Các nhà nghiên cứu an ninh mạng hôm thứ Ba đã tóm tắt bốn nhóm ransomware đang phát triển có thể gây ra mối đe dọa nghiêm trọng cho các doanh nghiệp và cơ sở hạ tầng quan trọng, vì hiệu ứng gợn sóng của sự cố ransomware bùng phát gần đây cho thấy những kẻ tấn công ngày càng tinh vi hơn và có lợi hơn trong trích tiền trả từ nạn nhân.
“Trong khi cuộc khủng hoảng ransomware có vẻ sẽ trở nên tồi tệ hơn trước khi nó trở nên tốt hơn, dàn tội phạm mạng gây ra nhiều thiệt hại nhất liên tục thay đổi”, nhóm tình báo về mối đe dọa của Đơn vị 42 của Palo Alto Networks nói trong một báo cáo được chia sẻ với The Hacker News.
“Các nhóm đôi khi im hơi lặng tiếng khi họ đã đạt được nhiều tai tiếng đến mức trở thành ưu tiên của cơ quan thực thi pháp luật. Những nhóm khác khởi động lại hoạt động của họ để kiếm nhiều lợi nhuận hơn bằng cách sửa đổi chiến thuật, kỹ thuật và quy trình, cập nhật phần mềm của họ và tung ra các chiến dịch tiếp thị để tuyển dụng người mới các chi nhánh. “
Sự phát triển này diễn ra khi các cuộc tấn công ransomware ngày càng lớn và thường xuyên hơn, quy mô và mức độ nghiêm trọng ngày càng tăng, đồng thời phát triển vượt ra ngoài việc tống tiền tài chính đến một mối quan tâm cấp bách về an ninh và an toàn quốc gia đã đe dọa các trường học, bệnh viện, doanh nghiệp và chính phủ trên toàn thế giới, khiến quốc tế chính quyền hình thành một loạt các hành động chống lại cả các nhà khai thác ransomware và hệ sinh thái rộng lớn hơn của cơ sở hạ tầng CNTT và rửa tiền đã bị lạm dụng để bòn rút tiền.
Đứng đầu trong số những người mới tham gia là AvosLocker, một nhóm ransomware-as-a-service (RaaS) bắt đầu hoạt động vào cuối tháng 6 thông qua “thông cáo báo chí” được gắn nhãn hiệu con bọ xanh để tuyển dụng các chi nhánh mới. Cartel, cũng điều hành một trang web tống tiền và rò rỉ dữ liệu, được cho là đã xâm nhập vào sáu tổ chức ở Mỹ, Anh, UAE, Bỉ, Tây Ban Nha và Lebanon, với yêu cầu tiền chuộc từ 50.000 USD đến 75.000 USD.
Ngược lại, Hive, mặc dù mở cửa hàng cùng tháng với AvosLocker, nhưng đã tấn công một số nhà cung cấp dịch vụ chăm sóc sức khỏe và các tổ chức quy mô vừa, bao gồm một công ty hàng không châu Âu và ba tổ chức có trụ sở tại Hoa Kỳ, trong số các nạn nhân khác ở Úc, Trung Quốc, Ấn Độ, Hà Lan, Na Uy, Peru, Bồ Đào Nha, Thụy Sĩ, Thái Lan và Vương quốc Anh
Cũng được phát hiện trong tự nhiên là một biến thể Linux của ransomware HelloKitty, loại bỏ các máy chủ Linux chạy trình siêu giám sát ESXi của VMware. Các nhà nghiên cứu Doel Santos và Ruchna Nigam của Đơn vị 42 cho biết: “Các biến thể được quan sát đã ảnh hưởng đến 5 tổ chức ở Ý, Úc, Đức, Hà Lan và Mỹ. “Yêu cầu đòi tiền chuộc cao nhất được quan sát từ nhóm này là 10 triệu đô la, nhưng tại thời điểm viết bài, những kẻ đe dọa chỉ nhận được ba giao dịch với tổng trị giá khoảng 1,48 triệu đô la.”
Cuối cùng tham gia danh sách là LockBit 2.0, một nhóm ransomware được thành lập trở lại vào tháng sáu với phiên bản 2.0 của chương trình liên kết của họ chào hàng “lợi ích vô song” của nó là “tốc độ mã hóa và chức năng tự lây lan.” Không chỉ các nhà phát triển tuyên bố đây là “phần mềm mã hóa nhanh nhất trên toàn thế giới”, nhóm còn cung cấp một phần mềm đánh cắp tên là StealBit cho phép những kẻ tấn công tải xuống dữ liệu của nạn nhân.
Kể từ khi ra mắt vào tháng 6 năm 2021, LockBit 2.0 đã xâm nhập 52 tổ chức trong lĩnh vực kế toán, ô tô, tư vấn, kỹ thuật, tài chính, công nghệ cao, khách sạn, bảo hiểm, thực thi pháp luật, dịch vụ pháp lý, sản xuất, năng lượng phi lợi nhuận, bán lẻ, vận tải và hậu cần các ngành công nghiệp trải dài khắp Argentina, Úc, Áo, Bỉ, Brazil, Đức, Ý, Malaysia, Mexico, Romania, Thụy Sĩ, Vương quốc Anh và Hoa Kỳ
Nếu có bất cứ điều gì, sự xuất hiện của các biến thể ransomware mới cho thấy tội phạm mạng đang tăng gấp đôi các cuộc tấn công ransomware, nhấn mạnh bản chất cực kỳ sinh lợi của tội phạm.
“Với các nhóm ransomware chính như REvil và DarkSide Các nhà nghiên cứu cho biết: nằm thấp hoặc thay đổi thương hiệu để tránh sức nóng của cơ quan thực thi pháp luật và sự chú ý của giới truyền thông, các nhóm mới sẽ xuất hiện để thay thế những nhóm không còn tích cực nhắm mục tiêu đến nạn nhân. ví dụ điển hình về cách các nhóm cũ có thể tái xuất hiện và vẫn là những mối đe dọa dai dẳng. “
