6 nhóm ransomware nguy hiểm nhất hiện nay kéo dài danh sách các tổ chức bị tấn công


Theo một báo cáo từ eSentire, 6 nhóm ransomware đã thu về hơn 45 triệu USD trong năm nay từ hàng chục cơ quan nhà nước, bệnh viện, trường đại học và các tập đoàn đa quốc gia.

Mỗi tuần có một tổ chức mới phải đối mặt với tấn công ransomware, nhưng một báo cáo mới từ nhóm nghiên cứu bảo mật của eSentire và nhà nghiên cứu web ngầm (dark web) Mike Mayes cho biết, những sự cố mà chúng ta thấy trên truyền thông chỉ là một phần nhỏ trong số các nạn nhân thực tế.

Báo cáo của eSentire cho biết, chỉ trong khoảng thời gian từ 1/1 đến ngày 30/4/2021, 6 nhóm ransomware đã xâm phạm 292 tổ chức. Ước tính, các nhóm ransomware đã chiếm ít nhất 45 triệu USD từ những cuộc tấn công này. Ngoài ra, nhiều thông tin chi tiết về các sự cố còn chưa bao giờ được báo cáo.

6 nhóm ransomware đã tấn công hơn 290 doanh nghiệp trong năm 2021 - Ảnh 1.

Nhóm nghiên cứ eSentire và Mayes chỉ tập trung vào các nhóm ransomware Ryuk/Conti, Sodin/REvil, CLOP, DoppelPaymer và hai nhóm mới nổi nhưng đáng chú ý trong DarkSide và Avaddon. 

Nhóm ransomware Ryuk/Conti  

Theo báo cáo, mỗi nhóm tội phạm tập trung vào các ngành công nghiệp và các lĩnh vực cụ thể trên thế giới. Nhóm tội phạm Ryuk/Conti đã tấn công 352 tổ chức từ năm 2018 và 63 cuộc tấn công trong năm nay, chủ yếu tập trung vào các công ty sản xuất, xây dựng và vận tải.

Báo cáo cho biết, nhiều nạn nân chưa được công bố. Tuy nhiên, các tổ chức danh tiếng nhất bị tấn công bao gồm học khu quận Broward và công ty sản xuất cốc của Pháp. Thế nhưng, cả hai cơ quan này đều không trả những khoản tiền chuộc với giá cao cắt cổ.

Ngoài lĩnh vực sản xuất, nhóm này đã tạo làn sóng vào năm 2020 khi tấn công vào các hệ thống CNTT của một số cơ quan chính quyền trên khắp nước Mỹ như thành phố Jackson, Georgia; Riviera Beach, Florida và LaPorte County, Indiana. Cả ba thành phố này đã phải trả những khoản tiền chuộc từ 130.000 USD – 600.000 USD. Nhóm tin tặc này cũng dành nhiều thời gian để tấn công các bệnh viện địa phương trong năm 2020.

Nhóm ransomware Sodin/Revil  

Giống như nhóm Ryuk/Conti, những kẻ đứng sau ransomware Sodin/Revil tập trung vào các tổ chức chăm sóc sức khỏe, đồng thời cũng dành hết những nỗ lực để tấn công các nhà máy sản xuất máy tính xách tay. Trong số 161 nạn nhân, có 52 nạn nhân bị tấn công trong năm 2021 và làm dấy lên dư luận quốc tế với những cuộc tấn công vào Acer và Quanta, hai trong số những nhà sản xuất công nghệ lớn nhất thế giới.

Quanta, công ty sản xuất notebook của Apple bị yêu cầu trả 50 triệu USD tiền chuộc. Công ty này đã từ chối và nhóm tin tặc Sodin/Revil đã tiết lộ những thiết kế chi tiết về một sản phẩm của Apple để đáp trả. Nhóm tin tặc này đe dọa sẽ tiết lộ thêm nhiều tài liệu nhưng đã lấy những bức ảnh và một số tài liệu khác để thực hiện một cuộc tấn công vào tháng 5.  Báo cáo cho biết, Apple đã không lên tiếng về vụ xâm phạm đó.

Nhóm ransomware DoppelPaymer/BitPaymer  

DoppelPaymer/BitPaymer đã tạo dựng tên tuổi của mình bằng cách nhắm mục tiêu vào các tổ chức chính phủ và các trường học. FBI đã đưa ra một thông báo cụ thể vào tháng 12/2020 về ransomware và nhấn mạnh rằng chúng đang được sử dụng để tấn công vào cơ sở hạ tầng quan trọng như các bệnh viện và các dịch vụ khẩn cấp.

Báo cáo cho biết thêm rằng hầu hết trong số 59 nạn nhân của nhóm ransomware trong năm nay vẫn chưa được công bố danh tính, trừ văn phòng luật của công tố viên liên bang bị tấn công vào ngày 29/4.

Nhóm ransomware Clop  

Nhóm Clop đã tập trung những nỗ lực vào việc lợi dụng lỗ hổng đã được đề cập rộng rãi trong hệ thống chuyển giao tệp tin của Accellin. Theo giải thích của eSentire và Mayes, nhóm này đã sử dụng sử dụng lỗ hổng bảo mật tấn công đại học California, ngân hàng Flagstar ở Hoa Kỳ, công ty luật toàn cầu Jones Day, nhà sản xuất máy bay phản lực Bombardier của Canada, đại học Stanford, tập đoàn dầu mỏ khổng lồ Royal Shell, đại học Colorado, Đại học Miami, công ty xe lửa RaceTrac …

Nhóm Clop đã trở nên khét tiếng vì bị cáo buộc xâm nhập các tệp tin của một tổ chức và tiếp xúc khách hàng hoặc đối tác của họ để gây áp lực, buộc nạn nhân phải trả tiền chuộc.

Nhóm ransomware DarkSide  

Nhóm DarkSide đã tấn công vào đường ống dẫn dầu Colonial Pipeline, gây ra một cơn “bão lửa” về chính trị ở Mỹ và các trạm xăng ở trung tâm thị trấn dọc theo bờ biển phía đông.

Theo báo cáo, đây là nhóm mới nhất trong số các nhóm ransomware mới nổi vào cuối năm 2020. Tuy nhiên chúng mất rất ít thời gian để có thể nâng lên 59 nạn nhân từ 37 nạn nhân hồi tháng 11/2020.

Báo cáo lưu ý rằng nhóm DarkSide là một trong số ít các hoạt động dưới dạng ransomware như một dịch vụ (ransomware-as-a-service), giao trách nhiệm cho các nhà thầu, là những mục tiêu tấn công và chia tiền chuộc. eSentire nói rằng nghiên cứu của họ cho thấy, người đứng sau DarkSide cũng không hề hay biết về cuộc tấn công Colonial Pipeline trước khi nó xảy ra và họ chỉ phát hiện ra qua những tin tức. Cuộc sóng gió nổi dậy khi họ bị yêu cầu dừng tất cả các hoạt động của mình để tăng cường giám sát thực thi pháp luật.

Phần mềm ransomware này đã gây ra nhiều cuộc tấn công vào các nhà sản xuất năng lượng như một trong những công ty điện lực lớn nhất Brazil, Companhia Paranaense de Energia bị tấn công vào tháng 2.

Nhóm ransomware Avaddon  

Nhóm cuối cùng được nghiên cứu là Avaddon, đã tấn công vào AXA, công ty bảo hiểm lớn nhất châu Âu. Cuộc tấn công gây sự chú ý vì AXA cung cấp cho hàng chục công ty bảo hiểm mạng ảo (cyberinsurance) và công ty đã cam kết không trả những khoản tiền chuộc cho các khách hàng của họ ở Pháp.

Ngoài AXA, nhóm này cũng tấn công vào 46 tổ chức trong năm nay và hoạt động dưới dạng ransomware như một dịch vụ giống như DarkSide. Báo cáo giải thích rằng nhóm này được chú ý vì chúng sử dụng đồng hồ đếm ngược trên Dark Web của chúng để bổ sung mối đe dọa của tấn công DdoS nếu nạn nhân không trả tiền chuộc.

Danh sách các nạn nhân của chúng bao gồm các tổ chức chăm sóc sức khỏe như Capital Medical Center ở Washington và Bridgeway Senior Healthcare ở Jersey.

Nhóm eSentire và Mayes cho biết thêm rằng, số lượng lớn các cuộc tấn công không được báo cáo cho thấy các nhóm tội phạm mạng này đang “tàn phá nhiều đối tượng hơn những gì đã công bố”.

Báo cáo cho biết: “Sự nhận thức đúng khác là không có ngành công nghiệp nào miễn dịch khỏi tai họa ransomware này. Các cuộc tấn công đang xảy ra trên tất cả các vùng miền và tất cả các lĩnh vực. Các công ty và tổ chức khu vực tư nhân phải thực hiện các biện pháp bảo mật để giảm thiểu thiệt hại do tấn công ransomware gây ra”.

Theo zdnet.com / ICTVietNam

[CyberSec] Một vụ tấn công mạng, nửa nước Mỹ “hết xăng”


Vụ tấn công mạng bí ẩn đã làm tê liệt hệ thống đường ống cung ứng một nửa lượng xăng dầu cho toàn bờ Đông Hoa Kỳ và đe dọa đảo lộn thị trường năng lượng toàn cầu ra sao.

Sáng thứ sáu 7-5, Colonial Pipeline – công ty tư nhân quản lý hệ thống đường ống dài 8.850km, mỗi ngày vận chuyển 2,5 triệu thùng xăng và nhiều loại nhiên liệu khác kết nối vùng công nghiệp lọc dầu chủ lực của Mỹ, Gulf Coast (tức khu vực duyên hải ven vịnh Mexico) với gần như toàn bộ vùng bờ Đông đông đúc dân cư – đột ngột thông báo ngừng hoạt động trên toàn hệ thống. 

Một kho chứa của Colonial Pipeline ở Maryland. -Ảnh: The New York Times

Lý do, theo thông báo chính thức của công ty, là họ bị tấn công mã độc tống tiền (ransomware) nên buộc phải ngừng hoạt động toàn hệ thống để đề phòng rủi ro.

Phải đặt quy mô của Colonial Pipeline và hệ thống đường ống hãng này vận hành vào bối cảnh thì mới hiểu tính chất nghiêm trọng của vụ tấn công.

Xây dựng từ năm 1962, hệ thống đường ống này được trang Oil Price gọi là “huyết mạch của bờ Đông”, là mạng lưới vận chuyển sản phẩm xăng dầu cuối cùng lớn nhất nước Mỹ, nối dài suốt từ Pasadena, Texas tới Linden, New Jersey và ra tận cảng New York. 

Hơn thế nữa, đường ống còn vận chuyển xăng máy bay phục vụ những sân bay lớn nhất nước, gồm sân bay đông đúc nhất thế giới Hartsfield Jackson ở Atlanta.

Tình trạng khẩn cấp

“Người ta chỉ có thể tiếp cận tĩnh mạch chủ của cơ sở hạ tầng Hoa Kỳ gần tới thế là cùng” – Reuters dẫn lời giáo sư Amy Myers Jaffe, giám đốc điều hành Tổ chức nghiên cứu Climate Policy Lab, ví von. “Đây không chỉ là một đường ống lớn. Ở Mỹ chỉ có duy nhất một hệ thống ống như thế”.

Hơn 8.500km đường ống nối vùng lọc dầu lớn nhất của Mỹ với vùng dân cư đông đúc ở bờ Đông và Đông Bắc Mỹ. Ảnh: Oil Price

Dù Colonial Pipeline là một công ty tư nhân, vụ tấn công nhắm vào họ rõ ràng đã nêu bật tính rủi ro của các hệ thống hạ tầng lớn đang được số hóa ngày càng triệt để, nhất là với một nước như Hoa Kỳ, nơi xe hơi, máy móc cơ giới, hệ thống vận tải… – và do đó là xăng dầu – đã trở thành không khác gì oxy để hít thở.

Vụ Colonial Pipeline nhanh chóng trở thành vấn đề an ninh quốc gia. Cục Điều tra liên bang (FBI) và Bộ Năng lượng đã vào cuộc. Tổng thống Joe Biden được báo cáo về sự cố ngay sáng thứ bảy, ngày 8-5, theo lời một người phát ngôn Nhà Trắng, và chính phủ đang hỗ trợ Colonial phục hồi hoạt động. 

Sang chủ nhật, ngày 9-5, Washington thậm chí phải ban bố tình trạng khẩn cấp, dỡ bỏ một số quy định về cấm vận chuyển xăng dầu liên tiểu bang bằng đường bộ để đề phòng những hỗn loạn có thể xảy ra do thiếu xăng dầu. 

Thị trường đã phản ứng tức thì với tin tức – giá xăng bắt đầu ngóc lên, nhất là trong bối cảnh kinh tế Mỹ đang tăng trưởng mạnh và mùa hè cũng là mùa dân chúng đi lại nhiều nhất.

Hiệp hội Xe hơi Hoa Kỳ nói nếu việc gián đoạn cung ứng kéo dài, giá xăng có thể tăng mạnh ở các cây xăng bán lẻ. Ngay sau khi tin tức loan đi vào thứ sáu, giá xăng mua trước ở thị trường hàng hóa thương phẩm New York đã tăng 0,6%, trong khi giá dầu diesel mua trước tăng 1,1%, đều cao hơn mức tăng của dầu thô. 

Xây dựng đường ống dẫn dầu ở Mỹ. Ảnh: CNBC

Ngược lại, giá xăng dầu mua ngay ở vùng Gulf Coast giảm do lo ngại mặt hàng này sẽ bị tồn đọng ở đây thay vì được chuyển đến các thị trường miền bắc.

Một vụ tống tiền táo tợn

“Táo tợn” thật ra vẫn còn là nói giảm nói tránh với vụ tấn công tin tặc này.

Những hệ thống đường ống siêu hạng như Colonial Pipeline đang ngày càng phụ thuộc vào các công nghệ tự động hóa, số hóa, và Internet hóa để theo dõi lưu lượng, áp lực, kiểm soát các gói hàng, lẫn bảo trì, bảo dưỡng… 

Đi kèm tất yếu là nguy cơ tấn công mạng. “Đây chắc chắn không phải là trò đùa của mấy nhóc học cấp III. Đây là một cuộc tấn công hết sức tinh vi, có chủ đích, vào một cơ sở hạ tầng tối quan trọng”, Financial Timesdẫn lời Robert Campbell, giám đốc nghiên cứu sản phẩm dầu mỏ ở Hãng tư vấn Energy Aspects.

Nhiều nguồn khác nhau nói vụ tấn công này là do một nhóm tội phạm mạng tên gọi DarkSide tiến hành. Theo đó, những tay tin tặc xâm nhập vào mạng lưới của Colonial hôm thứ năm tuần trước, ngày 6-5, và giữ gần 100 GB dữ liệu “làm con tin”. 

Ảnh: News24

Sau khi thu được các dữ liệu này, nhóm tin tặc khóa nó trong một số máy tính và máy chủ, rồi đòi một khoản tiền chuộc; nếu Colonial không trả, dữ liệu bị đe dọa sẽ được tung lên Internet.

The New York Times nói Colonial từ chối cho biết họ có định trả khoản tiền chuộc được yêu cầu hay không, “điều thường cho thấy một công ty đang cân nhắc sẽ trả tiền, hoặc thực ra là đã trả rồi”. 

Tức có khả năng cao là vụ tống tiền đã thành công. Trang công nghệ Wired dẫn một nghiên cứu của Công ty an ninh mạng Cyberseason nói Darkside đã tống tiền thành công khoảng 40 nạn nhân là các tổ chức khác nhau và đòi những khoản tiền chuộc từ 200.000 tới 2 triệu đôla.

Theo diễn giải của nhiều trang công nghệ, vụ việc chẳng khác gì một vụ đòi tiền bảo kê trong những phim hình sự, chỉ có điều giờ đây mọi chuyện diễn ra trên mạng. 

DarkSide thậm chí không phải là nhóm tin tặc khét tiếng nhất trong ngón nghề, nhưng vụ việc “đánh dấu sự xuất hiện của cả một hệ sinh thái tội phạm mạng tuy lặng lẽ nhưng giá trị tới hàng chục triệu đôla, điều chưa từng thấy ở ngành công nghiệp an ninh mạng từ trước tới giờ”, theo BBC.

Lỗi tại… COVID

James Chappell, đồng sáng lập và giám đốc sáng tạo của Hãng an ninh mạng Digital Shadows, tin rằng vụ tấn công Colonial Pipeline có thể diễn ra một phần là do COVID-19 khiến nhiều kỹ sư đang làm việc ở nhà hoặc từ xa, trong khi vẫn tiếp cận được hệ thống kiểm soát đường ống. 

 Mạng lưới đường ống của Colonial Pipeline gần như phủ kín bờ Đông Hoa Kỳ. Ảnh: Oil Price

Theo Chappell, kịch bản khả dĩ nhất là DarkSide đã mua được chi tiết tài khoản đăng nhập liên quan đến các phần mềm điều khiển máy tính từ xa như TeamViewer và Microsoft Remote Desktop.

Bất kỳ ai cũng có thể tìm các cổng đăng nhập cho máy tính có kết nối với Internet này trên các công cụ tìm kiếm như Shodan, rồi các tay tin tặc sau đó sẽ thử đi thử lại tên đăng nhập và mật khẩu cho tới khi nào được thì thôi. “Ngày càng có nhiều nạn nhân, và đây giờ đã là một vấn đề lớn và nghiêm trọng”, Chappell nói.

Wired gọi vụ tấn công là “cấp độ cực đoan mới với mã độc tống tiền”. Vụ Colonial Pipeline cho tới nay là vụ “ảnh hưởng lớn nhất lên hệ thống năng lượng Mỹ trong lịch sử”, theo lời Rob Lee, CEO của công ty an ninh chuyên về các hệ thống hạ tầng thiết yếu Dragos. 

Ngoài tác động tài chính, với giá xăng dầu, việc cung ứng nhiên liệu… như đã nói, Lee còn chỉ ra khoảng 40% sản lượng điện ở Mỹ năm 2020 sản xuất bằng đốt khí tự nhiên, đồng nghĩa những vụ tấn công đường ống kiểu này cũng sẽ là mối đe dọa với mạng lưới điện dân dụng.

Các hoạt động mã độc tống tiền đang có xu hướng nhắm ngày càng nhiều vào những hãng tư nhân. Hydro Norsk (hãng năng lượng tái tạo và nhôm Na Uy), Hexion và Momentive (hai công ty hóa chất Mỹ), và một công ty vận hành đường ống khí đốt không được nêu tên khác của Mỹ đều từng bị tấn công kiểu này vào năm 2019, theo Wired.

Trong các cuộc tấn công kiểu này, tin tặc có thể tiếp cận hệ thống công nghệ thông tin và/hoặc hệ thống “công nghệ điều hành” của mục tiêu. 

Trong trường hợp Colonial, chưa rõ tin tặc có thực sự can thiệp được vào hệ thống tới mức cho phép họ kiểm soát hay thay đổi tình trạng thực tế của các đường ống hay chưa. 

Nhưng chỉ tiếp cận được mạng lưới công nghệ thông tin thôi cũng đã đủ để khiến công ty phải tạm ngưng vận hành rồi, theo chuyên gia Joe Slowik ở Hãng an ninh Gigamon. 

“Hãng vận hành đã làm điều đúng trong trường hợp này”, Slowik nói với Wired. “Một khi ta không còn chắc chắn về việc kiểm soát được đầy đủ hoạt động, thì cần phải đóng cửa”. Nói cách khác, cũng giống như khi ta phát hiện mình làm mất thẻ ngân hàng, việc trước tiên là phải báo ngân hàng khóa thẻ.

James Chappell của Digital Shadows nói nghiên cứu ở công ty ông cho thấy nhóm tội phạm mạng DarkSide nhiều khả năng có trụ sở ở một nước nói tiếng Nga, do họ thường tránh tấn công công ty thuộc Cộng đồng các quốc gia độc lập, gồm Nga, Ukraine, Belarus, Gruzia, Armenia, Moldova, Azerbaijan, Kazakhstan, Kyrgyzstan, Tajikistan, Turkmenistan và Uzbekistan. Tuy nhiên, cũng không có bằng chứng cho thấy đằng sau DarkSide là một chính phủ hậu thuẫn.

CHIÊU VĂN / TTCT

Phiên bản di động giả mạo Cyberpunk 2077 phát tán ransomware


Tội phạm mạng đang phát tán ransomware (mã độc tống tiền) có tên CoderWare giả mạo các phiên bản Windows và Android của Cyberpunk 2077 được phát hành mới đây.

Những kẻ lừa đảo đang phát tán các phiên bản Windows và Android giả mạo các trình cài đặt trò chơi điện tử Cyberpunk 2077 mới để lây nhiễm ransomware CoderWare. Cyberpunk 2077 là một trò chơi điện tử hành động nhập vai năm 2020 được phát triển và phát hành bởi CD Projekt.

Đây không phải là lần đầu tiên tội phạm mạng cố gắng khai thác sự quan tâm của các game thủ vào những trò chơi điện tử mới. Điều này đã từng xảy ra với các phiên bản di động của Fortnite phổ biến vào năm 2018.

Phiên bản giả mạo của trò chơi Cyberpunk 2077 được phát hiện bởi nhà nghiên cứu Tatyana Shishkova của Kaspersky và được báo cáo bởi BleepingComputer. 

Shishkova đã phát hiện ra một phiên bản Android giả mạo trò chơi được phân phối từ một trang web mạo danh cửa hàng Google Play hợp pháp.

Tuy nhiên, phần mềm tống tiền CoderWare này sử dụng thuật toán RC4 với khóa mã cứng. Điều này nghĩa là các nạn nhân có thể giải mã các tệp tin của mình mà không cần phải trả tiền chuộc. 

Bleeping Computer đã chỉ ra rằng phiên bản Windows của Cyberpunk 2017 được các nhà nghiên cứu phần mềm độc hại tại MalwareHunterTeam phát hiện vào tháng 11. Phần mềm độc hại được triển khai trong cuộc tấn công mà chúng gọi là CoderWare, nhưng các nhà nghiên cứu đã báo cáo rằng nó là một biến thể của ransomware BlackKingdom có gắn thêm phần mở rộng DEMON vào tên của những tệp tin đã bị mã hóa.

Hạnh Tâm (securityaffairs.co) / ICTVietNam