Xu hướng trong năm 2022 và hành vi các nhóm Ransomware

Cùng với những thách thức khác của mô hình làm việc từ xa, các doanh nghiệp đang phải đương đầu với hàng loạt khó khăn để bảo vệ an toàn dữ liệu và hạn chế tối đa rủi ro gián đoạn hệ thống. Dự báo rằng các mối đe dọa về các nhóm Ransomware sẽ tiếp tục phát triển và mở rộng quy mô với tốc độ nhanh chóng trong năm tới. Điều này tạo cơ hội lớn cho các tổ chức về Ransomware khai thác lỗ hổng bảo mật và các hàng rào phòng thủ của doanh nghiệp.

nhom-ransomware-doanh-nghiep

 

Ba xu hướng Ransomware cần biết cho năm 2022

Nạn nhân xấu hổ đang gia tăng

Càng ngày, các tổ chức Ransomware càng sử dụng nhiều kỹ thuật hiện đại để buộc nạn nhân trả tiền chuộc nhanh chóng. Chúng mã hóa các tệp, tận dụng các trang web rò rỉ và đe dọa các cuộc tấn công tiếp theo. Công bố các dữ liệu bị đánh cắp của nạn nhân trong dark web hoặc trang web rò rỉ.

Các kỹ thuật đa mã độc tống tiền mới ra đời nhưng đã được sử dụng phổ biến. Những kẻ tấn công tống tiền, lấy dữ liệu của nạn nhân trước khi triển khai Ransomware và sau đó đe dọa phát hành thông tin và khởi động một cuộc tấn công DDoS nếu tiền chuộc không được trả.

Ransomware-as-a-Service đang nhanh chóng hạ thấp thanh kỹ thuật 

Ransomware đã được chứng minh là một cơ chế để tội phạm mạng tấn công cả về khoản thanh toán và danh tiếng. Điều này đã dẫn đến sự phát triển của bối cảnh Ransomware đối với các tác nhân đe dọa “kinh doanh” đang tìm cách tận dụng ngày càng nhiều tội phạm mạng muốn tham gia.

Đây là hoạt động kinh doanh dành cho tội phạm với các điều khoản đặt ra. Cung cấp Ransomware cho các chi nhánh, để đổi lấy phí hàng tháng hoặc phần trăm của tiền chuộc được trả. 

Những kẻ tấn công đang ngày càng sử dụng của Zero-Days 

Các cuộc tấn công Ransomware thường tận dụng một phạm vi rộng nhiều lỗ hổng bảo mật như một vectơ ban đầu của sự thỏa hiệp. Vào năm 2021, có ít nhất 42 lỗ hổng trên các công nghệ khác nhau được sử dụng bởi các nhà khai thác Ransomware.

xu-huong-nhom-ransomware

Hành vi nhóm Ransomware 

Vào năm 2021, nhiều nhóm Ransomware mới xuất hiện, cũng như sự xuất hiện trở lại của một số nhóm Ransomware đã im hơi lặng tiếng trong một khoảng thời gian. Hầu hết các nhóm Ransomware này hoạt động rất tích cực, ngày càng sử dụng nhiều chiến thuật tống tiền để cải thiện khả năng thanh toán.

Conti

Conti là nhóm Ransomware hoạt động tích cực nhất. Nhóm này đã tác động đến số lượng lớn nạn nhân và yêu cầu rất cao về tiền chuộc. Conti thực hiện các cuộc tấn công vào bệnh viện, trường hợp khẩn cấp dịch vụ và các cơ quan thực thi pháp luật, sử dụng các kỹ thuật tống tiền kép khiến nạn nhân xấu hổ khi phải trả tiền chuộc. 

REvil – còn được gọi là Sodinokibi 

REvil là nhóm Ransomware hoạt động mạnh thứ hai trong năm 2021. Nhà điều hành PINCHY SPIDER đã chuyển đổi hoạt động từ GandCrab sang REvil vào giữa năm 2019. Điều này có thể là do các vụ bắt giữ gần đây của các chi nhánh bị nghi ngờ. Tuy nhiên, không thể để hạ thấp được đây là một trong những nhà khai thác Ransomware khét tiếng nhất thế giới.

BlackCat 

Nhóm Ransomware BlackCat (hay còn gọi là ALPHV) đáng chú ý vì sự gia tăng vượt bậc. Mô hình kinh doanh RaaS của nhóm cho phép các chi nhánh tận dụng Ransomware và thanh toán 10-20% cho BlackCat. Nạn nhân lớn nhất của nhóm là các tổ chức của Hoa Kỳ. Bên cạnh đó, Châu Âu, Philippines và các địa điểm khác cũng là nạn nhân của nhóm này. 

AvosLocker 

AvosLocker là nhóm Ransomware bắt đầu hoạt động vào cuối tháng 6/2021, với biểu tượng bọ cánh cứng màu xanh lam. AvosLocker quảng cáo chương trình RaaS và tìm kiếm các chi nhánh trên dark web diễn đàn thảo luận và các diễn đàn khác. Nhóm này tuyên bố đã ảnh hưởng đến sáu tổ chức ở các quốc gia: Hoa Kỳ, Vương quốc Anh, Bỉ, Tây Ban Nha và Lebanon.

Hive Ransomware 

Hive Ransomware là nhóm Ransomware tống tiền kép đã bắt đầu hoạt động trong tháng 6/2021. Kể từ đó, Hive đã tác động đến 66 tổ chức bao gồm một công ty hàng không châu Âu và ba tổ chức có trụ sở tại Hoa Kỳ. Hive sử dụng tất cả các công cụ có sẵn trong bộ công cụ tống tiền nhằm tạo áp lực lên nạn nhân. Thậm chí cung cấp tùy chọn cho khách truy cập vào trang web rò rỉ để chia sẻ thông tin rò rỉ bị tiết lộ trên phương tiện truyền thông xã hội.

ransomware-phan-loai

HelloKitty 

HelloKitty không phải là một nhóm Ransomware mới – nhóm này bắt nguồn từ 2020 và chủ yếu nhắm đến các hệ thống Windows. Tuy nhiên, vào tháng 7/2021, một biến thể Linux của nhóm này chuyển sang hướng đến ESXi của VMware hypervisor.

Những kẻ tấn công Ransomware của nhóm này thích giao tiếp với nạn nhân qua email. Một số khác đã sử dụng dịch vụ nhắn tin ẩn danh hay TorChats. Các biến thể của nhóm đã ảnh hưởng đến năm tổ chức lớn như Ý, Úc, Đức, Hà Lan và Hoa Kỳ.

LockBit 2.0 

LockBit 2.0 trước đây được gọi là nhóm Ransomware ABCD và đổi tên là LockBit vào tháng 7/2021 với các chiến dịch tiếp thị để tuyển dụng thêm chi nhánh mới. Nhóm này đã tuyên bố sẽ cung cấp mã hóa nhanh nhất trên thị trường Ransomware. Đến nay, có 406 nạn nhân được liệt kê trên trang web rò rỉ của nhóm, bao gồm các tổ chức trong Hoa Kỳ, Mexico, Bỉ, Argentina, Malaysia, Úc, Brazil, Thụy Sĩ, Đức, Ý, Áo, Romania và Vương quốc Anh.

Mespinoza 

Mespinoza nhắm mục tiêu vào bất động sản, sản xuất và các tổ chức giáo dục. Mespinoza có phạm vi tiếp cận toàn cầu rộng lớn bao gồm các nạn nhân ở Hoa Kỳ, Canada, Nam Mỹ, Châu Âu, Nam Phi, và Úc. Mespinoza sử dụng giao thức máy tính từ xa làm giao thức vectơ xâm nhập ban đầu và các tệp exfiltrates để hiển thị trên các trang web bị rò rỉ.

eCh0raix 

eCh0raix là nhóm Ransomware hoạt động được khoảng một năm và mục tiêu của nhóm này nhắm đến là 

  • Bộ nhớ gắn liền với mạng Synology (NAS)
  • Nhà cung cấp thiết bị mạng chất lượng (QNA)
  • Thiết bị NAS được sử dụng trong văn phòng nhỏ và văn phòng gia đình (SOHO)

Đến nay, các cuộc tấn công đã mang đến các khoản thanh toán khiêm tốn cho eCh0raix. SOHO là bàn đạp lý tưởng cho các cuộc tấn công chuỗi cung ứng vào một doanh nghiệp của nhóm này.