ادعای رسانه‌های آلمان در مورد یکی از اعضای گروه باج افزاری رویل

به گزارش کارگروه امنیت سایبربان؛ برخی رسانه‌های آلمان مدعی هستند یکی از اعضای گروه باج افزاری رویل (REvil) را به نام نیکلای ک. را که در جنوب روسیه مستقر شده شناسایی کرده‌اند.

محققان هفته‌نامه دی زیت (Die Zeit) و ایستگاه رادیویی بایرشر راندفانک (Bayerischer Rundfunk) آلمان چندین ماه اقدام به جستجوی آثار و ردپاهای دیجیتال در شبکه‌های اجتماعی، کانال‌های ناشناس تلگرام کرده و دریافته‌اند که نیکلای حداقل شش بار از حساب‌های گروه‌های جرائم سایبری به آدرس و حساب خود مبالغ بیت کوین انتقال داده است.

آن‌ها در گزارش خود مدعی شده‌اند:

اگر نامی را که او در شبکه‌های اجتماعی استفاده می‌کند در گوگل جستجو کنید، آدرس ایمیلی که برای ثبت سایت‌های مختلف استفاده می‌شود را خواهید یافت. این سایت‌ها به چندین شماره تلفن همراه روس متصل هستند. یکی از این شماره موبایل‌ها به اکانت تلگرامی منتهی می‌شود که آدرس بیت کوین در آن منتشر شده است. بیش از 400 هزار یورو بیت کوین به این حساب واریز شده است. کارشناسان یک شرکت تحلیل بلاک چین که به بازرسان نیز کمک می‌کند می‌گویند این پول‌ها احتمالا حاصل اخاذی هستند.

باج افزار رویل که به سودینوکیبی (Sodinokibi) نیز شهرت دارد به‌عنوان سرویس به گروه‌های سایبری مختلفی اجاره داده می‌شود. این بدافزار قابلیت‌های بسیاری داشته و ردیابی عملیات آن بسیار دشوار است.

رویل در ردیف مشهورترین باج افزارهای حال حاضر ازجمله نت والکر (Netwalker)، داپل پیمر (DopplePaymer)، مِیز (Maze) و ریوک (Ryuk) قرار گرفته است. 

اخیرا خبرگزاری رویترز مدعی شده اف‌بی‌آی و کشورهای همسو به‌اتفاق هم یک عملیات سایبری علیه رویل انجام داده و آن را متوقف ساخته‌اند.  

رویترز گفته پرتال گروه به نام هپی بلاگ (Happy Blog) که در آن هکرها اسامی قربانیان حملات سایبری خود و همچنین نمونه‌هایی از داده‌های مسروقه را منتشر می‌کردند، از دسترس خارج‌شده است. 

در این میان، یادداشتی از کاربری به نام 0_neday نیز که احتمال می‌رود یکی از اعضای گروه رویل باشد، در فروم گروه‌های هکری منتشرشده است. این کاربر گفته سرورهای گروه توسط افرادی ناشناس هک شده و او نیز گروه رویل را ترک کرده است. 

چندی پیش نیز بلومبرگ گزارش داده بود سایت‌های گروه باج افزاری رویل که متهم به هک شرکت فراوری گوشت جی‌بی‌اس و شرکت سازنده نرم‌افزار کاسیا است، در دارک نت مسدود شده‌اند. 

منابع این خبرگزاری بعدا گزارش دادند هپی بلاگ مجداد راه‌اندازی شده است. پرتال مذکور بنا به ادعای این خبرگزاری پس از ماجرای حمله سایبری رویل به شرکت فراوری گوشت جی‌بی‌اس و شرکت نرم‌افزاری کاسیا به فعالیت خود پایان داده بود. 

حمله سایبری به کاسیا نیز که اوایل ماه ژوئیه رخ داد پیش از یک عملیات سایبری سازمان‌دهی شده محتمل علیه رویل روی داد و دست‌کم 6 شرکت ارائه‌دهنده خدمات اینترنتی را تحت تأثیر قرار داد. 

گفته شد داده‌های این شرکت‌ها توسط گروه باج افزاری رویل منتسب به روسیه رمزگذاری شده‌اند. رئیس‌جمهور آمریکا در این خصوص گفت مطمئن نیست حمله از سوی روسیه انجام‌شده است. در حمله به شرکت جی‌بی‌اس نیز که 31 می 2021 رخ داد، انگشت اتهام به سمت رویل نشانه رفت.  

سخنگوی کاخ سفید جنیفر ساکی اعلام کرد کاخ سفید اطلاعاتی در مورد اینکه مقامات روسیه حملات سایبری اخیر را علیه ایالات‌متحده سازمان‌دهی کرده‌اند، در اختیار ندارد؛ اما معتقد است که مسکو می‌بایست تدابیری در این راستا اتخاذ کند.  

سخنگوی کاخ کرملین نیز در پاسخ به این سؤال خبرنگاران که آیا از دسترس خارج شدن سایت‌های رویل به همکاری روسیه و آمریکا در حوزه امنیت سایبری ارتباط دارد، گفت:

من نمی‌دانم کدام گروه، از کجا ناپدیدشده است. ما معتقدیم که آن‌ها باید مجازات شوند. در سطح بین‌الملل ما معتقدیم که باید همه همکاری کنیم. در این مورد، روسیه و ایالات‌متحده باید تعامل داشته باشند تا از جرائم سایبری جلوگیری کنند. در مورد جزئیات مربوط به این گروه، متأسفانه من اطلاعاتی ندارم.