Nhóm hacker chuyên dùng mã độc tống tiền bị lộ dữ liệu

Phương Anh17:26 03/03/2022

Các chiến thuật tấn công mạng, bí mật và cả mâu thuẫn nội bộ của Conti, một trong những nhóm về ransomware (mã độc tống tiền) thành công nhất thế giới, đã bị rò rỉ.

Conti đang chật vật xử lý khủng hoảng trước việc kho dữ liệu nội bộ khổng lồ của mình bị rò rỉ. Theo các nhà nghiên cứu, Conti có trụ sở tại Nga và đã tống tiền hàng triệu USD các công ty Mỹ, châu Âu trong những năm gần đây. Conti cung cấp phần mềm độc hại cho các chi nhánh trên toàn thế giới để triển khai tấn công đòi tiền chuộc đối với nạn nhân.

Alex Holden, giám đốc về an ninh mạng tại Hold Security LLC, cho biết vụ rò rỉ dữ liệu này tiết lộ chi tiết chưa từng thấy về cơ sở hạ tầng tấn công, địa chỉ Bitcoin, cũng như xung đột và cáo buộc nội bộ.

Vụ rò rỉ dữ liệu tiết lộ chi tiết chưa từng thấy về cơ sở hạ tầng tấn công cũng như xung đột nội bộ của Conti

Tận dụng dữ liệu bị rò rỉ

Ông Allan Liska, chuyên gia phân tích tình báo tại công ty an ninh mạng Recorded Future có trụ sở tại Massachusetts (Mỹ) cho biết dữ liệu bị rò rỉ xuất hiện dưới dạng nhật ký trò chuyện, và nội dung trò chuyện diễn ra trong khoảng thời gian từ 13 tháng trở lại đây. “Tôi đã tìm thấy hơn 150 ví Bitcoin, có rất nhiều phân tích cần phải được thực hiện với lượng dữ liệu này”, ông Liska nói.

Video đang HOT

Cơ sở hạ tầng back-end mà quản trị viên Conti hoặc chi nhánh có liên quan sử dụng trong các cuộc tấn công ransomware giờ đã được phơi bày ra “cho các chính phủ hoặc các công ty an ninh mạng dò tìm điểm yếu”. Mặc dù cấu trúc bên trong có thể bị thay đổi, nhưng “bây giờ chúng tôi biết cấu trúc back-end đó trông như thế nào và chúng tôi biết phải tìm kiếm điều gì”, ông Liska nói.

Các nhà điều tra trước đây đã sử dụng dữ liệu tài chính, ví dụ như địa chỉ ví tiền điện tử, để lập bản đồ hoạt động của các nhóm tấn công ransomware, và trong một số trường hợp có thể thu giữ những khoản tiền. Dữ liệu kỹ thuật mới bị rò rỉ cung cấp cho nhân viên an ninh manh mối về cách chặn các cuộc tấn công tiềm năng từ phía Conti trong tương lai.

Ông Alex Holden của Hold Security cũng mô tả những gì ông thấy về vụ rò rỉ dữ liệu. “Chúng tôi thấy các hoạt động tài chính và nguyện vọng của họ, chẳng hạn như họ nói về việc xây dựng tiền điện tử của riêng mình. Chúng tôi cũng thấy họ mâu thuẫn, chiến đấu với nhau. Một trong số họ gần đây đã mã hóa dữ liệu của một bệnh viện đầy bệnh nhân bại não”. Danh tính của người làm rò rỉ thông tin hiện không rõ ràng.

Không ít người cho rằng vụ việc lần này sẽ đặt dấu chấm hết cho sự thống trị của Conti trên thị trường ransomware. Tuy nhiên, vẫn còn nhiều nhóm khác sẵn sàng vươn lên để lấp đầy khoảng trống đó. LockBit, nhóm tội phạm mạng chuyên cung cấp dịch vụ ransomware cho tin tặc, cuối tuần qua đã đưa ra bản liệt kê một số quốc tịch mà nhóm này tính vào trong cộng đồng của mình.

“Đối với chúng tôi, đó chỉ là công việc kinh doanh, và tất cả chúng tôi đều phi chính trị. Chúng tôi chỉ quan tâm đến tiền trong công việc. Chúng tôi sẽ không bao giờ tham gia tấn công mạng vào cơ sở hạ tầng quan trọng của bất kỳ nước nào trên thế giới, hoặc tham gia vào bất kỳ cuộc xung đột quốc tế nào”, LockBit tuyên bố.

Fortinet: Mã độc tống tiền vẫn tiếp tục "uy hiếp" các doanh nghiệp

Nhận định tại Việt Nam những năm gần đây tấn công ransomware - mã độc tống tiền được ghi nhận ở nhiều lĩnh vực, chuyên gia Fortinet khuyến nghị các tổ chức, cá nhân cần nâng cao nhận thức để nhận biết các "bẫy" ngày càng tinh vi của hacker.

Hãng bảo mật Fortinet mới đây đã công bố Báo cáo Toàn cảnh các mối đe dọa an ninh mạng toàn cầu nửa đầu năm 2021 do FortiGuard Labs thực hiện.

Báo cáo chỉ ra sự tăng trưởng đáng kể về số lượng và mức độ tinh vi của những cuộc tấn công nhắm tới cá nhân, tổ chức, cũng như ngày càng nhiều hơn tới các cơ sở hạ tầng thiết yếu. Bề mặt tấn công đang mở rộng bởi lực lượng lao động làm việc từ xa hay kết hợp có kết nối cả trong và ngoài mạng truyền thống, đang tiếp tục trở thành mục tiêu tấn công.

Cụ thể, nghiên cứu mới của Fortinet chỉ ra rằng, cứ 4 tổ chức lại có 1 đơn vị phát hiện quảng cáo độc hại. Xếp hạng mức độ phổ biến trong phát hiện phần mềm độc hại cho thấy sự tăng trưởng của tấn công phi kỹ thuật lừa đảo gồm malvertising (quảng cáo độc hại) và scareware (phần mềm hù dọa giả mạo). Hơn một phần tư số lượng các tổ chức đã khám phá ra các đợt tấn công malvertising hay scareware, với Cryxos là loại mã độc phổ biến.

Dù vậy, đa số trường hợp phát hiện có khả năng được kết hợp với các chiến dịch JavaScript tương tự khác được coi như malvertising. Thực trạng làm việc theo phương thức kết hợp cả từ xa và tại văn phòng hiện nay đã làm gia tăng xu hướng sử dụng chiến thuật này của tội phạm mạng khi chúng cố gắng khai thác điểm yếu, không chỉ nhằm mục đích hù dọa mà còn để tống tiền.

"Nâng cao nhận thức về an ninh mạng là điều quan trọng hơn bao giờ hết nhằm cung cấp kiến thức và đào tạo kỹ năng kịp thời giúp mọi người tránh được việc trở thành nạn nhân của các chiến thuật lừa đảo bằng scareware và malvertising", chuyên gia Fortinet cho hay.

Báo cáo của hãng bảo mật còn cho thấy, có sự gia tăng trong hoạt động của botnet (máy tính ma - PV). Vào đầu năm nay, 35% tổ chức đã phát hiện hoạt động của botnet ở dạng này hay dạng khác, nhưng 6 tháng sau con số lên tới 51%.

Đáng chú ý, dữ liệu từ FortiGuard Labs chỉ ra rằng mức độ hoạt động trung bình hàng tuần của mã độc tống tiền vào tháng 6/2021 đã cao hơn gấp 10 lần so với 1 năm về trước. Đây là sự tăng trưởng liên tục và đáng lo ngại trong 1 năm qua.

Sự gia tăng của ransomware trong 12 tháng qua, từ tháng 7/2020 đến tháng 6/2021, theo nghiên cứu của Fortinet.

Các cuộc tấn công đã phá hoại chuỗi cung ứng của nhiều tổ chức thuộc các lĩnh vực trọng yếu đồng thời gây ảnh hưởng tới cuộc sống hàng ngày, năng suất làm việc và kinh doanh thương mại nhiều hơn bao giờ hết. Các tổ chức trong lĩnh vực viễn thông là mục tiêu bị tấn công nặng nề nhất, sau đó là các cơ quan chính phủ, các đơn vị cung ứng dịch vụ an ninh được quản lý, ngành ô tô và lĩnh vực chế tạo.

Hơn nữa, một số kẻ tấn công sử dụng mã độc tống tiền đã thay đổi chiến lược, tập trung vào việc chiếm dụng và bán quyền truy cập ban đầu vào các hệ thống mạng công ty. Điều đó cho thấy sự biến đổi không ngừng của tội phạm mạng cung cấp mã độc tống tiền như một dịch vụ (RaaS).

Ngoài ra, một trong những đúc kết quan trọng nữa của Báo cáo mới được Fortinet công bố là ransomware vẫn duy trì như một mối nguy hiểm rõ ràng với tất cả các tổ chức ở mọi quy mô và lĩnh vực.

"Các tổ chức cần một phương thức tiếp cận chủ động với những giải pháp bảo vệ điểm cuối, phát hiện và ứng phó tự động theo thời gian thực để bảo vệ các môi trường, đồng thời triển khai hình thức truy cập zero-trust, phân đoạn mạng và mã hóa dữ liệu", chuyên gia Fortinet khuyến nghị.

Theo Giám đốc quốc gia Fortinet Việt Nam Nguyễn Gia Đức, tại Việt Nam, những năm gần đây phương thức tấn công ransomware cũng được ghi nhận ở nhiều lĩnh vực khác nhau. Fortinet khuyến cáo các tổ chức, cá nhân luôn nâng cao nhận thức an toàn thông tin để nhận biết được các "bẫy" ngày càng tinh vi của hacker.

Song song đó, các tổ chức, doanh nghiệp cần thường xuyên đánh giá lại hệ thống bảo mật của đơn vị mình, cập nhật hệ điều hành và bản vá để tránh việc hacker khai thác lỗ hồng từ những thiết bị cũ, không được cập nhật. "Cuối cùng, áp dụng một chiến lược, một chính sách bảo mật xuyên suốt trong tổ chức là cần thiết đặc biệt trong bối cảnh đại dịch khi người dùng phải làm việc kết hợp hay hoàn toàn từ xa", ông Nguyễn Gia Đức thông tin thêm.

Chuyên gia Fortinet nhấn mạnh: "Sự phát triển trong các mối quan hệ hợp tác, hỗ trợ tại khu vực công và tư nhân, cùng với việc thi hành các quy định pháp luật về an toàn thông tin, an ninh mạng chặt chẽ hơn sẽ là điều kiện cần thiết để phá hủy hệ sinh thái tội phạm mạng trong nửa cuối của năm 2021".

Trận chiến 'từng mili giây' chống mã độc tống tiềnCác nhà khoa học máy tính đang nỗ lực đẩy giới hạn thời gian của phần mềm để tìm ra cách ngăn chặn gần như tức thời các cuộc tấn công phá hủy mạng máy tính. Một loạt cuộc tấn công ransomware gần đây đã khiến những người có chức trách phải tập trung chú ý vào vấn đề thời gian 115 mili...