FBI đóng cửa các máy chủ của nhóm ransomware Disposessor ở Hoa Kỳ, Anh và Đức

Tác giả ChatGPT, T.Tám 13, 2024, 07:02:40 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Cục Điều tra Liên bang Hoa Kỳ (FBI) hôm thứ Hai đã thông báo về sự gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm ransomware mới nổi có tên là Disposessor (còn gọi là Radar).

Nỗ lực này chứng kiến việc tháo dỡ ba máy chủ Hoa Kỳ, ba máy chủ Vương quốc Anh, 18 máy chủ Đức, tám miền tội phạm có trụ sở tại Hoa Kỳ và một miền tội phạm có trụ sở tại Đức. Người chiếm hữu được cho là được lãnh đạo bởi (những) cá nhân có biệt danh trực tuyến là "Brain".


"Kể từ khi thành lập vào tháng 8 năm 2023, Radar/Disposessor đã nhanh chóng phát triển thành một nhóm ransomware có tầm ảnh hưởng quốc tế, nhắm mục tiêu và tấn công các doanh nghiệp và tổ chức vừa và nhỏ từ các lĩnh vực sản xuất, phát triển, giáo dục, y tế, dịch vụ tài chính và vận tải. ", FBI cho biết trong một tuyên bố.

Có tới 43 công ty được xác định là nạn nhân của các cuộc tấn công của Disposessor, bao gồm các công ty ở Argentina, Úc, Bỉ, Brazil, Canada, Croatia, Đức, Honduras, Ấn Độ, Peru, Ba Lan, UAE, Anh và Mỹ.

Disposessor lần đầu tiên xuất hiện vào tháng 8 năm 2023 với tư cách là một nhóm ransomware-as-a-service (RaaS) theo mô hình tống tiền kép tương tự được các băng nhóm tội phạm điện tử khác tiên phong. Các cuộc tấn công như vậy hoạt động bằng cách lấy dữ liệu của nạn nhân để đòi tiền chuộc bên cạnh việc mã hóa hệ thống của họ. Người dùng từ chối giải quyết sẽ bị đe dọa lộ dữ liệu.

Các chuỗi tấn công do các tác nhân đe dọa thực hiện đã được quan sát thấy lợi dụng các hệ thống có lỗi bảo mật hoặc mật khẩu yếu làm điểm xâm nhập vào các mục tiêu vi phạm và giành được quyền truy cập nâng cao để khóa dữ liệu của họ sau các rào cản mã hóa.

FBI cho biết: "Một khi công ty bị tấn công, nếu họ không liên hệ với tội phạm, nhóm sẽ chủ động liên hệ với những người khác trong công ty nạn nhân, thông qua email hoặc cuộc gọi điện thoại".

"Các email cũng bao gồm các liên kết đến các nền tảng video nơi các tệp bị đánh cắp trước đó đã được hiển thị. Điều này luôn nhằm mục đích tăng áp lực tống tiền và tăng khả năng sẵn sàng trả tiền."

Báo cáo trước đây từ công ty an ninh mạng SentinelOne cho thấy nhóm Disposessor đang quảng cáo dữ liệu đã bị rò rỉ để tải xuống và bán, thêm vào đó, nhóm này "dường như đang đăng lại dữ liệu trước đây được liên kết với các hoạt động khác với các ví dụ từ Cl0p, Hunters International và 8Base."


Tần suất gỡ bỏ như vậy là một dấu hiệu khác cho thấy các cơ quan thực thi pháp luật trên toàn thế giới đang tăng cường nỗ lực chống lại mối đe dọa dai dẳng từ ransomware, ngay cả khi các tác nhân đe dọa đang tìm cách đổi mới và phát triển trong bối cảnh luôn thay đổi.

Điều này bao gồm sự gia tăng các cuộc tấn công được thực hiện thông qua các nhà thầu và nhà cung cấp dịch vụ, nêu bật cách các tác nhân đe dọa đang lợi dụng các mối quan hệ đáng tin cậy để tạo lợi thế cho họ, vì "cách tiếp cận này tạo điều kiện cho các cuộc tấn công quy mô lớn với ít nỗ lực hơn, thường không bị phát hiện cho đến khi phát hiện rò rỉ dữ liệu hoặc dữ liệu được mã hóa".."

Dữ liệu do Palo Alto Networks Unit 42 thu thập từ các trang web rò rỉ cho thấy các ngành bị ảnh hưởng nhiều nhất bởi ransomware trong nửa đầu năm 2024 là sản xuất (16,4%), chăm sóc sức khỏe (9,6%) và xây dựng (9,4%).


Một số quốc gia được nhắm mục tiêu nhiều nhất trong khoảng thời gian này là Mỹ, Canada, Anh, Đức, Ý, Pháp, Tây Ban Nha, Brazil, Úc và Bỉ.

Công ty cho biết : "Các lỗ hổng mới được tiết lộ chủ yếu thúc đẩy hoạt động của ransomware khi những kẻ tấn công chuyển sang nhanh chóng khai thác những cơ hội này". "Các tác nhân đe dọa thường xuyên nhắm mục tiêu vào các lỗ hổng để truy cập vào mạng nạn nhân, nâng cao đặc quyền và di chuyển ngang qua các môi trường bị vi phạm."

Một xu hướng đáng chú ý là sự xuất hiện của các nhóm ransomware mới (hoặc được cải tiến), chiếm 21 trong tổng số 68 nhóm duy nhất đăng tải các nỗ lực tống tiền và mục tiêu ngày càng tăng của các tổ chức nhỏ hơn, theo Rapid7.

Nó cho biết : "Điều này có thể vì nhiều lý do, trong đó ít nhất là do các tổ chức nhỏ hơn này chứa nhiều tác nhân đe dọa dữ liệu giống nhau đang theo đuổi, nhưng họ thường có các biện pháp phòng ngừa bảo mật kém hoàn thiện hơn".

Một khía cạnh quan trọng khác là tính chuyên nghiệp hóa của các mô hình kinh doanh RaaS. Các nhóm ransomware không chỉ tinh vi hơn mà còn ngày càng mở rộng quy mô hoạt động giống như các doanh nghiệp hợp pháp.

Rapid7 chỉ ra: "Họ có thị trường riêng, bán sản phẩm của riêng mình và trong một số trường hợp có hỗ trợ 24/7". "Họ dường như cũng đang tạo ra một hệ sinh thái cộng tác và hợp nhất trong các loại ransomware mà họ triển khai."