Nhóm tội phạm mạng DarkSide và cuộc "ngã giá" đòi tiền chuộc được công khai

10:00 | 19/05/2021 | HACKER / MALWARE
Cơ quan tình báo liên bang FBI (Mỹ) đã xác nhận về một nhóm tội phạm sử dụng mã độc tống tiền DarkSide phải chịu trách nhiệm cho một cuộc tấn công gây ra cho Colonial Pipeline, khiến công ty này phải đóng cửa 5.500 dặm đường ống dẫn dầu. Vụ tấn công này cũng khiến cho hàng nghìn thùng xăng, dầu diesel và nhiên liệu máy bay bị tắc nghẽn tại bờ biển vùng Vịnh. Bài báo này sẽ phân tích về băng nhóm tội phạm mạng này với cuộc đàm phán của chúng và một nạn nhân tại Hoa Kỳ.

Đường ống dẫn dầu dài 5.500 dặm bị đóng cửa sau cuộc tấn công mạng

Công ty tình báo mạng Flashpoint (có trụ sở tại thành phố New York) cho biết, các nhà phân tích của họ đã đưa ra một đánh giá với mức độ tin cậy trung bình rằng cuộc tấn công Colonial Pipeline không nhằm phá hoại cơ sở hạ tầng quốc gia, mà chỉ đơn giản là liên quan đến một mục tiêu có tài chính tốt để đòi được một khoản tiền chuộc lớn.

Để đáp lại sự chú ý của công chúng đối với cuộc tấn công này, nhóm DarkSide đã tìm cách trấn an sự lo ngại về các cuộc tấn công cơ sở hạ tầng trên diện rộng trong tương lai.

“Chúng tôi là một nhóm phi chính trị, không cần ràng buộc chúng tôi với một chính phủ xác định và tìm kiếm động cơ khác của chúng tôi. Mục tiêu của chúng tôi là kiếm tiền chứ không phải tạo ra vấn đề cho xã hội. Kể từ hôm nay, chúng tôi sẽ bắt đầu kiểm duyệt và kiểm tra từng công ty mà đối tác của chúng tôi muốn tống tiền để tránh những hậu quả cho xã hội trong tương lai”, theo một cập nhật trên blog DarkSide Leaks.

Lần đầu tiên xuất hiện trên các diễn đàn về hack bằng tiếng Nga vào tháng 8/2020, DarkSide là một nền tảng ransomware dưới dạng dịch vụ (ransomware-as-a-service) mà các cộng tác viên là các tội phạm mạng đã xác thực với nền tảng này có thể sử dụng để lây nhiễm ransomware cho các công ty và thực hiện các cuộc đàm phán và thanh toán với nạn nhân. DarkSide cho biết họ chỉ nhắm mục tiêu vào các công ty lớn và cấm các cộng tác viên của họ phát tán ransomware vào các tổ chức trong một số ngành, bao gồm chăm sóc sức khỏe, dịch vụ tang lễ, giáo dục, khu vực công và tổ chức phi lợi nhuận.

Giống như các nền tảng ransomware khác, DarkSide tuân thủ phương pháp tống tiền kép tốt nhất hiện nay của tin tặc. Điều này liên quan đến việc yêu cầu các khoản tiền riêng biệt cho cả khóa kỹ thuật số cần thiết để mở khóa bất kỳ tệp hay máy chủ nào và một khoản tiền chuộc riêng để đổi lấy lời hứa hủy mọi dữ liệu bị đánh cắp từ nạn nhân.

Khi ra mắt, DarkSide đã tìm cách thu hút các cộng tác viên từ các chương trình ransomware. Đồng thời, cạnh tranh khác bằng cách quảng cáo về ưu điểm của họ so với đối tác.

Bài quảng cáo của nhóm DarkSide

Theo nhóm tội phạm DarkSide quảng cáo: “Đảm bảo mức độ tin cậy cao đối với các mục tiêu của chúng tôi. Họ trả tiền cho chúng tôi và biết rằng họ sẽ nhận được các công cụ giải mã. Họ cũng biết rằng chúng tôi đã tải xuống rất nhiều dữ liệu. Đó là lý do tại sao tỷ lệ trả tiền chuộc của các nạn nhân rất cao và mất rất ít thời gian để thương lượng”.

Vào cuối tháng 3/2021, DarkSide đã giới thiệu một cải tiến về dịch vụ cuộc gọi được tích hợp vào giao diện quản lý của cộng tác viên, cho phép các cộng tác viên thu xếp các cuộc gọi ép nạn nhân trả tiền chuộc trực tiếp từ giao diện quản lý.

Vào giữa tháng 4/2021, nhóm này đã công bố tính năng mới cho các cộng tác viên để sử dụng các cuộc tấn công từ chối dịch vụ phân tán (DDoS), nhằm vào các mục tiêu bất cứ khi nào cần thêm áp lực trong quá trình đàm phán đòi tiền chuộc.

DarkSide cũng quảng cáo sẵn sàng bán thông tin về các nạn nhân sắp tới trước khi thông tin bị đánh cắp của họ được công bố trên blog về nạn nhân của DarkSide, để những kẻ lừa đảo đầu tư táo bạo có thể bán khống cổ phiếu của công ty trước khi có tin tức.

Nhóm DarkSide giải thích “Giờ đây, nhóm của chúng tôi và các đối tác đã mã hóa nhiều công ty đang giao dịch trên NASDAQ và các sàn giao dịch chứng khoán khác. Nếu công ty từ chối thanh toán, chúng tôi sẵn sàng cung cấp thông tin trước khi công bố, để có thể kiếm được tiền từ việc giảm giá cổ phiếu. Viết thư cho chúng tôi trong mục ‘Contact Us’ và chúng tôi sẽ cung cấp cho bạn thông tin chi tiết”.

DarkSide cũng bắt đầu tuyển dụng các cộng tác viên mới một lần nữa vào tháng trước, chủ yếu tìm kiếm những người kiểm thử xâm nhập mạng, những người có thể giúp biến một máy tính bị xâm nhập duy nhất thành một sự cố vi phạm dữ liệu và ransomware.

Tin tuyển dụng của nhóm DarkSide

DarkSide giải thích rằng: “Chúng tôi đã có sự phát triển lớn về cơ sở khách hàng và so với các dự án khác, vì vậy chúng tôi sẵn sàng phát triển đội ngũ và một số chi nhánh của mình trong hai lĩnh vực. Về kiểm thử xâm nhập mạng, chúng tôi đang tìm kiếm một người hoặc một nhóm. Chúng tôi sẽ giúp bạn thích nghi với môi trường làm việc và cung cấp công việc. Lợi nhuận được chia cao, khả năng nhắm mục tiêu các mạng mà bạn không thể tự xử lý. Kinh nghiệm mới và thu nhập ổn định. Khi bạn sử dụng sản phẩm của chúng tôi và tiền chuộc được thanh toán, chúng tôi đảm bảo phân phối tiền công bằng. Một bảng chi tiết để giám sát kết quả cho mục tiêu của bạn. Chúng tôi chỉ chấp nhận các mạng mà bạn dự định chạy payload của chúng tôi”.

DarkSide đã cho thấy họ khá mạnh tay với các công ty nạn nhân có khả năng thanh toán tốt, nhưng điều này có thể lý giải được. Công ty tình báo an ninh mạng Intel 471 đã quan sát thấy một cuộc đàm phán giữa nhóm DarkSide và một công ty nạn nhân của Mỹ (trị giá 15 tỷ đô la Mỹ) đã bị yêu cầu tiền chuộc 30 triệu đô la vào tháng 1/2021. Trong vụ việc này, những nỗ lực của nạn nhân trong việc thương lượng một khoản thanh toán thấp hơn cuối cùng đã giúp giảm tiền chuộc xuống gần hai phần ba.

Màn hình thông báo sau khi dữ liệu bị mã hoá

Cuộc trao đổi đầu tiên giữa DarkSide và nạn nhân liên quan đến việc thiết lập sự tin tưởng giữa hai bên, trong đó nạn nhân yêu cầu đảm bảo rằng dữ liệu bị đánh cắp sẽ bị xóa sau khi thanh toán.

Nạn nhân đã phản đối đề nghị 30 triệu đô la và chỉ trả 2,25 triệu đô la.

DarkSide đã trả lời bằng một nội dung khá dài, cuối cùng đồng ý giảm yêu cầu tiền chuộc xuống 28,7 triệu đô la: “Bộ hẹn giờ đang tích tắc đếm và trong 8 giờ tới, chi phí phải trả của bạn sẽ lên đến 60 triệu đô la. Vì vậy, lựa chọn của bạn là trước tiên hãy nhận lời đề nghị hào phóng của chúng tôi và trả cho chúng tôi 28,75 triệu đô la Mỹ hoặc đầu tư một số tiền vào máy tính lượng tử để tiến hành quá trình giải mã”.

Nạn nhân phàn nàn rằng các cuộc đàm phán đã không làm thay đổi giá nhiều, nhưng DarkSide phản bác rằng công ty của nạn nhân có thể dễ dàng chi trả số tiền này: "Bạn không nghèo và không phải là trẻ em vì vậy bạn phải chịu trách nhiệm cho hành vi của bạn".

Công ty nạn nhân trả lời một ngày sau đó nói rằng họ đã được cho phép để trả 4,75 triệu đô la và nhóm tội phảm đã giảm yêu cầu đáng kể xuống còn 12 triệu đô la.

Nạn nhân trả lời rằng đây vẫn là một số tiền lớn và họ cố gắng để nhận thêm sự đảm bảo từ nhóm ransomware khi đồng ý trả 12 triệu đô la, chẳng hạn như một thỏa thuận không nhắm mục tiêu vào công ty nữa hoặc không cho phép truy cập vào dữ liệu bị đánh cắp của công ty. Nạn nhân cũng cố gắng yêu cầu những kẻ tấn công giao chìa khóa giải mã trước khi trả toàn bộ tiền chuộc.

Băng nhóm tội phạm trả lời rằng các quy tắc của băng cấm chúng đưa ra chìa khóa giải mã trước khi thanh toán đầy đủ, nhưng chúng đồng ý với phần còn lại của các điều khoản.

Công ty nạn nhân đồng ý trả 11 triệu đô la tiền chuộc và những kẻ tống tiền cũng đồng tình và hứa sẽ không tấn công hoặc giúp bất kỳ ai khác tấn công mạng của công ty trong tương lai.

Flashpoint đánh giá rằng ít nhất một số tội phạm đứng sau DarkSide đã đến từ một nhóm ransomware khác có tên là “REvil” (hay còn gọi là “Sodinokibi”). REvil được nhiều người coi là nhóm tiếp nối của GandCrab, một dịch vụ cung cấp ransomware dưới dạng dịch vụ đã đóng vào năm 2019 sau khi cho biết rằng đã tống tiền hơn 2 tỷ đô la.

Các chuyên gia cho rằng các cuộc tấn công bằng ransomware sẽ tiếp tục phát triển về mức độ tinh vi, tần suất và chi phí trừ khi có hành động gì đó phá vỡ khả năng của kẻ tấn công được trả cho những việc làm như vậy. Theo một báo cáo vào cuối năm 2020 từ Coveware, khoản thanh toán cho các nhóm ransomware trung bình trong quý 3/2020 là 233.817 USD, tăng 31% so với quý 2/2019. Công ty bảo mật Emsisoft cũng phát hiện ra rằng gần 2.400 tổ chức, cơ sở y tế và trường học có trụ sở tại Hoa Kỳ là nạn nhân của ransomware vào năm 2020.

Tháng 4/2021, một nhóm các công ty công nghệ lớn đã chuyển cho lực lượng đặc nhiệm bản báo cáo dài 81 trang để gửi tới chính quyền Biden về các cách ngăn chặn ngành công nghiệp ransomware. Trong số nhiều khuyến nghị khác, báo cáo kêu gọi Nhà Trắng ưu tiên tìm kiếm, tạo ra các hạn chế và bắt giữ những kẻ lừa đảo ransomware trong cộng đồng tình báo Hoa Kỳ, đồng thời coi thảm họa tống tiền kỹ thuật số hiện nay là một mối đe dọa an ninh quốc gia.

Đăng Thứ

(Theo Krebsonsecurity)

Tin cùng chuyên mục

Tin mới