Băng đảng LockBit đã công bố kế hoạch mới cho hoạt động tống tiền của mình nhằm khiến nạn nhân cảm thấy tuân thủ hơn các yêu cầu của chúng. Một trong số đó bao gồm việc thêm các cuộc tấn công DDoS vào mã hóa hiện tại và đe dọa rò rỉ dữ liệu của nạn nhân.
Điều này xảy ra sau khi trang web rò rỉ của LockBit bị Entrust tấn công DDoS sau khi đe dọa sẽ rò rỉ dữ liệu bị đánh cắp của họ vào tuần trước. Mặc dù LockBit đã rò rỉ dữ liệu từ các hình thức khác, nhưng hiện tại họ đang thêm điều này như một vectơ bổ sung để nhận ra tác động của nó.
Tấn công tống tiền ba lần trong Ransomware
Hầu hết các nhóm ransomware hiện đang sử dụng một phương pháp để ép nạn nhân trả tiền chuộc – được gọi là phương pháp tống tiền kép, trong đó chúng mã hóa hệ thống của nạn nhân và đe dọa sẽ rò rỉ dữ liệu bị đánh cắp cho đến khi nạn nhân trả tiền chuộc. Mặc dù phương pháp này thành công ở một mức độ nào đó, LockBit đang mở rộng phương pháp này bằng một phương pháp khác – Tấn công từ chối dịch vụ (DDoS).
Từ chối dịch vụ phân tán là luồng liên tục các yêu cầu truy cập nhắm vào một trang web nhất định, tấn công cho đến khi trang web đó hết dung lượng và trở nên vô dụng với bất kỳ ai. Điều này đã được nhiều tác nhân đe dọa sử dụng trong quá khứ và đã thành công.
Entrust, gã khổng lồ bảo mật kỹ thuật số cũng được cho là đã thực hiện DDoS chống lại LockBit, sau khi nhóm ransomware đe dọa sẽ làm rò rỉ dữ liệu của Entrust vào tuần trước. Mặc dù LockBit đã không làm rò rỉ dữ liệu đúng hạn, nhưng họ vẫn làm theo cách khác.
Nhóm ransomware đã chia sẻ dữ liệu Entrust dưới dạng torrent và thậm chí lưu trữ dữ liệu này trên nhiều nền tảng lưu trữ dữ liệu khác nhau để có thể truy cập từ nhiều nguồn. Và điều này có hiệu quả vì rất ít nhà nghiên cứu bảo mật tải xuống torrent này xác minh nó là hợp pháp.
Và vì nhận ra cách Entrust có thể chặn các trang web rò rỉ, LockBit quyết định thêm điều này vào chiến lược tống tiền của mình. Đếm đến ba, LockBit bổ sung thêm DDoS vào các mối đe dọa rò rỉ dữ liệu và mã hóa cơ sở hạ tầng của nạn nhân. Để thực hiện điều đó, nhóm ransomware đang thuê các chuyên gia trong một diễn đàn tin tặc;
Hơn nữa, để bảo vệ chống lại các cuộc tấn công DDoS tiềm ẩn vào cơ sở hạ tầng của mình một lần nữa, LockBit đã triển khai việc sử dụng các liên kết duy nhất trong các ghi chú đòi tiền chuộc và “mỗi lần xây dựng tủ khóa” để không thể nhận ra kẻ tấn công DDoS.
Ngoài ra, nó còn làm tăng số lượng máy chủ phản chiếu và máy chủ trùng lặp, đồng thời tăng khả năng truy cập dữ liệu bị đánh cắp bằng cách cho phép truy cập dữ liệu này qua Internet bề mặt thông qua các dịch vụ lưu trữ an toàn.