Sự kiện

Nắm giữ thế giới để đòi tiền chuộc: 5 băng nhóm trực tuyến hàng đầu

Những từ này trong phim hoạt hình nổi tiếng của Peter Steiner có thể dễ dàng được áp dụng cho cuộc tấn công ransomware gần đây nhằm vào nhà cung cấp phần mềm Kaseya có trụ sở tại Florida .

Kaseya cung cấp dịch vụ phần mềm cho hàng nghìn khách hàng trên khắp thế giới. Ước tính có khoảng 800 đến 1.500 doanh nghiệp vừa và nhỏ có thể bị ảnh hưởng bởi cuộc tấn công, với việc các tin tặc yêu cầu 50 triệu USD ( thấp hơn 70 triệu USD được báo cáo trước đó) để đổi lấy việc khôi phục quyền truy cập vào dữ liệu đang bị giữ để đòi tiền chuộc.

Cuộc tấn công ransomware toàn cầu được coi là cuộc tấn công lớn nhất được ghi nhận. Tổ chức tội phạm mạng của Nga REvil là thủ phạm bị cáo buộc.

Bất chấp sự nổi tiếng của nó, không ai thực sự biết REvil là gì, nó có khả năng gì hoặc tại sao nó làm được những gì nó làm – ngoài lợi ích trước mắt là những khoản tiền khổng lồ. Ngoài ra, các cuộc tấn công ransomware thường liên quan đến các mạng phân tán rộng lớn, vì vậy thậm chí không chắc các cá nhân liên quan sẽ biết nhau .

Các cuộc tấn công bằng mã độc tống tiền đang gia tăng theo cấp số nhân về quy mô và nhu cầu đòi tiền chuộc – thay đổi cách chúng ta hoạt động trực tuyến. Hiểu được những nhóm này là ai và họ muốn gì là điều quan trọng để hạ gục họ.

Dưới đây, chúng tôi liệt kê 5 tổ chức tội phạm nguy hiểm nhất trên mạng hiện nay. Theo những gì chúng tôi biết, những nhóm lừa đảo này không được bất kỳ nhà nước nào hậu thuẫn hoặc tài trợ .

DarkSide

DarkSide là nhóm đứng sau vụ tấn công đòi tiền chuộc của Colonial Pipeline vào tháng 5, làm đóng cửa mạng lưới phân phối nhiên liệu của Colonial Pipeline, gây ra lo ngại về tình trạng thiếu xăng.

Nhóm dường như nổi lên lần đầu tiên vào tháng 8 năm ngoái. Nó nhắm mục tiêu vào các công ty lớn sẽ bị bất kỳ sự gián đoạn nào đối với dịch vụ của họ – một yếu tố quan trọng, vì sau đó họ có nhiều khả năng trả tiền chuộc hơn. Các công ty như vậy cũng có nhiều khả năng có bảo hiểm mạng , đối với tội phạm, có nghĩa là kiếm tiền dễ dàng.

Mô hình kinh doanh của DarkSide là cung cấp dịch vụ ransomware . Nói cách khác, nó thực hiện các cuộc tấn công ransomware thay mặt cho / những thủ phạm ẩn giấu khác để họ có thể giảm bớt trách nhiệm của mình. Kẻ thực hiện và kẻ gây án sau đó chia nhau lợi nhuận.

Các nhóm cung cấp dịch vụ hỗ trợ tội phạm mạng cũng cung cấp thông tin liên lạc trên diễn đàn trực tuyến để hỗ trợ những người khác có thể muốn cải thiện kỹ năng chống tội phạm mạng của họ.

Điều này có thể liên quan đến việc dạy ai đó cách kết hợp các cuộc tấn công từ chối dịch vụ phân tán (DDoS) và ransomware , để tạo thêm áp lực cho các cuộc đàm phán. Phần mềm tống tiền sẽ ngăn một doanh nghiệp làm việc với các đơn đặt hàng trước đây và hiện tại, trong khi một cuộc tấn công DDoS sẽ chặn bất kỳ đơn đặt hàng mới nào.

REvil

Nhóm ransomware-as-a-service REvil hiện đang gây chú ý vì sự cố Kaseya đang diễn ra, cũng như một cuộc tấn công khác gần đây nhằm vào công ty chế biến thịt toàn cầu JBS . Nhóm này đã hoạt động đặc biệt tích cực trong giai đoạn 2020-2021.

Nắm giữ thế giới để đòi tiền chuộc: Top 5 băng nhóm trực tuyến 102
Trang web HappyBlog của REvil cho thấy nhu cầu tiền chuộc 70 triệu đô la Mỹ. Tác giả cung cấp

Vào tháng 4, REvil đã đánh cắp dữ liệu kỹ thuật về các sản phẩm Apple chưa được phát hành từ Quanta Computer, một công ty Đài Loan chuyên lắp ráp máy tính xách tay của Apple. Một khoản tiền chuộc 50 triệu USD đã được yêu cầu để ngăn chặn việc phát hành công khai dữ liệu bị đánh cắp. Hiện vẫn chưa tiết lộ số tiền này đã được thanh toán hay chưa.

Clop

Ransomware Clop được tạo ra vào năm 2019 bởi một nhóm hoạt động tài chính chịu trách nhiệm mang lại nửa tỷ đô la Mỹ .

Đặc sản của nhóm Clop là “tống tiền kép”. Điều này liên quan đến việc nhắm mục tiêu các tổ chức bằng tiền chuộc để đổi lấy khóa giải mã sẽ khôi phục quyền truy cập của tổ chức vào dữ liệu bị đánh cắp. Tuy nhiên, các mục tiêu sau đó sẽ phải trả thêm tiền chuộc để không công khai dữ liệu.

Các ví dụ lịch sử cho thấy rằng các tổ chức trả tiền chuộc một lần có nhiều khả năng sẽ trả lại trong tương lai. Vì vậy, tin tặc sẽ có xu hướng nhắm mục tiêu vào cùng một tổ chức, yêu cầu nhiều tiền hơn mỗi lần.

Nắm giữ thế giới để đòi tiền chuộc: Top 5 băng nhóm trực tuyến 103
Trang web ClopLeaks hiển thị các tệp đòi tiền chuộc có thể tải xuống trực tiếp. Tác giả cung cấp

Quân đội điện tử Syria

Khác xa với một băng nhóm tội phạm mạng điển hình, Quân đội Điện tử Syria đã tiến hành các cuộc tấn công trực tuyến kể từ năm 2011 để thúc đẩy tuyên truyền chính trị. Với động cơ này, họ được mệnh danh là nhóm hiếu chiến .

Mặc dù nhóm này có mối liên hệ với chế độ của Bashar al-Assad, nhưng nhiều khả năng nhóm này được tạo thành từ những người cảnh giác trực tuyến đang cố gắng trở thành phương tiện truyền thông phụ trợ cho quân đội Syria.

Kỹ thuật của họ là phân phối tin tức giả mạo thông qua các nguồn có uy tín. Vào năm 2013, một dòng tweet duy nhất do họ gửi từ tài khoản chính thức của Associated Press, hãng thông tấn hàng đầu thế giới, đã có tác dụng xóa sổ hàng tỷ USD khỏi thị trường chứng khoán.

Nắm giữ thế giới để đòi tiền chuộc: Top 5 băng nhóm trực tuyến 104
Dòng tweet giả mạo của AP từ Quân đội Điện tử Syria. www.theatlantic.com/

Quân đội Điện tử Syria khai thác thực tế là hầu hết mọi người trực tuyến có xu hướng giải thích và phản ứng với nội dung với một cảm giác tin tưởng ngầm. Và chúng là một ví dụ điển hình cho thấy ranh giới giữa các nhóm tội phạm và khủng bố trên mạng ít khác biệt hơn so với trong thế giới thực.

FIN7

Nếu danh sách này có thể chứa một “siêu phản diện”, thì nó sẽ là FIN7. Một nhóm khác có trụ sở tại Nga, FIN7 được cho là tổ chức tội phạm trực tuyến thành công nhất mọi thời đại. Hoạt động từ năm 2012, chủ yếu hoạt động như một doanh nghiệp .

Nhiều hoạt động của nó đã không bị phát hiện trong nhiều năm. Các vi phạm dữ liệu của nó đã khai thác các kịch bản tấn công chéo , trong đó vi phạm dữ liệu phục vụ nhiều mục đích. Ví dụ: nó có thể cho phép tống tiền thông qua đòi tiền chuộc đồng thời cho phép kẻ tấn công sử dụng dữ liệu chống lại nạn nhân, chẳng hạn như bằng cách bán lại dữ liệu đó cho bên thứ ba.

Đầu năm 2017, FIN7 bị cáo buộc đứng sau một cuộc tấn công nhắm vào các công ty cung cấp hồ sơ cho Ủy ban An ninh và Trao đổi Hoa Kỳ. Thông tin bí mật này đã được khai thác và sử dụng để lấy tiền chuộc, sau đó được đầu tư trên sàn giao dịch chứng khoán.

Như vậy, các nhóm đã kiếm được những khoản tiền khổng lồ bằng cách kinh doanh thông tin bí mật. Các giao dịch nội gián chương trình tạo điều kiện bằng cách hack tiếp tục trong nhiều năm – đó là lý do tại sao nó không thể định lượng được số tiền chính xác về thiệt hại kinh tế. Nhưng ước tính khoảng hơn 1 tỷ USD.

Tội phạm có tổ chức

Khi nói đến các tổ chức tội phạm phức tạp, các kỹ thuật phát triển và động cơ cũng khác nhau.

Cách chúng tự tổ chức và phạm tội trực tuyến rất khác với băng nhóm ngoại tuyến tại địa phương của bạn. Ransomware có thể được tung ra từ mọi nơi trên thế giới, vì vậy rất khó để truy tố những tên tội phạm này. Các vấn đề thậm chí còn phức tạp hơn khi một số bên phối hợp xuyên biên giới.

Không có gì ngạc nhiên khi thách thức đối với các cơ quan thực thi pháp luật là rất lớn. Điều quan trọng là các nhà chức trách điều tra một cuộc tấn công phải chắc chắn rằng nó thực sự được gây ra bởi người mà họ nghi ngờ. Nhưng để biết được điều này, họ cần tất cả sự trợ giúp mà họ có thể nhận được.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Back to top button