Mỹ truy tố hình sự bác sĩ tim mạch bán phần mềm mã độc tống tiền
Một bác sĩ tim mạch người Venezuela tự học lập trình, bán phần mềm cho hacker người Iran tống tiền các doanh nghiệp Israel, đang đối mặt với cáo buộc hình sự từ tòa án tại Mỹ.
Ngày 16/5, các công tố viên Mỹ đưa ra cáo buộc hình sự với Moises Zagala, 55 tuổi, quốc tịch Venezuela, do bán phần mềm cho các nhóm tội phạm mạng chuyên tống tiền.
Theo đó, Zagala đã quảng cáo công cụ phần mềm do mình tự viết, Jigsaw v.2 trên một diễn đàn trực tuyến với giá 500 USD và chào bán mã nguồn với giá 3.000 USD.
Breon Peace, công tố viên quận Đông New York cho biết Zagala đã khoe khoang về những cuộc tấn công thành công nhờ sử dụng chương trình của mình, “trong đó có cả những tác nhân độc hại có liên hệ với chính phủ Iran”.
Video đang HOT
Vị bác sĩ tim mạch đối mặt với 2 tội danh gồm cố gắng xâm nhập máy tính và âm mưu xâm nhập máy tính. Zagala đang sinh sống tại Ciudad Bolivar, Venezuela và chưa bị chính phủ Mỹ bắt giữ.
Theo báo cáo của đặc vụ FBI Chris Clark, vào cuối năm 2019, bác sỹ này còn cung cấp một phần mềm khác có tên Thanos cho tin tặc để đổi lấy một phần lợi nhuận từ các cuộc tấn công tống tiền.
Năm 2020, Zagala đăng tải các đường link bài viết bằng tiếng Nga cho thấy MuddyWater, nhóm hacker của Iran, đã sử dụng Thanos để nhằm vào các tổ chức của Israel.
Vào tháng 2, nhà chức trách Mỹ liệt MuddyWater vào danh sách các tổ chức mạng có liên hệ với Iran và cho biết nhóm này đã nhắm mục tiêu vào một loạt công ty tư nhân cũng như tổ chức phi chính phủ từ châu Á, châu Phi, châu Âu cho tới Bắc Mỹ. Đại diện của Iran tại Liên hợp quốc gọi cáo buộc trên là “vô căn cứ”.
Theo hồ sơ gửi lên toà, một số khách hàng đã trực tiếp chuyển tiền thanh toán vào tài khoản Paypal do anh trai Zagala đứng tên, hiện ở tại Florida.
Nhóm hacker chuyên dùng mã độc tống tiền bị lộ dữ liệu
Các chiến thuật tấn công mạng, bí mật và cả mâu thuẫn nội bộ của Conti, một trong những nhóm về ransomware (mã độc tống tiền) thành công nhất thế giới, đã bị rò rỉ.
Conti đang chật vật xử lý khủng hoảng trước việc kho dữ liệu nội bộ khổng lồ của mình bị rò rỉ. Theo các nhà nghiên cứu, Conti có trụ sở tại Nga và đã tống tiền hàng triệu USD các công ty Mỹ, châu Âu trong những năm gần đây. Conti cung cấp phần mềm độc hại cho các chi nhánh trên toàn thế giới để triển khai tấn công đòi tiền chuộc đối với nạn nhân.
Alex Holden, giám đốc về an ninh mạng tại Hold Security LLC, cho biết vụ rò rỉ dữ liệu này tiết lộ chi tiết chưa từng thấy về cơ sở hạ tầng tấn công, địa chỉ Bitcoin, cũng như xung đột và cáo buộc nội bộ.
Vụ rò rỉ dữ liệu tiết lộ chi tiết chưa từng thấy về cơ sở hạ tầng tấn công cũng như xung đột nội bộ của Conti
Tận dụng dữ liệu bị rò rỉ
Ông Allan Liska, chuyên gia phân tích tình báo tại công ty an ninh mạng Recorded Future có trụ sở tại Massachusetts (Mỹ) cho biết dữ liệu bị rò rỉ xuất hiện dưới dạng nhật ký trò chuyện, và nội dung trò chuyện diễn ra trong khoảng thời gian từ 13 tháng trở lại đây. "Tôi đã tìm thấy hơn 150 ví Bitcoin, có rất nhiều phân tích cần phải được thực hiện với lượng dữ liệu này", ông Liska nói.
Cơ sở hạ tầng back-end mà quản trị viên Conti hoặc chi nhánh có liên quan sử dụng trong các cuộc tấn công ransomware giờ đã được phơi bày ra "cho các chính phủ hoặc các công ty an ninh mạng dò tìm điểm yếu". Mặc dù cấu trúc bên trong có thể bị thay đổi, nhưng "bây giờ chúng tôi biết cấu trúc back-end đó trông như thế nào và chúng tôi biết phải tìm kiếm điều gì", ông Liska nói.
Các nhà điều tra trước đây đã sử dụng dữ liệu tài chính, ví dụ như địa chỉ ví tiền điện tử, để lập bản đồ hoạt động của các nhóm tấn công ransomware, và trong một số trường hợp có thể thu giữ những khoản tiền. Dữ liệu kỹ thuật mới bị rò rỉ cung cấp cho nhân viên an ninh manh mối về cách chặn các cuộc tấn công tiềm năng từ phía Conti trong tương lai.
Ông Alex Holden của Hold Security cũng mô tả những gì ông thấy về vụ rò rỉ dữ liệu. "Chúng tôi thấy các hoạt động tài chính và nguyện vọng của họ, chẳng hạn như họ nói về việc xây dựng tiền điện tử của riêng mình. Chúng tôi cũng thấy họ mâu thuẫn, chiến đấu với nhau. Một trong số họ gần đây đã mã hóa dữ liệu của một bệnh viện đầy bệnh nhân bại não". Danh tính của người làm rò rỉ thông tin hiện không rõ ràng.
Không ít người cho rằng vụ việc lần này sẽ đặt dấu chấm hết cho sự thống trị của Conti trên thị trường ransomware. Tuy nhiên, vẫn còn nhiều nhóm khác sẵn sàng vươn lên để lấp đầy khoảng trống đó. LockBit, nhóm tội phạm mạng chuyên cung cấp dịch vụ ransomware cho tin tặc, cuối tuần qua đã đưa ra bản liệt kê một số quốc tịch mà nhóm này tính vào trong cộng đồng của mình.
"Đối với chúng tôi, đó chỉ là công việc kinh doanh, và tất cả chúng tôi đều phi chính trị. Chúng tôi chỉ quan tâm đến tiền trong công việc. Chúng tôi sẽ không bao giờ tham gia tấn công mạng vào cơ sở hạ tầng quan trọng của bất kỳ nước nào trên thế giới, hoặc tham gia vào bất kỳ cuộc xung đột quốc tế nào", LockBit tuyên bố.
Phần mềm bảo mật của Microsoft nhận diện Office là... mã độc tống tiền May mắn thay, Microsoft đã nhanh chóng khắc phục vấn đề này. Đội ngũ phát triển của Microsoft mới đây đã mắc phải một sai lầm tương đối tai hại, khi phần mềm bảo mật Defender của hãng đã nhận diện một thành phần của bộ ứng dụng văn phòng Office do chính Microsoft phát triển là... mã độc. Cụ thể, sau bản...