Phân tích đối thoại giữa nhóm điều hành mã độc tống tiền và các nạn nhân

www.tuoitre.vn -   04/05/2022 12:00:00 84

Một phân tích kéo dài bốn tháng của hơn 40 cuộc trò chuyện giữa những kẻ điều hành ransomware Conti và Hive với nạn nhân của họ đã cung cấp một cái nhìn sâu sắc về hoạt động bên trong của các nhóm này, và kỹ thuật đàm phán của chúng.

Phân tích đối thoại giữa nhóm điều hành mã độc tống tiền và các nạn nhân

Trong một cuộc trao đổi, Conti Team được cho là đã giảm đáng kể nhu cầu tiền chuộc từ 50 triệu đô la xuống 1 triệu đô la, mức giảm tới 98%. Điều này cho thấy họ sẵn sàng giải quyết với số tiền thấp hơn rất nhiều.

Cisco Talos cho biết trong một báo cáo được chia sẻ với The Hacker News rằng: “Cả Conti và Hive đều nhanh chóng giảm yêu cầu tiền chuộc, thường xuyên đưa ra mức giảm đáng kể nhiều lần trong suốt các cuộc đàm phán. Điều này cho thấy rằng bất chấp niềm tin phổ biến, nạn nhân của một cuộc tấn công ransomware thực sự có sức mạnh đàm phán đáng kể”.

Conti và Hive là một trong những chủng ransomware phổ biến nhất trong các mối đe dọa, chiếm 29,1% các cuộc tấn công được phát hiện trong khoảng thời gian ba tháng từ tháng 10 đến tháng 12/2021.

Điểm mấu chốt rút ra từ việc phân tích nhật ký trò chuyện là sự tương phản trong phong cách giao tiếp giữa hai nhóm. Trong khi các cuộc trò chuyện của Conti với nạn nhân là chuyên nghiệp và được đánh dấu bằng việc sử dụng các chiến thuật thuyết phục khác nhau để thuyết phục nạn nhân trả tiền chuộc, Hive sử dụng một cách tiếp cận “ngắn hơn, trực tiếp hơn nhiều”.

Phân tích đối thoại giữa nhóm điều hành mã độc tống tiền và các nạn nhân

Bên cạnh việc cung cấp các kỳ nghỉ và giảm giá đặc biệt, Conti còn được biết đến là cung cấp “hỗ trợ IT” để ngăn chặn các cuộc tấn công trong tương lai. Chúng gửi cho nạn nhân một báo cáo bảo mật liệt kê một loạt các bước mà họ có thể thực hiện để gia tăng bảo mật.

Ngoài ra, nhóm này đã sử dụng các chiến thuật hù dọa, cảnh báo nạn nhân về thiệt hại danh tiếng và các vấn đề pháp lý bắt nguồn từ hậu quả của việc bị rò rỉ dữ liệu và đe dọa chia sẻ thông tin bị đánh cắp với đối thủ cạnh tranh và các bên liên quan khác.

CISA cho biết trong một khuyến cáo vào đầu năm nay rằng: ” Sau khi mã hóa mạng của nạn nhân, tin tặc tăng cường sử dụng phương pháp ‘ba bước tống tiền’ bằng cách đe dọa (1) tiết lộ công khai thông tin nhạy cảm bị đánh cắp, (2) làm gián đoạn quyền truy cập internet của nạn nhân và / hoặc (3) thông báo cho các đối tác, cổ đông của nạn nhân, hoặc các nhà cung cấp về vụ việc”.

Một điểm khác biệt nữa là tính linh hoạt của Conti về thời hạn thanh toán. Chuyên gia Kendall McKay của Talos cho biết: “Những hành vi này cho thấy những kẻ điều hành Conti là những tội phạm mạng rất cơ hội, những kẻ cuối cùng sẽ thích một khoản thanh toán hơn là không có”.

Mặt khác, Hive được nhận xét là sẽ nhanh chóng nâng cao yêu cầu về tiền chuộc nếu nạn nhân không thực hiện thanh toán trước ngày quy định.

Điều đáng chú ý nữa là Hive nhấn mạnh vào tốc độ so với độ chính xác trong quá trình mã hóa, khiến nó dễ bị sai lầm trong việc mã hóa và qua đó cho phép khôi phục.

McKay cho biết: “Giống như nhiều tội phạm mạng khác, Conti và Hive là những kẻ cơ hội tìm cách tấn công nạn nhân thông qua các phương tiện dễ dàng và nhanh chóng nhất có thể, thường bao gồm khai thác qua các lỗ hổng đã biết. Đây là một lời nhắc nhở cho tất cả các tổ chức để triển khai một hệ thống quản lý bản vá mạnh mẽ và giữ cho tất cả các hệ thống được cập nhật đầy đủ”.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

5.4 triệu tài khoản Twitter bị tấn công ...

08/08/2022 08:00:00 36
Twitter hôm thứ Sáu đã tiết lộ rằng một lỗi zero-day hiện đã được vá đã được sử dụng để liên kết số ...

Đánh cắp dữ liệu, APT và ransomware: Mối...

05/08/2022 10:00:00 67
Khi thiệt hại do tấn công mạng gây ra cho các doanh nghiệp và quốc gia đã được phổ biến rộng rãi trê...

Hơn 3.200 ứng dụng điện thoại di động bị...

01/08/2022 08:00:00 45
Các nhà nghiên cứu bảo mật đã phát hiện ra danh sách 3.207 ứng dụng dành cho thiết bị di động đang đ...

Các giải pháp bảo mật dành cho doanh ngh...

29/07/2022 04:00:00 164
AV-TEST, tổ chức độc lập trong lĩnh vực bảo mật công nghệ thông tin, đã công nhận Kaspersky Endpoint...

Hàng tá ứng dụng Android trên cửa hàng G...

29/07/2022 08:00:00 170
Một chiến dịch độc hại đã tận dụng các ứng dụng nhỏ giọt của Android có vẻ vô hại trên Cửa hàng Goog...

Có hay không khả năng bị hack thông tin ...

29/07/2022 12:00:00 76
Cách duy nhất để bạn có thể thực sự an toàn là sử dụng tính năng bảo vệ chống virus zero-day cùng vớ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ