Bộ Tư pháp Hoa Kỳ Buộc Tội Hacker Gây Hậu quả Ransomware Làm Tê Liệt Atlanta

Cảng San Diego. Thành phố Atlanta. Bệnh viện Kansas Heart. Đó chỉ là một số trong hơn 200 thành phố, trường đại học, bệnh viện và các mục tiêu khác đã trở thành nạn nhân của SamSam, một dạng ransomware nguy hiểm đã gây rối trong suốt ba năm qua ở Mỹ. Vào thứ Tư, Bộ Tư pháp buộc tội hai người đàn ông Iran đứng sau các cuộc tấn công.

Bản buộc tội gồm sáu điểm (được nhúng đầy đủ bên dưới) cho rằng Faramarz Shahi Savandi và Mohammad Mehdi Shah Mansouri, cả hai là công dân Iran, đã tạo ra SamSam và triển khai nó với tác động tàn khốc. Tổng cộng, Bộ Tư pháp ước tính rằng những kẻ tấn công thu được khoảng 6 triệu đô la từ việc yêu cầu chuộc của nạn nhân, đồng thời gây thiệt hại 30 triệu đô la.

“Ransomware SamSam là một bước đi nguy hiểm trong tội phạm mạng,” ông US Attorney Craig Carpenito nói tại cuộc họp báo vào thứ Tư thông báo các cáo buộc. “Đây là một loại tội phạm mạng mới. Tiền bạc không phải là mục tiêu duy nhất của họ.”

Kế Hoạch Lừa Đảo SamSam

Ít nhất, cách mà những kẻ tấn công SamSam thu thập tiền đã làm cho họ nổi bật so với kẻ tấn công ransomware điển hình. "Hầu hết ransomware được phổ biến qua email lừa đảo với một tệp đính kèm độc hại,” nói Jake Williams, người sáng lập công ty an ninh mạng Rendition Infosec. “Nhưng chúng ta không thấy điều đó với SamSam. SamSam thực hiện một chút khác biệt.”

Thay vì gửi hàng loạt email lừa đảo và chờ đợi xem ai sẽ nhấp vào, bản buộc tội cho rằng Savandi và Mansouri đã tiến hành thăm dò trên các mục tiêu cụ thể—như bệnh viện và thành phố—mà một sự tắt máy hệ thống sẽ ảnh hưởng nhiều nhất. Sau đó, họ tận dụng các vấn đề về vệ sinh an ninh mạng, như mật khẩu có thể đoán được bằng tấn công brute force, để có một điểm chân đầu tiên vào hệ thống.

“Chúng tôi chưa từng biết [những kẻ tấn công SamSam] sử dụng kỹ thuật xã hội hóa hoặc các cuộc tấn công malware truyền thống để truy cập vào hệ thống. Điều đó chỉ xảy ra thông qua các lỗ hổng trong các ứng dụng web hoặc xác thực yếu, những vấn đề không đòi hỏi hành động từ phía nạn nhân,” nói Keith Jarvis, nghiên cứu viên an ninh hàng đầu tại SecureWorks, một công ty an ninh mạng đã theo dõi các trường hợp nhiễm SamSam.

Điều này không chỉ thể hiện sự tinh vi tương đối của những kẻ tấn công SamSam, mà còn làm cho các cuộc tấn công trở nên khó khăn hơn để phòng ngự. Thay vì lây nhiễm vào một máy tính cá nhân, ransomware có thể chiếm đoạt một tá máy chủ quan trọng hoặc hơn. Hãy tưởng tượng như sự khác biệt giữa một tên trộm đi dọc theo con phố gõ cửa mọi ngôi nhà để xem ai mở cửa, và một tên trộm dành thời gian để mở khóa và tháo gỡ hệ thống an ninh.

“Họ sẽ di chuyển trong mạng một cách im lặng và xác định các máy chủ bổ sung để khai thác trong mạng đó. Chúng tôi đã thấy một số trường hợp nơi họ nhắm đến sao lưu trực tuyến và xóa những bản sao lưu trực tuyến đó trước khi bắt đầu quá trình mã hóa,” Jake Williams nói. “Họ không phải là nhóm duy nhất làm điều này, nhưng chắc chắn là nhóm nổi tiếng nhất làm điều này.”

Tại sao lại cần phải làm thêm nỗ lực? Bởi vì trong tình huống đó, một bệnh viện có thể nhiều khả năng sẽ trả tiền. FBI khuyến cáo nạn nhân của ransomware nên kiên nhẫn, nhưng điều đó không phải lúc nào cũng thực tế khi bạn phải quản lý, ví dụ, một thành phố toàn bộ.

Những Sai Lầm

Bản buộc tội của thứ Tư không chứa nhiều thông tin mới về SamSam so với những gì đã được biết trước đó, ngoại trừ danh tính của những người được cho là gây tội. Ngay cả điều đó cũng có vẻ không hấp dẫn như có vẻ; mặc dù có một sự tăng lên gần đây trong các cuộc tấn công mạng do Iran tài trợ, cặp đôi này không có vẻ liên quan gì đến chính phủ.

Có vẻ hấp dẫn hơn có thể là những gợi ý về cách chính quyền theo dõi các tội ác đến nguồn gốc của chúng. Mặc dù chi tiết về điều đó là ít, bản buộc tội cho biết các nhà điều tra đã thu được không chỉ cuộc trò chuyện giữa những người được cho là kẻ tạo malware và các sàn giao dịch bitcoin mà họ đã rửa tiền, mà còn là địa chỉ bitcoin cụ thể liên quan đến các cuộc tấn công. Trong lần đầu tiên, Bộ Tài chính vào thứ Tư áp đặt trừng phạt chống lại những địa chỉ đó, mà cùng nhau đã xử lý hơn 7,000 giao dịch.

“Những tội phạm này tin rằng họ đã che đậy danh tính của mình trên dark web. Tuy nhiên, vụ án này cho thấy rằng công cụ ẩn danh có thể không làm cho bạn ẩn danh như bạn nghĩ. Họ đã sử dụng bitcoin để tránh phát hiện, nhưng vụ án này chỉ ra rằng loại tiền điện tử này có thể bị theo dõi,” Amy Hess, giám đốc phó trực tiếp FBI, nói tại cuộc họp báo vào thứ Tư.

Vẫn chưa rõ liệu cáo buộc có thực sự dừng hoặc thậm chí làm chậm lại các cuộc tấn công SamSam hay không. “Trong quá khứ, đã được chứng minh rằng nếu không có cả một hành động pháp lý và một hoạt động kỹ thuật chống lại họ, tội phạm mạng có khả năng tiếp tục cuộc tấn công của họ,” Jarvis nói. “Trong trường hợp này, thực sự không có bất kỳ loại hoạt động kỹ thuật nào ngăn chặn họ khỏi việc thực hiện những tội ác này ngay bây giờ hay trong tương lai.”

Bởi vì Hoa Kỳ không có hiệp ước dẫn độ với Iran, cặp đôi có vẻ không thể bị bắt giữ. Và khi mục tiêu của họ bao gồm đối thủ của Iran—các cuộc tấn công chủ yếu nhắm vào Hoa Kỳ, với một số ví dụ ở Anh và Canada—không rõ liệu cảnh sát Iran có nỗ lực can thiệp vào những nỗ lực của họ hay không. Jarvis nói rằng SecureWorks đã thấy những nhiễm SamSam mới chỉ cách đây bốn ngày.

Điều đó không làm cho bản buộc tội chỉ là một sự trình diễn. Bất kể tác động đối với những kẻ tấn công SamSam được cho là, Bộ Tư pháp đã đưa ra một tuyên bố mà nên đánh vang giữa tội phạm mạng phụ thuộc vào bitcoin và dark web để ẩn danh.

“Nó hoàn toàn tạo ra một hiệu ứng làm lạnh,” Jarvis nói. “Nó nói rằng bạn có thể kiếm được hàng triệu đô la và có thể hoàn toàn an toàn trong nhiều năm, nhưng cuối cùng bạn sẽ bị nêu tên.”

Những bài viết tuyệt vời khác từ Mytour

• Làm thế nào một đoạn mã của thiếu niên đã tạo nên một tác phẩm nghệ thuật trị giá $432,500
• Một kỳ nghỉ rèn kỹ thuật chiêm bao để huấn luyện tầm nhìn ban đêm của bạn
• Bạn nên thử bao nhiêu loại cỏ lần đầu tiên?
• Chào mừng bạn đến với thời đại của video YouTube kéo dài một giờ
• Thực tế, hãy sử dụng Wi-Fi sân bay (hoặc khách sạn) thoải mái
• Đang tìm kiếm nhiều hơn? Đăng ký nhận bản tin hàng ngày của chúng tôi và đừng bao giờ bỏ lỡ những câu chuyện mới và tuyệt vời nhất của chúng tôi