VietNetwork.Vn

Chính phủ Hoa Kỳ cho biết các tác nhân đe dọa có liên quan đến nhóm ransomware RansomHub đã mã hóa và đánh cắp dữ liệu của ít nhất 210 nạn nhân kể từ khi nhóm này thành lập vào tháng 2 năm 2024.

Các nạn nhân thuộc nhiều lĩnh vực khác nhau, bao gồm nước và nước thải, công nghệ thông tin, dịch vụ và cơ sở vật chất của chính phủ, chăm sóc sức khỏe và y tế công cộng, dịch vụ khẩn cấp, thực phẩm và nông nghiệp, dịch vụ tài chính, cơ sở thương mại, sản xuất quan trọng, giao thông vận tải và cơ sở hạ tầng quan trọng về truyền thông.


"RansomHub là một biến thể ransomware theo dạng dịch vụ—trước đây được gọi là Cyclops và Knight—đã khẳng định được vị thế là một mô hình dịch vụ hiệu quả và thành công (gần đây thu hút được các chi nhánh nổi tiếng từ các biến thể nổi bật khác như LockBit và ALPHV)", các cơ quan chính phủ cho biết.

Nền tảng ransomware-as-a-service (RaaS) là hậu duệ của Cyclops và Knight, hoạt động tội phạm điện tử này đã thu hút các chi nhánh cấp cao từ các biến thể nổi bật khác như LockBit và ALPHV (hay còn gọi là BlackCat) sau làn sóng hành động thực thi pháp luật gần đây.

Trong một phân tích được công bố vào cuối tháng trước, ZeroFox cho biết hoạt động của RansomHub so với tất cả các hoạt động ransomware mà nhà cung cấp an ninh mạng quan sát được đang có xu hướng tăng, chiếm khoảng 2% tổng số các cuộc tấn công trong quý 1 năm 2024, 5,1% trong quý 2 và 14,2% cho đến nay trong quý 3.

Công ty lưu ý rằng "Khoảng 34% các cuộc tấn công RansomHub nhắm vào các tổ chức ở châu Âu, so với 25% trên toàn bộ bối cảnh đe dọa".

Nhóm này được biết đến là sử dụng mô hình tống tiền kép để đánh cắp dữ liệu và mã hóa hệ thống nhằm tống tiền nạn nhân, những người được khuyến khích liên hệ với các nhà điều hành thông qua một   Đăng nhập để xem liên kết duy nhất. Các công ty mục tiêu từ chối chấp nhận yêu cầu tiền chuộc sẽ bị công bố thông tin trên trang web rò rỉ dữ liệu trong khoảng thời gian từ ba đến 90 ngày.

Việc truy cập ban đầu vào môi trường nạn nhân được tạo điều kiện thuận lợi bằng cách khai thác các lỗ hổng bảo mật đã biết trong các thiết bị Apache ActiveMQ (CVE -2023-46604), Atlassian Confluence Data Center and Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) và Fortinet FortiClientEMS (CVE-2023-48788), cùng nhiều thiết bị khác.

Bước này được tiếp nối bằng cách các chi nhánh tiến hành trinh sát và quét mạng bằng các chương trình như AngryIPScanner, Nmap và các phương pháp sống ngoài đất liền (LotL) khác. Các cuộc tấn công RansomHub còn liên quan đến việc vô hiệu hóa phần mềm diệt vi-rút bằng các công cụ tùy chỉnh để ẩn mình.

"Sau khi truy cập ban đầu, các chi nhánh của RansomHub đã tạo tài khoản người dùng để duy trì, kích hoạt lại các tài khoản đã bị vô hiệu hóa và sử dụng Mimikatz trên các hệ thống Windows để thu thập thông tin xác thực [T1003] và nâng cao đặc quyền lên HỆ THỐNG", thông báo của chính phủ Hoa Kỳ viết.

"Các chi nhánh sau đó di chuyển ngang vào bên trong mạng thông qua các phương pháp bao gồm Giao thức máy tính từ xa (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit hoặc các phương pháp chỉ huy và kiểm soát (C2) được sử dụng rộng rãi khác."

Một khía cạnh đáng chú ý khác của các cuộc tấn công RansomHub là việc sử dụng mã hóa không liên tục để tăng tốc quá trình, với việc đánh cắp dữ liệu được quan sát thông qua các công cụ như PuTTY, Amazon AWS S3 bucket, yêu cầu HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit và các phương pháp khác.

Sự phát triển này diễn ra khi Đơn vị 42 của Palo Alto Networks tiết lộ các chiến thuật liên quan đến phần mềm tống tiền ShinyHunters, được theo dõi là Bling Libra, nhấn mạnh sự chuyển hướng sang tống tiền nạn nhân trái ngược với chiến thuật truyền thống của chúng là bán hoặc công bố dữ liệu bị đánh cắp. Kẻ tấn công đầu tiên bị phát hiện vào năm 2020.

Các nhà nghiên cứu bảo mật Margaret Zimmermann và Chandni Vaya cho biết : "Nhóm này lấy thông tin xác thực hợp lệ, có nguồn gốc từ các kho lưu trữ công khai, để có quyền truy cập ban đầu vào môi trường Amazon Web Services (AWS) của một tổ chức".

"Mặc dù các quyền liên quan đến thông tin đăng nhập bị xâm phạm đã hạn chế tác động của vi phạm, Bling Libra đã xâm nhập vào môi trường AWS của tổ chức và tiến hành các hoạt động do thám. Nhóm tác nhân đe dọa đã sử dụng các công cụ như Amazon Simple Storage Service (S3) Browser và WinSCP để thu thập thông tin về cấu hình thùng S3, truy cập các đối tượng S3 và xóa dữ liệu."

Theo SOCRadar, điều này cũng theo sau sự phát triển đáng kể của các cuộc tấn công bằng phần mềm tống tiền, không chỉ dừng lại ở mã hóa tệp mà còn sử dụng các chiến lược tống tiền phức tạp, nhiều mặt, thậm chí sử dụng các chương trình tống tiền ba và bốn lần.

Công ty cho biết : "Tống tiền ba lần làm tăng mức độ nghiêm trọng, đe dọa các biện pháp phá hoại bổ sung ngoài mã hóa và đánh cắp dữ liệu".

"Điều này có thể bao gồm việc thực hiện một cuộc tấn công DDoS vào hệ thống của nạn nhân hoặc mở rộng các mối đe dọa trực tiếp tới khách hàng, nhà cung cấp hoặc các cộng sự khác của nạn nhân để gây thêm thiệt hại về mặt hoạt động và danh tiếng cho những đối tượng cuối cùng bị nhắm tới trong kế hoạch tống tiền."

Hình thức tống tiền bốn lần này sẽ tăng mức độ nghiêm trọng bằng cách liên hệ với các bên thứ ba có quan hệ kinh doanh với nạn nhân và tống tiền họ, hoặc đe dọa nạn nhân tiết lộ dữ liệu từ bên thứ ba để gây thêm áp lực buộc nạn nhân phải trả tiền.

Bản chất sinh lợi của các mô hình RaaS đã thúc đẩy sự gia tăng các biến thể ransomware mới như Allarich, Cronus, CyberVolk, Datablack, DeathGrip, Hawk Eye và Insom. Nó cũng khiến các tác nhân quốc gia Iran hợp tác với các nhóm nổi tiếng như NoEscape, RansomHouse và BlackCat để đổi lấy một phần lợi nhuận bất hợp pháp.