Các băng nhóm hackers ransomware đang kịch chiến với nhau tranh giành thị trường

[trungthuc]

Một số chuyên gia về an ninh mạng lên tiếng cảnh cáo cho rằng, cuộc kịch chiến giữa các băng nhóm tin tặc ransomware đối địch với nhau có thể khiến cho nhiều tập đoàn kinh doanh bị tống tiền đến hai lần.

Nhóm ransomware khét tiếng có dính líu đến cuộc tấn công mạng gần đây vào các công ty bán lẻ lớn của Anh như M&S, Harrods và Co-Op đã bắt đầu một cuộc chiến tranh giành lãnh địa với các đối thủ của mình. Hành động này sẽ châm ngòi cho cuộc chiến nội bộ trong môi trường tội phạm mạng chuyên đi tống tiền mà có thể dẫn đến nhiều vụ hack hơn và gây ra hậu quả nghiêm trọng hơn cho các cơ sở kinh doanh khắp nơi.

"DragonForce" và "RansomHub" đang ra tay triệt hạ lẫn nhau

DragonForce, băng nhóm tội phạm mạng chủ yếu nói tiếng Nga đứng đằng sau hàng loạt vụ tấn công đình đám năm nay, đã đụng độ với một trong những đối thủ lớn nhất của mình là nhóm tin tặc có tên RansomHub, theo các chuyên gia an ninh mạng đang theo dõi cuộc tranh giành khốc liệt này để thống trị môi trường tội phạm mạng chuyên tống tiền đang được bùng nổ này.

Họ cảnh cáo rằng, cuộc xung đột giữa 2 nhóm DragonForce và RansomHub, hoạt động trong thị trường RaaS, có thể làm gia tăng nhiều rủi ro cho các công ty, bao gồm cả khả năng bị tống tiền đến 2 lần.

Ông Toby Lewis, người đứng đầu phụ trách toàn cầu về phân tích mối đe dọa tại hãng Darktrace, cho biết: "Trong thế giới của bọn hackers, không có danh dự giữa những kẻ trộm. Hầu hết băng nhóm tội phạm mạng đều có nhu cầu sâu xa về việc được công nhận và thể hiện sự vượt trội. Điều này có thể khiến cho chúng cố gắng vượt mặt nhau bằng cách cùng nhắm đến một mục tiêu để ra tay tấn công và tống tiền".

Hacking là hành động truy cập trái phép nhằm điều khiển hệ thống máy tính, mạng hoặc thiết bị số để lấy cắp thông tin lý lích cá nhân hoặc của hệ thống vận hành của các công ty, cơ quan chính phủ.

Darktrace vốn là công ty an ninh mạng đặt trụ sở Anh Quốc, nổi tiếng với việc đi đầu cho áp dụng trí tuệ nhân tạo (AI) và học máy vào việc bảo vệ an ninh mạng các tổ chức khỏi các mối đe dọa của bọn tin tặc. Điểm hoạt động đặc biệt của Darktrace nằm ở cách thức tiếp cận "hệ miễn dịch tự học" với vấn đề an ninh mạng:

Học hỏi và xây dựng: Thay vì chỉ dựa vào các dấu hiệu tấn công đã dò ra được, hệ thống AI của Darktrace sẽ liên tục giám sát toàn bộ mạng lưới của một tổ chức (gồm IT, internet vạn vật, công nghệ vận hành, đám mây, email, thiết bị đầu cuối...) để học hỏi và xây dựng một loại "hình mẫu bình thường" về hành vi của mọi người sử dụng, thiết bị và ứng dụng.

Phát hiện bất thường: Khi phát hiện bất cứ một sự lệch lạc nào so với "hình mẫu bình thường" này, dù là nhỏ nhất và chưa từng thấy trước đây, AI sẽ coi đó là dấu hiệu tiềm tàng của mối đe dọa. Điều này cho phép công ty Darktrace phát hiện ra các cuộc tấn công mới, tinh vi mà các giải pháp bảo mật truyền thống có thể bị bỏ qua.

Phản ứng tự động: Một trong những chức năng mạnh mẽ nhất của Darktrace là khả năng phản ứng tự động. Khi xác định ra một mối đe dọa, AI của Darktrace có thể cho thực hiện các hành động chính xác để vô hiệu hóa cuộc tấn công trong thời gian thực tế, ví dụ cô lập thiết bị bị nhiễm, chặn luồng dữ kiện độc hại xâm nhập hoặc ngăn chặn các hành vi đáng ngờ, mà không cần đến sự can thiệp từ con người và không làm gián đoạn các hoạt động kinh doanh.

Phân tích chuyên sâu: Darktrace cũng cung cấp khả năng để phân tích và điều tra chuyên sâu, giúp cho các đội ngũ an ninh mạng hiểu rõ hơn về bản chất của các mối đe dọa và cải thiện khả năng phòng thủ của mình theo thời gian.

Các băng nhóm RaaSsẽ hoạt động bằng cách bán ra đồ nghề và mã độc cần thiết để truy cập vào hệ thống nội bộ của những công ty và sau đó ra tay tống tiền. Chúng hoạt động trên darkweb, cạnh tranh để bán dịch vụ cho những kẻ muốn thực hiện hành vi tấn công mạng, được gọi là đối tác liên kết, chẳng hạn như bọn Scattered Spider. Nhóm này có nhúng tay đến vụ tấn công M&S, và cả hãng hàng không Qantas (Úc) vào tuần trước.

Scattered Spider là tên được đặt (không chính thức) cho băng nhóm tội phạm mạng gồm các cá nhân trẻ tuổi, chủ yếu từ Mỹ và Anh, hoạt động phân tán và rải rác, đã bắt đầu nổi lên từ khoảng năm 2022.

(Minh họa)

Mối giao lưu giữa 2 băng hackers DragonForce và RansomHub đã trở nên xấu đi sau khi DragonForce tự cho mình trở thành "cartel" vào tháng 3 vừa qua, mở rộng các dịch vụ cung cấp và tiếp cận để tìm cách thu hút thêm đối tác liên kết.

Cùng trong tháng 3 này, trang web của bọn RansomHub đã bị đánh sập với dòng chữ để lại là R.I.P 3/3/25, được cho là hành động tuyên chiến từ bọn DragonForce, theo hãng Sophos. Để trả đũa, một thành viên của RansomHub đã làm biến dạng trang web DragonForce, gọi bọn chúng là "những kẻ phản bội".

Sophos là công ty cung cấp phần mềm và phần cứng bảo mật có trụ sở đặt tại Anh Quốc, nổi tiếng trong lĩnh vực an ninh mạng, chủ yếu tập trung vào việc cung cấp các giải pháp bảo mật cho các tổ chức kinh doanh lớn nhỏ.

Bà Genevieve Stark, người đứng đầu bộ phận phân tích tội phạm mạng tại Google Threat Intelligence Group, cho biết bọn DragonForce có thể đang tìm cách thu hút các đối tác liên kết của bọn RansomHub. Nhóm hacker này cũng được cho là đứng sau các cuộc tấn công vào trang của các đối thủ khác, gồm cả BlackLock và Mamona, theo nguồn tin của Sophos.

Bà Genevieve Stark cảnh cáo rằng, bất kể động cơ là gì, hậu quả sẽ là sự gia tăng các rủi ro về các cuộc tấn công xâm nhập mạng. Bà nói: "Sự bất ổn trong hệ thống tin tặc này có thể gây ra những hậu quả nghiêm trọng cho các nạn nhân của ransomware và bị đánh cắp nguồn số liệu để ra tay tống tiền".

UnitedHealth Group đã bị tống tiền đến 2 lần

Dù đã bị tống tiền hai lần vốn là chuyện hiếm thấy, UnitedHealth Group (Mỹ) đã trở thành nạn nhân của một vụ hack hồi năm ngoái do mâu thuẫn giữa các băng nhóm ransomware.

UnitedHealth Group là tập đoàn bảo hiểm về sức khỏe đa quốc gia của Mỹ. Đây là một trong những công ty chăm sóc sức khỏe lớn nhất và đa dạng nhất trên thế giới xét về mặt doanh thu, số lượng khách hàng ghi danh.

Trong trường hợp đó, băng nhóm hacker Notchy ban đầu lđã móc nối với một nhóm RaaS nhằm tống tiền UnitedHealth. Nhóm RaaS này đã lấy được 22 triệu USD tiền chuộc từ UnitedHealth Group nhưng sau đó đã "trở mặt", để chiếm đoạt toàn bộ số tiền này, và không chia cho bọn Notchy. Quá tức giận, bọn Notchy chuyển sang liên lạc với bọn RansomHub để ra tay tống tiền UnitedHealth Group lần thứ 2, mong sẽ gỡ gạc lại khoản tiền đã bị chận mất, theo các chuyên gia về an ninh mạng.

Một người quen thuộc với vụ có liên quan đến UnitedHealth Group có cho biết, tuy các nỗ lực tống tiền là chuyện phổ biến trong các cuộc tấn công xâm nhập mạng, nhưng các nỗ lực tiếp theo thường có tính cơ hội và thiếu đi sức nặng thực sự.

Rafe Pilling, Giám đốc tình báo mối đe dọa tại Sophos, cho biết trong trường hợp xấu nhất, cuộc xung đột giữa DragonForce và RansomHub có thể khiến cho cả hai cùng nhắm mục tiêu vào cùng một nạn nhân trong cuộc chiến tranh giành lợi ích.

Ông còn nói thêm: "Tội phạm mạng thường tàn nhẫn và sự phản bội giữa các đối tác có thể dẫn đến tình huống nạn nhân bị tống tiền đến 2 lần".

Mức thiệt hại trên toàn cầu do bọn tội phạm mạng gây ra có thể lên đến 10 tỷ USD

Sự thiệt hại trên toàn cầu do bọn tội phạm mạng gây ra được dự đoán sẽ lên đến 10 tỷ USD vào năm 2025, tăng từ 3 tỷ USD trong 2015, theo Cybersecurity Ventures. Điều này cho thấy các băng nhóm hacker ngày càng tìm cách tối đa hóa lợi nhuận thông qua các cuộc tấn công phối hợp của chúng.

Cybersecurity Ventures là công ty nghiên cứu và tư vấn thông tin thị trường về an ninh mạng, không phải là quỹ đầu tư mạo hiểm.

Bị phát hiện đầu tiên vào tháng 8/2023, bọn DragonForce đã liệt kê ra tổng cộng có 82 nạn nhân trên trang darkweb của chúng trong 12 tháng sau đó, theo hãng an ninh mạng Group-IB (được thành lập tại Nga và có trụ sở chính toàn cầu ở Singapore). Trong khi RansomHub, cũng đã nổi lên vào năm 2023, đã ghi nhận khoảng 500 nạn nhân trên trang web của chúng chỉ trong năm 2024.

Jake Moore, cố vấn an ninh mạng toàn cầu tại hãng ESET (Slovakia), cảnh cáo rằng sự biến động của tình hình có thể khiến cho các chiến thuật phòng thủ và phản ứng của các công ty sẽ dễ bị tổn thương hơn.

Ông nói: "Hãy nhớ rằng đây là môi trường vô pháp luật, nơi các quy tắc cạnh tranh thông thường đơn giản là không hề tồn tại".