Các cuộc tấn công bằng ransomware gây thiệt hại hàng tỷ đô la mỗi năm cho các cá nhân, công ty và tổ chức cơ sở hạ tầng, đồng thời trả cho tội phạm mạng số tiền tương đương. Lý do khiến các cuộc tấn công bằng ransomware rất phổ biến là vì chúng hoạt động hiệu quả. Suy cho cùng, hòn đá bạn ném cũng đáng làm bạn mỏi tay phải không?
Nhiều kẻ khủng bố mạng, những kẻ gần đây tập trung vào các cuộc tấn công bằng ransomware, cũng nghĩ như vậy…
Đừng lo lắng, đây không phải là bài đăng tuyển dụng hacker, đây là một bài đăng thực tế khắc nghiệt. Chúng tôi tuyệt đối không chấp nhận doanh thu có được bằng cách tấn công trực tiếp nạn nhân của họ hoặc tống tiền họ thông qua các tổ chức liên kết của họ.
Tương tự như vậy, các công ty và chính phủ lớn nhất thế giới đồng ý với chúng tôi, nhưng chi phí thiệt hại vẫn tiếp tục tăng lên mỗi ngày.
Các băng nhóm đòi tiền chuộc hoạt động như thế nào, chúng làm cách nào để moi hàng triệu USD từ các công ty, tổ chức?
Nếu bạn đang thắc mắc thế giới đen tối này hoạt động như thế nào, hãy chờ đợi vì chúng ta đang bắt đầu dấn thân vào những vùng nước nguy hiểm. Dưới đây là những kẻ đòi tiền chuộc mạng lớn nhất thế giới và những hành động đáng kinh ngạc của chúng.
Tà ác
Phần mềm ransomware REvil (Sodinokibi) là một hoạt động RaaS có trụ sở tại Nga xuất hiện vào tháng 4 năm 2019. Nhóm này, được cho là có liên hệ với Cơ quan Dịch vụ Liên bang Nga, nổi tiếng vì sự tàn bạo. REvil nhanh chóng thu hút sự chú ý của các chuyên gia an ninh mạng nhờ kỹ năng kỹ thuật và lựa chọn các mục tiêu cao cấp.
Mặc dù năm 2021 là một năm mang lại lợi nhuận cho nhóm hacker nhưng nhóm này đã thu hút được các công ty đa quốc gia từ nhiều ngành vào mạng của mình.
Đối với Acer, mùa xuân năm 2021 khá buồn vui lẫn lộn. Yêu cầu 50 triệu USD sau vụ tấn công ransomware của REvil khiến hãng có trụ sở tại Đài Loan đổ mồ hôi hơn cả một ngày suối nước nóng. Mặt khác, REvil chưa có ý định dừng lại. trong tháng tiếp theo AppleQuanta Computers, một trong những nhà cung cấp của, có tên trên bảng mục tiêu. Số tiền chuộc được yêu cầu lại là 50 triệu USD. qua Quanta AppleNhóm đã cố gắng tống tiền.
Đầu năm 2021 xảy ra với một cuộc tấn công dây chuyền nhắm vào JBS Foods, Invenergy, Kaseya và nhiều doanh nghiệp khác với số vốn 11 triệu USD.
Vụ tấn công Kaseya gây áp lực lớn cho tập đoàn khi nó ảnh hưởng trực tiếp đến hơn 1.500 doanh nghiệp trên toàn thế giới. Kết quả là một số thành viên trong nhóm đã bị chính quyền Nga bắt giữ trong một chiến dịch vào tháng 1 năm 2022. Tuy nhiên, được biết nhóm đã quay trở lại hoạt động từ tháng 4/2022.
conti
Conti là một băng đảng ransomware khét tiếng khác đã gây chú ý kể từ cuối năm 2018.
Phương pháp của Conti là rò rỉ dữ liệu nhạy cảm thu được nếu không trả tiền chuộc. Bạn có thể có những câu hỏi như nó được xuất bản ở đâu và như thế nào. Câu trả lời khá đơn giản; Nhóm hacker này có một trang web tên là Conti News, nơi họ công bố dữ liệu mà họ đã đánh cắp.
Đặc điểm giúp phân biệt Conti với các nhóm hacker khác là nó không có ranh giới về mặt đạo đức.
Cho dù bạn làm trong lĩnh vực giáo dục hay y tế, nếu bạn có đủ khả năng chi trả hàng triệu đô la, bạn có thể là mục tiêu tiếp theo. Nhóm ransomware Conti có thành tích đáng nể trong việc nhắm mục tiêu vào các cơ sở hạ tầng công cộng quan trọng như chăm sóc sức khỏe, năng lượng, CNTT và nông nghiệp.
Nhóm này cho biết đã xâm nhập vào ngân hàng trung ương Indonesia vào tháng 12 năm 2021. GB thông báo rằng họ đã thu giữ dữ liệu nhạy cảm.
Vào tháng 2 năm 2022, nhóm này cũng tấn công SEA-invest, nhà điều hành nhà ga quốc tế.
Công ty vận hành 24 cảng và vận chuyển thực phẩm, dầu, khí đốt tự nhiên và container ở châu Âu và châu Phi, đã phải chịu sự gián đoạn quốc tế tại 24 cảng do cuộc tấn công.
Conti cũng đã xâm phạm Trường Công Quận Broward vào tháng 4 và yêu cầu 40 triệu USD tiền chuộc. Bạn sẽ không ngạc nhiên khi biết rằng Conti News có “tin tức độc quyền” mới sau khi khoản tiền chuộc bị từ chối. Tình hình cũng không khác ở Costa Rica. Tình trạng khẩn cấp trên toàn quốc đã được ban bố sau các cuộc tấn công của Conti vào các cơ quan chính phủ khác nhau.
mặt tối
Giống như REvil, nhóm ransomware DarkSide sử dụng mô hình RaaS và nhắm mục tiêu vào các doanh nghiệp lớn. Nó thực hiện điều này bằng cách giành quyền truy cập vào mạng của công ty, thường thông qua các cuộc tấn công lừa đảo hoặc tấn công vũ phu và cố gắng thu thập tất cả dữ liệu có thể có trên mạng.
Có một số giả thuyết liên quan đến nguồn gốc của nhóm ransomware DarkSide. Một số nhà phân tích đồng ý rằng Đông Âu, Ukraine hoặc Nga là nơi tổ chức nhóm này.
Những người khác tin rằng nhóm này hoạt động ở nhiều quốc gia, bao gồm cả Iran và Ba Lan.
Mặc dù DarkSide đòi số tiền chuộc lớn nhưng nó luôn tuyên bố rằng nó có những nguyên tắc nhất định.
Nhóm tuyên bố không bao giờ nhắm mục tiêu vào trường học, bệnh viện, cơ quan chính phủ và bất kỳ cơ sở hạ tầng nào ảnh hưởng đến công chúng. Cuộc tấn công Đường ống thuộc địa vào tháng 5 năm 2021 và yêu cầu 5 triệu đô la đã phá hủy bức chân dung đạo đức mà nhóm khủng bố đang cố gắng vẽ ra.
Cuộc tấn công này là cuộc tấn công lớn nhất vào cơ sở hạ tầng dầu mỏ trong lịch sử Hoa Kỳ và ảnh hưởng đến 17 bang. An ninh của cơ sở hạ tầng quan trọng đã trở thành chủ đề thảo luận số một trên toàn quốc sau vụ việc. Nhóm ransomware DarkSide đổ lỗi cho những người khác vì đã không nhận trách nhiệm về vụ tấn công, nhưng sau khi đuổi họ khỏi Mỹ, họ mới nhận ra mình đã trúng bóng. và quyết định tạm dừng hoạt động của họ.
DoppelPaymer
DoppelPaymer, kẻ kế thừa của ransomware BitPaymer được tiết lộ vào tháng 4 năm 2019, sử dụng một phương pháp độc đáo để tiếp cận nạn nhân và yêu cầu tiền chuộc bằng bitcoin. DoppelPaymer được cho là có trụ sở tại Triều Tiên.
Sử dụng chiến lược tấn công tương tự như Conti, hiệu quả của băng đảng giảm đi đáng kể sau cuộc tấn công Đường ống thuộc địa. Tuy nhiên, nhiều nhà phân tích cho rằng nhóm không hề tan rã mà chỉ đơn giản là tập hợp lại dưới một tổ chức mới mang tên Grief. DopplePaymer thường xuyên nhắm mục tiêu vào các công ty dầu mỏ, nhà sản xuất ô tô và các ngành công nghiệp quan trọng như chăm sóc sức khỏe, giáo dục và dịch vụ khẩn cấp. Họ càng làm cho danh tiếng xấu của mình trở nên tồi tệ hơn khi ký vào ransomware đầu tiên giết chết một bệnh nhân ở Đức do một cuộc tấn công mạng, khi nhân viên cấp cứu không thể liên lạc với bệnh viện.
Nhóm này cũng đã quay trở lại Hoa Kỳ bằng cách thu thập và công bố thông tin cá nhân về cử tri ở Quận Hall, Georgia. DopplePaymer cũng đã xâm phạm hệ thống giao tiếp với khách hàng của Kia Motors America và đánh cắp dữ liệu nhạy cảm vào năm ngoái. Hóa đơn cho thiệt hại là 404 bitcoin, tương đương khoảng 20 triệu USD vào thời điểm đó. Ngày nay, 404 bitcoin xấp xỉ 8,1 trị giá hàng triệu đô la.
KhóaBit
LockBit là một băng đảng ransomware đang trên đà phát triển nhờ sự suy giảm của các nhóm khác. Kể từ khi ra mắt vào năm 2019, LockBit đã chứng kiến sự tăng trưởng chưa từng có và cải thiện đáng kể các chiến thuật độc hại của mình.
LockBit bắt đầu sự nghiệp tội phạm của mình với tư cách là một băng đảng cấp thấp, nhưng LockBit nổi lên vào cuối năm 2021. 2.0 đã nhận được rất nhiều sự nổi tiếng.
LockBit hiện là một trong những nhóm ransomware có ảnh hưởng và đã thực hiện hơn 40% tổng số vụ tấn công bằng ransomware vào tháng 5 năm 2022. Đầu năm 2022, LockBit nhắm mục tiêu vào Thales Group, một công ty đa quốc gia có trụ sở tại Pháp và đe dọa sẽ rò rỉ dữ liệu nhạy cảm nếu yêu cầu tiền chuộc không được đáp ứng.
Bộ Tư pháp Pháp cũng bị băng đảng này tấn công. Gần đây, Cục Thuế Ý (L’Agenzia delle Entrate) GBdữ liệu nhạy cảm của đã bị mất vào LockBit.
Làm thế nào bạn có thể tự bảo vệ mình khỏi các cuộc tấn công đòi tiền chuộc?
Ransomware tiếp tục là một ngành công nghiệp đen phát triển mạnh, tạo ra hàng triệu đô la mỗi năm cho những băng đảng khét tiếng này.
Với những lợi thế và tính khả dụng ngày càng tăng của mô hình RaaS, những mối đe dọa này ngày càng trở nên phổ biến.
Các cuộc tấn công bằng ransomware lợi dụng lỗi của con người giống như hầu hết các cuộc tấn công mạng khác. Do đó, nhân viên phải là trung tâm của các sáng kiến an ninh mạng của mọi tổ chức. Hướng dẫn nhân viên của bạn chống lại các mối đe dọa mạng và các cuộc tấn công bằng ransomware có thể giúp bạn không phải nhường chỗ cho nhiều cuộc tấn công.
Xem xét thực tế rằng các cuộc tấn công lừa đảo thường được sử dụng như một phương tiện trung chuyển cho các cuộc tấn công đòi tiền chuộc, tầm quan trọng của việc đào tạo về an ninh mạng trở nên rõ ràng.
Nhận thức về an ninh mạng và thực hiện các chiến lược bảo mật toàn diện là những bước quan trọng trong cuộc chiến chống lại ransomware.
Nếu bạn chưa sẵn sàng đầu tư vào một công cụ bảo mật hàng đầu thì đây là cách giữ an toàn cho máy tính của bạn. WindowsBạn có thể sử dụng các công cụ bảo vệ ransomware tích hợp sẵn.
Chỉ một số cuộc tấn công bằng ransomware và thường là những vụ lớn nhất được đưa tin trên các phương tiện truyền thông. Dù tổ chức của bạn có quy mô như thế nào, bạn cũng không nên coi mình là miễn nhiễm với những nguy hiểm này. Bởi vì đây không phải là nhóm duy nhất thực hiện các cuộc tấn công bằng ransomware và nhiều nhóm muốn trở thành ransomware nhắm vào các doanh nghiệp vừa và nhỏ.
Bài viết này đã được đăng trên tạp chí Digital Report số 15.
