6 nhóm ransomware nguy hiểm nhất hiện nay kéo dài danh sách các tổ chức bị tấn công
An toàn thông tin - Ngày đăng : 14:26, 27/05/2021
Mỗi tuần có một tổ chức mới phải đối mặt với tấn công ransomware, nhưng một báo cáo mới từ nhóm nghiên cứu bảo mật của eSentire và nhà nghiên cứu web ngầm (dark web) Mike Mayes cho biết, những sự cố mà chúng ta thấy trên truyền thông chỉ là một phần nhỏ trong số các nạn nhân thực tế.
Báo cáo của eSentire cho biết, chỉ trong khoảng thời gian từ 1/1 đến ngày 30/4/2021, 6 nhóm ransomware đã xâm phạm 292 tổ chức. Ước tính, các nhóm ransomware đã chiếm ít nhất 45 triệu USD từ những cuộc tấn công này. Ngoài ra, nhiều thông tin chi tiết về các sự cố còn chưa bao giờ được báo cáo.
Nhóm nghiên cứ eSentire và Mayes chỉ tập trung vào các nhóm ransomware Ryuk/Conti, Sodin/REvil, CLOP, DoppelPaymer và hai nhóm mới nổi nhưng đáng chú ý trong DarkSide và Avaddon.
Nhóm ransomware Ryuk/Conti
Theo báo cáo, mỗi nhóm tội phạm tập trung vào các ngành công nghiệp và các lĩnh vực cụ thể trên thế giới. Nhóm tội phạm Ryuk/Conti đã tấn công 352 tổ chức từ năm 2018 và 63 cuộc tấn công trong năm nay, chủ yếu tập trung vào các công ty sản xuất, xây dựng và vận tải.
Báo cáo cho biết, nhiều nạn nân chưa được công bố. Tuy nhiên, các tổ chức danh tiếng nhất bị tấn công bao gồm học khu quận Broward và công ty sản xuất cốc của Pháp. Thế nhưng, cả hai cơ quan này đều không trả những khoản tiền chuộc với giá cao cắt cổ.
Ngoài lĩnh vực sản xuất, nhóm này đã tạo làn sóng vào năm 2020 khi tấn công vào các hệ thống CNTT của một số cơ quan chính quyền trên khắp nước Mỹ như thành phố Jackson, Georgia; Riviera Beach, Florida và LaPorte County, Indiana. Cả ba thành phố này đã phải trả những khoản tiền chuộc từ 130.000 USD - 600.000 USD. Nhóm tin tặc này cũng dành nhiều thời gian để tấn công các bệnh viện địa phương trong năm 2020.
Nhóm ransomware Sodin/Revil
Giống như nhóm Ryuk/Conti, những kẻ đứng sau ransomware Sodin/Revil tập trung vào các tổ chức chăm sóc sức khỏe, đồng thời cũng dành hết những nỗ lực để tấn công các nhà máy sản xuất máy tính xách tay. Trong số 161 nạn nhân, có 52 nạn nhân bị tấn công trong năm 2021 và làm dấy lên dư luận quốc tế với những cuộc tấn công vào Acer và Quanta, hai trong số những nhà sản xuất công nghệ lớn nhất thế giới.
Quanta, công ty sản xuất notebook của Apple bị yêu cầu trả 50 triệu USD tiền chuộc. Công ty này đã từ chối và nhóm tin tặc Sodin/Revil đã tiết lộ những thiết kế chi tiết về một sản phẩm của Apple để đáp trả. Nhóm tin tặc này đe dọa sẽ tiết lộ thêm nhiều tài liệu nhưng đã lấy những bức ảnh và một số tài liệu khác để thực hiện một cuộc tấn công vào tháng 5. Báo cáo cho biết, Apple đã không lên tiếng về vụ xâm phạm đó.
Nhóm ransomware DoppelPaymer/BitPaymer
DoppelPaymer/BitPaymer đã tạo dựng tên tuổi của mình bằng cách nhắm mục tiêu vào các tổ chức chính phủ và các trường học. FBI đã đưa ra một thông báo cụ thể vào tháng 12/2020 về ransomware và nhấn mạnh rằng chúng đang được sử dụng để tấn công vào cơ sở hạ tầng quan trọng như các bệnh viện và các dịch vụ khẩn cấp.
Báo cáo cho biết thêm rằng hầu hết trong số 59 nạn nhân của nhóm ransomware trong năm nay vẫn chưa được công bố danh tính, trừ văn phòng luật của công tố viên liên bang bị tấn công vào ngày 29/4.
Nhóm ransomware Clop
Nhóm Clop đã tập trung những nỗ lực vào việc lợi dụng lỗ hổng đã được đề cập rộng rãi trong hệ thống chuyển giao tệp tin của Accellin. Theo giải thích của eSentire và Mayes, nhóm này đã sử dụng sử dụng lỗ hổng bảo mật tấn công đại học California, ngân hàng Flagstar ở Hoa Kỳ, công ty luật toàn cầu Jones Day, nhà sản xuất máy bay phản lực Bombardier của Canada, đại học Stanford, tập đoàn dầu mỏ khổng lồ Royal Shell, đại học Colorado, Đại học Miami, công ty xe lửa RaceTrac …
Nhóm Clop đã trở nên khét tiếng vì bị cáo buộc xâm nhập các tệp tin của một tổ chức và tiếp xúc khách hàng hoặc đối tác của họ để gây áp lực, buộc nạn nhân phải trả tiền chuộc.
Nhóm ransomware DarkSide
Nhóm DarkSide đã tấn công vào đường ống dẫn dầu Colonial Pipeline, gây ra một cơn "bão lửa" về chính trị ở Mỹ và các trạm xăng ở trung tâm thị trấn dọc theo bờ biển phía đông.
Theo báo cáo, đây là nhóm mới nhất trong số các nhóm ransomware mới nổi vào cuối năm 2020. Tuy nhiên chúng mất rất ít thời gian để có thể nâng lên 59 nạn nhân từ 37 nạn nhân hồi tháng 11/2020.
Báo cáo lưu ý rằng nhóm DarkSide là một trong số ít các hoạt động dưới dạng ransomware như một dịch vụ (ransomware-as-a-service), giao trách nhiệm cho các nhà thầu, là những mục tiêu tấn công và chia tiền chuộc. eSentire nói rằng nghiên cứu của họ cho thấy, người đứng sau DarkSide cũng không hề hay biết về cuộc tấn công Colonial Pipeline trước khi nó xảy ra và họ chỉ phát hiện ra qua những tin tức. Cuộc sóng gió nổi dậy khi họ bị yêu cầu dừng tất cả các hoạt động của mình để tăng cường giám sát thực thi pháp luật.
Phần mềm ransomware này đã gây ra nhiều cuộc tấn công vào các nhà sản xuất năng lượng như một trong những công ty điện lực lớn nhất Brazil, Companhia Paranaense de Energia bị tấn công vào tháng 2.
Nhóm ransomware Avaddon
Nhóm cuối cùng được nghiên cứu là Avaddon, đã tấn công vào AXA, công ty bảo hiểm lớn nhất châu Âu. Cuộc tấn công gây sự chú ý vì AXA cung cấp cho hàng chục công ty bảo hiểm mạng ảo (cyberinsurance) và công ty đã cam kết không trả những khoản tiền chuộc cho các khách hàng của họ ở Pháp.
Ngoài AXA, nhóm này cũng tấn công vào 46 tổ chức trong năm nay và hoạt động dưới dạng ransomware như một dịch vụ giống như DarkSide. Báo cáo giải thích rằng nhóm này được chú ý vì chúng sử dụng đồng hồ đếm ngược trên Dark Web của chúng để bổ sung mối đe dọa của tấn công DdoS nếu nạn nhân không trả tiền chuộc.
Danh sách các nạn nhân của chúng bao gồm các tổ chức chăm sóc sức khỏe như Capital Medical Center ở Washington và Bridgeway Senior Healthcare ở Jersey.
Nhóm eSentire và Mayes cho biết thêm rằng, số lượng lớn các cuộc tấn công không được báo cáo cho thấy các nhóm tội phạm mạng này đang "tàn phá nhiều đối tượng hơn những gì đã công bố".
Báo cáo cho biết: "Sự nhận thức đúng khác là không có ngành công nghiệp nào miễn dịch khỏi tai họa ransomware này. Các cuộc tấn công đang xảy ra trên tất cả các vùng miền và tất cả các lĩnh vực. Các công ty và tổ chức khu vực tư nhân phải thực hiện các biện pháp bảo mật để giảm thiểu thiệt hại do tấn công ransomware gây ra".