Tuần này, FBI vừa xác nhận, một nhóm đòi tiền chuộc mới xuất hiện có tên là DarkSide (Mặt Tối), chịu trách nhiệm về vụ tấn công buộc công ty Colonial Pipeline phải ngừng vận hành 5500 dặm đường ống làm tắc nghẽn dòng chảy xăng, diesel và nhiên liệu máy bay ở bờ Đông nước Mỹ.
Hãy cùng nhau tìm hiểu kỹ cách hoạt động của băng nhóm Mặt Tối này thông qua câu chuyện đàm phán của chúng với một nạn nhân là công ty Mỹ có doanh thu hàng năm là $15 tỷ.
Hãng bảo mật Flashpoint ở New York City, khá tin tưởng rằng, cuộc tấn công này không nhằm mục đích phá hoại hạ tầng năng lượng quốc gia, chỉ đơn giản là nhằm vào công ty nào có khả năng chi trả. “Điều này nhất quán với một số “cuộc đi săn lớn” trước đó của Mặt Tối tấn công các tổ chức có thể chịu được số tiền chuộc mà bọn chúng đòi hỏi.”
Mặt Tối cũng ra mặt trấn an dân chúng đang lo ngại sau vụ Colonian Pipeline: “Chúng tôi không có động cơ chính trị, không tham gia vào các cuộc đấu đá địa chính trị. Mục tiêu của chúng tôi là kiếm tiền chứ không phải tạo vấn đề cho xã hội. Chúng tôi sẽ rút kinh nghiệm và thẩm tra lại các mục tiêu mà các đồng minh của chúng tôi muốn mã hóa dữ liệu, để tránh những hậu quả xã hội trong tương lai.”
Mặt Tối xuất hiện trong một diễn đàn hacker bằng tiếng Nga từ tháng 8/2020, Mặt Tối là một nền tảng cung cấp dịch vụ tấn-công-đòi-tiền-chuộc (TCĐTC), cho các chiến binh tội phạm mạng dùng để cài rsw (một loại phần mềm độc hại có khả năng mã hóa và ăn cắp dữ liệu của nạn nhân để đòi tiền chuộc), sau đó đàm phán và lấy tiền từ nạn nhân. Mặt Tối tuyên bố chỉ nhằm vào công ty lớn và các đồng minh của mình tấn công các cơ sỏ y tế, giáo dục, mai táng, chính quyền và tổ chức phi lợi nhuận.
Cũng như các nền tảng rsw khác, Mặt Tối sử dụng chính sách ăn kép, đòi cả tiền để giải mã lẫn tiền để phá hủy và không công bố các dữ liệu bị ăn cắp.
Trong hôm khai trương, để cạnh tranh, Mặt Tối còn quảng cáo là sẽ bảo đảm việc rò rỉ thông tin của nạn nhân sẽ được báo chí quan tâm thường xuyên và khả năng công bố dữ liệu của nạn nhân thành từng giai đoạn. Trong mục “Tại sao phải chọn chúng tôi”, quản trị trang của MT đã viết:
“Nạn nhân rất tin cậy chúng tôi. Họ trả vì họ biết chúng tôi sẽ cung cấp công cụ giải mã. Họ cũng biết là chúng tôi giữ rất nhiều dữ liệu của họ. Vi thế tỷ lệ nhận được khá cao và không mất nhiều thời gian đàm phán.”
Cuối tháng ba vừa rồi, Mặt Tối còn sáng tạo tích hợp thêm “dịch vụ gọi” vào panel quản trị để các đồng minh có thể gọi thẳng và gây sức ép cho nạn nhân.
Vào giữa tháng tư, Mặt Tối công bố tính năng tấn công bồi bằng DDoS – tấn công từ chối dịch vụ để chiếm thế thượng phong trong đàm phán.
Mặt Tối còn quảng cáo là sẽ cung cấp thông tin của nạn nhân để những kẻ đầu tư lừa đảo có thể bán khống để lợi dụng giá cổ phiếu xuống khi thông tin chính thức bị rò rỉ trên “Blog Xấu hổ”.
“Trong danh sách nạn nhân của chúng tôi có nhiều công ty đang giao dịch trên NASDAQ và các sàn chứng khoán khác. Nếu họ không trả tiền chuộc, chúng tôi sẽ thông báo cho quí vị những thông tin sẽ chính thức bị rò rỉ để quý vị tranh thủ bán khống khi giá xuống.”
Mặt Tối cũng ra sức mở rộng mạng lưới đồng minh, chủ yếu tìm pentester (tên gọi những người giả lập tấn công chọc thủng mạng), có khả năng biến một máy tính bị chiếm thành một scandal thất thoát và đòi tiền chuộc.
“Chúng tôi đang có rất nhiều khách hàng so với các mạng lưới khác. Chúng tôi cần tuyển tiếp đồng minh trong hai lĩnh vực sau: Giả lập tấn công chọc thủng mạng. Có thể là cá nhân hoặc một nhóm. Chúng tôi sẽ hướng dẫn và bảo đảm công việc cho quí vị. Chúng tôi còn có thể giúp nếu quí vị chưa tự tấn công được. Ăn chia sòng phẳng, thu nhập ổn định và nhiều trải nghiệm thú vị…
Mặt Tối có thể ra tay tàn nhẫn với nhà giàu, nhưng cũng tỏ ra mềm dẻo khi cần thiết. Hãng an ninh mạng Intel471, đã quan sát quá trình đàm phán của Mặt Tối với 1 công ty Mỹ có doanh thu hàng năm $15 tỷ. Từ số tiền chuộc ban đầu được ra giá $30 triệu vào tháng 1/2021, cuối cùng nạn nhân chỉ phải trả $12 triệu.
Flashpoint đánh giá, nhiều khả năng băng đảng tội phạm đứng sau Mặt Tối, chính là nhóm Revill hoặc “Sodinokibi”, được coi là một tên khác của nhóm GandCrab (Cua Đồng), đã đóng cửa năm 2019 sau khi đã kiếm được hơn $2 tỷ.
Các chuyên gia cho rằng, các cuộc tấn công đòi tiền chuộc sẽ càng ngày càng tinh vi hơn, liên tục hơn và đòi nhiều tiền hơn, nếu chính quyền không tìm được cách ngăn bọn tội phạm nhận được tiền. Theo thống kê của công ty Coveware, số tiền chuộc trung bình 1 vụ trong quí 3 năm 2020 là $233,817 tăng 31% so với quí 2. Hãng Emsisoft thì đánh giá rằng trong năm 2020 có khoảng 2400 cơ quan chính quyền, các tổ chức y tế và giáo dục là nạn nhân của các cuộc tấn công đòi tiền chuộc.
Tháng trước, một nhóm các chuyên gia hàng đầu trong ngành đã đóng góp vào bản báo cáo dày 81 trang cho chính quyền của tổng thống Biden, để tìm cách ngăn cản công nghiệp mã hóa đòi tiền chuộc. Trong đó có đề xuất coi những tên tội phạm này là mối đe dọa cho an ninh quốc gia và phải được cộng đồng tình báo đặt ưu tiên cao trong việc xử lý.
Link gốc: https://krebsonsecurity.com/2021/05/a-closer-look-at-the-darkside-ransomware-gang/
Nguyễn Thành Nam (dịch giả)
Founder FUNiX là một trong 13 công thần sáng lập ra Tập đoàn FPT. Với chiến công lớn trong việc khai phá và phát triển xuất khẩu phần mềm cho Tập đoàn, anh Nam từng giữ chức CEO kiêm Chủ tịch HĐQT của FPT Software, kế đến là CEO FPT.
Nhắc đến “Nam già”, người ta nghĩ ngay tới vị thủ lĩnh phong trào của FPT, đồng thời là nhân vật biểu trưng cho văn hóa STCo FPT. Suy nghĩ khác người, nhiều mơ mộng, dí dỏm một cách thông thái và đặc biệt rất sáng tạo, anh Nam là dị nhân hàng đầu ở FPT. Với gần 30 năm kinh nghiệm trong lĩnh vực phần mềm và quản lý, hiện anh Nam vẫn được tín nhiệm ở vai trò Cố vấn sáng tạo FPT.