Các nhóm ransomware khét tiếng đại chiến, nhiều doanh nghiệp có thể bị tống tiền 2 lần

6 giờ trướcBài gốc

Nhóm ransomware khét tiếng có liên quan đến cuộc tấn công mạng gần đây vào các nhà bán lẻ lớn của Anh như M&S, Harrods và Co-Op đã bắt đầu một cuộc chiến giành lãnh địa với các đối thủ của mình. Động thái này châm ngòi cho cuộc chiến nội bộ trong môi trường tội phạm mạng tống tiền mà có thể dẫn đến nhiều vụ hack hơn và hậu quả nghiêm trọng hơn cho các doanh nghiệp.

Nhóm ransomware là tổ chức hoặc mạng lưới tội phạm mạng chuyên phát triển, phát tán và sử dụng ransomware (mã độc tống tiền) để thực hiện các cuộc tấn công nhằm thu lợi bất chính. Thay vì một cá nhân riêng lẻ, các cuộc tấn công ransomware ngày nay thường được thực hiện bởi các nhóm có cấu trúc và hoạt động chuyên nghiệp.

Cách thức hoạt động của các nhóm ransomware

Các nhóm ransomware không chỉ đơn thuần là những kẻ tấn công đơn lẻ, mà hoạt động với một mô hình phức tạp và có tổ chức:

Phân công vai trò: Trong một nhóm ransomware, có các thành viên chuyên về nghiên cứu và phát triển mã độc, những người khác tập trung vào việc tìm kiếm và khai thác lỗ hổng bảo mật, kẻ chuyên thâm nhập mạng lưới và chuyên đàm phán tiền chuộc.

Mô hình ransomware-as-a-service (RaaS): Nhiều nhóm hoạt động theo mô hình RaaS. Theo đó, những kẻ phát triển ransomware sẽ tạo ra các công cụ và hạ tầng cần thiết, sau đó cho thuê hoặc bán chúng cho những kẻ tấn công khác (thường được gọi là đối tác liên kết). Các đối tác liên kết này sẽ trực tiếp thực hiện cuộc tấn công và chia sẻ lợi nhuận với nhà phát triển ransomware. Điều này giúp mở rộng quy mô và tần suất các cuộc tấn công.

Gây áp lực tống tiền: Đây là chiến thuật phổ biến mà các nhóm ransomware sử dụng. Ngoài việc mã hóa dữ liệu, chúng còn đánh cắp dữ liệu nhạy cảm của nạn nhân. Nếu nạn nhân không trả tiền chuộc, các nhóm ransomware sẽ đe dọa công khai hoặc bán dữ liệu đó trên dark web (web tối), tạo thêm áp lực để nạn nhân phải trả tiền.

Chiến thuật tinh vi: Các nhóm này thường sử dụng các kỹ thuật tấn công phi kỹ thuật như gửi email lừa đảo (phishing), khai thác lỗ hổng trong phần mềm và hệ điều hành, hoặc mua lại thông tin đăng nhập đã bị đánh cắp để giành quyền truy cập vào mạng lưới của nạn nhân.

Cơ sở hạ tầng dark web: Chúng thường quảng bá dịch vụ, liên lạc với các đối tác liên kết và thực hiện giao dịch trên dark web để duy trì tính ẩn danh.

DragonForce đại chiến với RansomHub

DragonForce, nhóm tội phạm mạng chủ yếu nói tiếng Nga đứng đằng sau hàng loạt vụ tấn công đình đám năm nay, đã đụng độ với một trong những đối thủ lớn nhất của mình là RansomHub, theo các chuyên gia an ninh mạng đang theo dõi cuộc chiến để thống trị môi trường tội phạm tống tiền đang bùng nổ này.

Họ cảnh báo rằng cuộc xung đột giữa DragonForce và RansomHub, hoạt động trong thị trường RaaS, có thể làm tăng rủi ro cho các công ty, gồm cả khả năng bị tống tiền hai lần.

Ông Toby Lewis, người đứng đầu toàn cầu về phân tích mối đe dọa tại hãng Darktrace, cho biết: "Trong thế giới hacking, không có danh dự giữa những kẻ trộm. Hầu hết nhóm tội phạm mạng đều có nhu cầu sâu xa về việc được công nhận và thể hiện sự vượt trội. Điều này có thể khiến chúng cố gắng vượt mặt nhau bằng cách cùng nhắm đến một mục tiêu để tấn công và tống tiền".

Hacking là hành động truy cập hoặc điều khiển hệ thống máy tính, mạng hoặc thiết bị số mà không có sự cho phép hợp pháp.

Darktrace là công ty an ninh mạng Anh, nổi tiếng với việc tiên phong ứng dụng trí tuệ nhân tạo (AI) và học máy vào việc bảo vệ các tổ chức khỏi các mối đe dọa mạng. Điểm đặc biệt của Darktrace nằm ở cách tiếp cận "hệ miễn dịch tự học" với an ninh mạng:

Học hỏi và xây dựng: Thay vì chỉ dựa vào các dấu hiệu tấn công đã biết, hệ thống AI của Darktrace sẽ liên tục giám sát toàn bộ mạng lưới của một tổ chức (gồm IT, internet vạn vật, công nghệ vận hành, đám mây, email, thiết bị đầu cuối...) để học hỏi và xây dựng một "hình mẫu bình thường" về hành vi của mọi người dùng, thiết bị và ứng dụng.

Phát hiện bất thường: Khi phát hiện bất kỳ sự lệch lạc nào so với "hình mẫu bình thường" này, dù là nhỏ nhất và chưa từng thấy trước đây, AI sẽ coi đó là dấu hiệu tiềm ẩn của mối đe dọa. Điều này cho phép Darktrace phát hiện các cuộc tấn công mới, tinh vi mà các giải pháp bảo mật truyền thống có thể bỏ lỡ.

Phản ứng tự động: Một trong những tính năng mạnh mẽ nhất của Darktrace là khả năng phản ứng tự động. Khi xác định một mối đe dọa, AI của Darktrace có thể thực hiện các hành động chính xác để vô hiệu hóa cuộc tấn công trong thời gian thực, ví dụ cô lập thiết bị bị nhiễm, chặn luồng dữ liệu độc hại hoặc ngăn chặn các hành vi đáng ngờ, mà không cần sự can thiệp từ con người và không làm gián đoạn hoạt động kinh doanh.

Phân tích chuyên sâu: Darktrace cũng cung cấp khả năng phân tích và điều tra chuyên sâu, giúp các đội ngũ an ninh mạng hiểu rõ hơn về bản chất của các mối đe dọa và cải thiện khả năng phòng thủ của mình theo thời gian.

Các băng nhóm RaaS hoạt động bằng cách bán công cụ và cơ sở hạ tầng cần thiết để truy cập vào hệ thống nội bộ của những công ty và tống tiền. Chúng hoạt động trên dark web, cạnh tranh để bán dịch vụ cho những kẻ muốn thực hiện hành vi tấn công mạng, được gọi là đối tác liên kết, chẳng hạn Scattered Spider. Nhóm này có liên quan đến vụ tấn công M&S, và cả hãng hàng không Qantas (Úc) tuần trước.

Scattered Spider là tên được đặt (không chính thức) cho nhóm tội phạm mạng gồm các cá nhân trẻ tuổi, chủ yếu từ Mỹ và Anh, hoạt động phân tán và phi tập trung, nổi lên từ khoảng năm 2022.

DragonForce và RansomHub đại chiến, nhiều doanh nghiệp đối mặt nguy cơ bị tống tiền 2 lần - Ảnh: Internet

Mối quan hệ giữa DragonForce và RansomHub trở nên xấu đi sau khi DragonForce tái định vị thương hiệu thành "cartel" vào tháng 3, mở rộng các dịch vụ cung cấp và tiếp cận để thu hút thêm đối tác liên kết.

Cartel là nhóm hacker đang cố mở rộng quy mô, hoạt động như tổ chức tội phạm thực thụ, không chỉ đơn lẻ.

Cùng tháng 3 đó, trang web RansomHub đã bị đánh sập với dòng chữ để lại là R.I.P 3/3/25, được cho là hành động mang tính tuyên chiến từ DragonForce, theo hãng Sophos. Để trả đũa, một thành viên của RansomHub đã làm biến dạng trang web DragonForce, gọi họ là "những kẻ phản bội".

Sophos là công ty phần mềm và phần cứng bảo mật có trụ sở tại Anh, nổi tiếng trong lĩnh vực an ninh mạng, chủ yếu tập trung vào việc cung cấp các giải pháp bảo mật cho các tổ chức, doanh nghiệp.

Bà Genevieve Stark, người đứng đầu bộ phận phân tích tội phạm mạng tại Google Threat Intelligence Group, cho biết DragonForce có thể đang cố gắng thu hút các đối tác liên kết của RansomHub. Nhóm hacker này cũng được cho là đứng sau các cuộc tấn công vào trang của các đối thủ khác, gồm cả BlackLock và Mamona, theo Sophos.

Google Threat Intelligence Group là nhóm phân tích mối đe dọa an ninh mạng thuộc Google, chuyên theo dõi, phân tích và cảnh báo về các mối đe dọa mạng phức tạp trên toàn cầu.

Genevieve Stark cảnh báo rằng bất kể động cơ là gì, hậu quả sẽ là sự gia tăng rủi ro về các cuộc tấn công mạng. Bà nói: "Sự bất ổn trong hệ sinh thái này có thể gây ra những hậu quả nghiêm trọng cho các nạn nhân của ransomware và bị đánh cắp dữ liệu để tống tiền".

UnitedHealth Group bị tống tiền hai lần

Dù bị tống tiền hai lần vẫn còn hiếm, UnitedHealth Group (Mỹ) đã trở thành nạn nhân của một vụ vào năm ngoái do mâu thuẫn giữa các nhóm ransomware.

UnitedHealth Group là tập đoàn chăm sóc sức khỏe đa quốc gia của Mỹ. Đây là một trong những công ty chăm sóc sức khỏe lớn nhất và đa dạng nhất trên thế giới xét về doanh thu, số lượng khách hàng.

Trong trường hợp đó, nhóm hacker Notchy ban đầu làm việc với một nhóm RaaS để tống tiền UnitedHealth. Nhóm RaaS này đòi được 22 triệu USD từ UnitedHealth Group nhưng sau đó "lật mặt", để chiếm toàn bộ số tiền, không chia cho Notchy. Tức giận, Notchy chuyển sang liên hệ với RansomHub để tống tiền UnitedHealth Group lần thứ hai, mong gỡ gạc lại khoản tiền bị mất, theo các chuyên gia an ninh mạng.

Một người quen thuộc với vụ việc liên quan UnitedHealth Group cho biết nhiều nỗ lực tống tiền là phổ biến trong các cuộc tấn công mạng, nhưng các nỗ lực tiếp theo thường mang tính cơ hội và thiếu sức nặng thực sự.

Rafe Pilling, Giám đốc tình báo mối đe dọa tại Sophos, cho biết trong trường hợp xấu nhất, cuộc xung đột giữa DragonForce và RansomHub có thể khiến cả hai cùng nhắm mục tiêu vào cùng một nạn nhân trong cuộc chiến giành lợi ích.

Ông nói thêm: "Tội phạm mạng thường tàn nhẫn và sự phản bội giữa các đối tác có thể dẫn đến tình huống nạn nhân bị tống tiền hai lần".

Chi phí toàn cầu do tội phạm mạng gây ra có thể lên đến 10.000 USD

Chi phí toàn cầu do tội phạm mạng gây ra được dự đoán sẽ lên đến 10.000 USD vào năm 2025, tăng từ 3.000 tỉ USD trong 2015, theo Cybersecurity Ventures. Điều này cho thấy các nhóm hacker ngày càng tìm cách tối đa hóa lợi nhuận thông qua các cuộc tấn công của chúng.

Cybersecurity Ventures là công ty nghiên cứu và tư vấn thông tin thị trường về an ninh mạng, không phải là quỹ đầu tư mạo hiểm.

Bị phát hiện đầu tiên vào tháng 8.2023, DragonForce đã liệt kê tổng cộng 82 nạn nhân trên trang dark web của mình trong 12 tháng sau đó, theo hãng an ninh mạng Group-IB (được thành lập tại Nga và có trụ sở chính toàn cầu ở Singapore). Trong khi RansomHub, cũng nổi lên vào năm 2023, đã ghi nhận khoảng 500 nạn nhân trên trang web của mình chỉ trong năm 2024.

Jake Moore, cố vấn an ninh mạng toàn cầu tại hãng ESET (Slovakia), cảnh báo rằng sự biến động của tình hình có thể khiến các chiến thuật phòng thủ và phản ứng của các công ty dễ bị tổn thương hơn.

Ông nói: "Hãy nhớ rằng đây là môi trường vô pháp, nơi các quy tắc cạnh tranh thông thường đơn giản là không tồn tại".

Sơn Vân

Nguồn Một Thế Giới : https://1thegioi.vn/cac-nhom-ransomware-khet-tieng-dai-chien-nhieu-doanh-nghiep-co-the-bi-tong-tien-2-lan-234643.html