนกลางแห่งสหรัฐอเมริกา (FBI) กองบัญชาการไซเบอร์ (U.S. Cyber Command) หน่วยสืบราชการลับ (Secret Service) และรัฐบาลของอีกหลายประเทศที่ไม่ได้เปิดเผยชื่อ “เอฟบีไอ ร่วมมือกับ กองบัญชาการไซเบอร์ หน่วยสืบราชการลับ และประเทศอื่น ๆ ที่มีความตั้งใจแบบเดียวกัน ได้มีส่วนร่วมสำคัญในการช่วยกันจัดการกับกลุ่มแฮ็กเกอร์ลักษณะนี้ โดย REvil นั้นอยู่ในอันดับต้น ๆ ของลิสต์เลย” กล่าวโดย Kellermann ที่ปรึกษาของหน่วยสืบราชการลับ
รายงานยังกล่าวว่า ทางสหรัฐฯ ได้ทำการแฮ็กเข้าไปยังระบบ Network infrastructure ของกลุ่ม REvil ได้สำเร็จ และสามารถเข้าควบคุมเครื่องเซิร์ฟเวอร์บางส่วนได้ตั้งแต่เดือนกรกฎาคม ช่วงเดียวกับที่ทางกลุ่ม REvil ประกาศยุติการดำเนินการ และเมื่อช่วงเดือนกันยายน ทางกลุ่ม REvil ได้ทำการ Restore เซิร์ฟเวอร์เว็บไซต์ให้กลับมาใช้งานได้ด้วยข้อมูลสำรอง (Backups) ซึ่งทางกลุ่มไม่รู้เลยว่าได้ไป Restart ระบบภายในบางอย่างซึ่งอยู่บน Server ที่ถูกเข้าควบคุมโดยแฮ็กเกอร์ที่ร่วมมือกับสหรัฐแล้ว ทำให้ทางการตรวจพบและได้สั่งปิด Service ของกลุ่ม REvil ไปในต้นสัปดาห์นี้ ทางการยังกล่าวอีกว่าขณะนี้ก็ยังทำการเจาะระบบของ REvil อยู่อย่างต่อเนื่อง
ทาง FBI และรัฐบาลสหรัฐฯ ปฏิเสธที่จะให้ความเห็นเกี่ยวกับเรื่องนี้ เพี่ยงแต่ระบุว่าตั้งใจจะจัดการกับปัญหามัลแวร์เรียกค่าไถ่กลุ่มนี้ และมัลแวร์เรียกค่าไถ่อื่น ๆ ที่โจมตีระบบโครงสร้างพื้นฐานสำคัญของประเทศ โดยจัดอยู่ลำดับเดียวกันกับภัยความมั่นคงแห่งชาติ เช่นเดียวกับการก่อการร้าย
ที่มา: siliconangle.com, reuters.com