Bọn Giả Mạo Fancy Bear Đang Triển Khai Chiến Dịch Tống Tiền Hack

Các cuộc tấn công ransomware xâm lược qua mạng doanh nghiệp có thể đưa các tổ chức lớn đến bờ vực sụp đổ. Nhưng ngay cả khi những cuộc tấn công này đạt đến đỉnh cao mới về sự phổ biến—và đồng thời làm đạt đến độ thấp mới về đạo đức—trong số kẻ tấn công, đó không phải là kỹ thuật duy nhất mà tội phạm đang sử dụng để làm rung chuyển nạn nhân doanh nghiệp. Một làn sóng tấn công mới dựa vào tống tiền kỹ thuật số—kèm theo việc giả mạo.

Vào thứ Tư, công ty bảo mật web Radware đã công bố các thông báo tống tiền đã được gửi đến một loạt các công ty trên khắp thế giới. Trong mỗi thông báo, người gửi giả mạo là từ nhóm hacker Lazarus của Bắc Hàn, hoặc APT38, và hacker có hỗ trợ của chính phủ Nga Fancy Bear, hoặc APT28. Các thông báo đe dọa rằng nếu mục tiêu không gửi một lượng bitcoin nhất định—thường tương đương với hàng chục hoặc thậm chí hàng trăm nghìn đô la—nhóm sẽ tiến hành cuộc tấn công phân phối mạnh mẽ từ chối dịch vụ đối với nạn nhân, đập vỡ tổ chức bằng một dòng lưu lượng rác được hướng mục tiêu một cách chiến lược để làm cho nó mất kết nối.

Loại tống tiền kỹ thuật số này—hãy đưa cho chúng tôi những gì chúng tôi đang yêu cầu và chúng tôi sẽ không tấn công bạn—đã xuất hiện nhiều lần trong thập kỷ qua. Nhưng trong những tháng gần đây, tội phạm đã cố gắng tận dụng nỗi sợ hãi về các cuộc tấn công của quốc gia nổi tiếng, kết hợp với lo lắng liên quan đến sự gia tăng của các cuộc tấn công ransomware, để cố gắng kiếm thêm tiền.

“Giống như một nhà bán hàng giỏi, họ theo dõi sau tin nhắn đầu tiên để thuyết phục nạn nhân trả tiền trước khi thực sự gặp khó khăn khi thực hiện cuộc tấn công,” nói Pascal Geenens, giám đốc tình báo đe dọa tại Radware. “Tất nhiên, những tội phạm này sẽ ưa thích tiền dễ dàng và không cần phải trải qua quá trình thực hiện một cuộc tấn công. Tuy nhiên, nếu những nhóm đe dọa muốn giữ chiến dịch của họ đáng tin cậy, việc không tấn công không phải là một lựa chọn.”

Mặc dù cuộc tấn công không có vẻ nhắm vào một số vùng cụ thể, Radware đã phát hiện ra rằng những kẻ tấn công thường giả mạo nhóm Lazarus khi cố gắng tống tiền từ tổ chức tài chính và giả mạo là Fancy Bear khi đe dọa nạn nhân trong lĩnh vực công nghệ và sản xuất.

Trong một ví dụ gần đây khác, các nhà nghiên cứu từ công ty an ninh Intel471 cho biết vào thứ Ba rằng những kẻ tấn công giả mạo là nhóm Lazarus đã gửi một lá thư tống tiền đến công ty trao đổi tiền tệ Travelex vào cuối tháng 8. Kẻ tấn công đòi 20 bitcoin (hơn 200.000 đô la vào thời điểm đó) và nói rằng số tiền chuộc sẽ tăng thêm 10 bitcoin mỗi ngày trôi qua sau hạn chót ban đầu. Travelex trước đó đã trải qua một cuộc tấn công ransomware gây tổn thất vào đêm giao thừa và báo cáo cho biết họ đã trả cho hacker 2,3 triệu đô la để giải mã dữ liệu.

“Đó là một mức giá nhỏ cho những gì sẽ xảy ra khi toàn bộ mạng của bạn bị ngừng hoạt động,” những kẻ tống tiền DDoS viết trong email của họ gửi đến Travelex. “Có đáng không? Bạn quyết định!”

Travelex lần này không trả tiền chuộc, thay vào đó, họ chịu đựng một cuộc tấn công DDoS mà những kẻ tấn công phát động như một loại cảnh báo và sau đó là một loạt tấn công thứ hai. “Ai đứng sau đây có lẽ nghĩ rằng Travelex phải là một mục tiêu dễ thương dựa trên những gì đã xảy ra vào đầu năm,” Greg Otto, một nhà nghiên cứu tại Intel471, nói. “Nhưng tại sao bạn lại tấn công một công ty có lẽ đã nỗ lực để củng cố an ninh của họ? Tôi hiểu cái logic đó, nhưng cũng tôi chỉ nghĩ rằng có những lỗ hổng trong logic đó.” Travelex không đáp lại yêu cầu từ Mytour để bình luận về cuộc thử nghiệm tống tiền tháng 8.

Cuộc tấn công tống tiền DDoS chưa bao giờ đặc biệt lợi nhuận cho những kẻ lừa đảo, bởi vì chúng không có tính cấp thiết mạnh mẽ như một cuộc tấn công ransomware, khi mục tiêu đã bị làm quấy rối và có thể đang tuyệt vọng để khôi phục quyền truy cập. Và mặc dù điều này luôn là một điểm yếu của chiến lược, những đe dọa có thể trở nên ít mạnh mẽ hơn ngay cả khi các dịch vụ phòng thủ DDoS mạnh mẽ và tương đối giá rẻ đã trở nên phổ biến.

“Nói chung, DDoS như một phương pháp tống tiền không lợi nhuận như các loại tống tiền kỹ thuật số khác,” Robert McArdle, giám đốc nghiên cứu đe dọa hướng tương lai tại Trend Micro nói. “Đó là một đe dọa để làm điều gì đó thay vì đe dọa rằng bạn đã làm nó. Nó giống như nói, ‘Tôi có thể đốt cháy nhà bạn vào tuần sau.’ Nó khác nhiều khi căn nhà đang cháy trước mắt bạn.”

Với hiệu suất không đồng đều của cuộc tấn công tống tiền DDoS, những kẻ tấn công đang áp dụng các nhóm hacker nổi tiếng được hỗ trợ bởi nhà nước để thêm tính cấp bách và rủi ro. “Họ là những kẻ gieo rắc nỗi sợ,” Otto nói. Và có vẻ như những cuộc tấn công ít nhất là đôi khi hiệu quả, vì những kẻ tấn công liên tục quay trở lại kỹ thuật này. Ví dụ, Radware lưu ý rằng ngoài việc giả mạo Fancy Bear và nhóm Lazarus, kẻ tấn công cũng đã sử dụng tên gọi “Armada Collective,” một biệt danh mà những người chơi tấn công tống tiền DDoS đã gọi tên nhiều lần trong những năm gần đây. Không rõ liệu các diễn viên đằng sau phiên bản này của Armada Collective có liên quan đến các thế hệ trước hay không.

Mặc dù hầu hết các tổ chức có nguồn lực cho phòng thủ kỹ thuật số có thể tự bảo vệ mình một cách hiệu quả chống lại cuộc tấn công DDoS, các nhà nghiên cứu cho biết vẫn quan trọng để nghiêm túc đối mặt với những đe dọa này và thực sự đầu tư vào các biện pháp bảo vệ mạnh mẽ. Cảnh báo của FBI vào đầu tháng 9 về những người giả mạo là Fancy Bear đã làm nổi bật thông điệp này. Đó là rằng vào đầu tháng 8, hàng nghìn tổ chức trên khắp thế giới đã bắt đầu nhận được các thông báo tống tiền.

“Hầu hết các tổ chức đạt đến thời điểm sáu ngày không báo cáo thêm bất kỳ hoạt động nào hoặc hoạt động đã được giảm nhẹ thành công,” FBI viết. “Tuy nhiên, một số tổ chức nổi tiếng đã báo cáo về hoạt động tiếp theo ảnh hưởng đến hoạt động.”

Mặc dù cuộc tấn công có thể không gây thiệt hại nặng nề như ransomware đối với hầu hết các mục tiêu, chúng vẫn đặt ra một mối đe doạ phiền toái đối với các tổ chức không có phòng thủ DDoS đủ. Với nhiều loại đe dọa khác phải đối mặt, dễ tưởng tượng rằng các chiến thuật làm sợ hãi có thể hoạt động đủ thường xuyên để làm cho nó trở thành đáng giá với những kẻ tấn công.

Các bài viết tuyệt vời khác từ Mytour

• 📩 Muốn nhận thông tin mới nhất về công nghệ, khoa học và nhiều hơn nữa? Đăng ký nhận bản tin của chúng tôi ngay bây giờ!
• Người đàn ông nói nhỏ nhẹ—và chỉ huy một đội quân mạng lớn
• Amazon muốn “thắng ở trò chơi.” Vậy tại sao nó không thể?
• Một loại virus thông thường ở cây là một đồng minh không tưởng trong cuộc chiến chống ung thư
• Nhà xuất bản lo lắng khi sách điện tử bay khỏi kệ ảo của thư viện
• Ảnh của bạn không thể thay thế. Hãy lưu giữ chúng khỏi điện thoại của bạn
• 🎮 Mytour Games: Nhận những gợi ý, đánh giá và nhiều hơn nữa
• 🏃🏽‍♀️ Muốn có những công cụ tốt nhất để duy trì sức khỏe? Hãy kiểm tra những lựa chọn của đội ngũ Gear của chúng tôi cho những bộ theo dõi sức khỏe tốt nhất, đồ trang bị chạy bộ (bao gồm giày và tất chạy bộ), và tai nghe tốt nhất