Những tội phạm tống tiền đang dần xây dựng thương hiệu và ngày càng táo bạo hơn bao giờ hết, bằng chứng là tin tức về các tổ chức bị tấn công ransomware liên tục tràn ngập mặt báo thời gian qua. Nhưng càng gây tai tiếng, những nhóm tội phạm như vậy càng giấu mình bên dưới sự phức tạp của hệ sinh thái ransomware.
Nhằm giúp các tổ chức hiểu cách hệ sinh thái ransomware vận hành và cách chống lại chúng, Kaspersky đã công bố nghiên cứu về các diễn đàn "chợ đen", thăm dò hoạt động của các nhóm như REvil, Baduk và vạch trần một số huyền thoại về ransomware.
Trái ngược với những gì công chúng tưởng tượng, tội phạm ransomware không tập hợp thành các băng đảng mà chúng là những cá nhân chuyên về nhiều mảng khác nhau - nhà phát triển, quản trị bot, bán quyền truy cập, vận hành ransomware...
Các nhân vật này sẽ gặp nhau trên những diễn đàn chợ đen và cung cấp dịch vụ cho người có nhu cầu. Song song đó cũng có những kẻ "máu mặt" hoạt động riêng lẻ, không cần các trang web trung gian. Các nhóm nổi tiếng như REvil thì chào hàng dịch vụ của mình bằng cách dùng chương trình liên kết.
Chương trình này là sự hợp tác giữa nhóm điều hành ransomware và đồng phạm để chia sẻ lợi nhuận. Nhóm ransomware nhận từ 20 - 40%, còn 60 - 80% về tay những bên liên kết.
Việc lựa chọn đối tác là một quá trình với các quy tắc cơ bản do nhóm vận hành ransomware đặt ra ngay từ đầu, bao gồm các tiêu chí về địa lý và thậm chí cả quan điểm chính trị. Trong khi đó, nạn nhân của ransomware sẽ được chọn theo cơ hội.Những diễn đàn ransomware cũng có nhiều loại dịch vụ khác như bán các mẫu thử mã độc (malware sample) và công cụ phát triển ransomware từ 300 - 4.000 USD. Một số khác còn cung cấp Ransomware-as-a-Service, nghĩa là dịch vụ bán các gói ransomware với sự hỗ trợ từ nhà phát triển, mỗi gói có giá dao động từ 120 USD/tháng đến 1.900 USD/năm.
Craig Jones - giám đốc bộ phận Tội phạm mạng của INTERPOL nhận xét: “Trong hai năm qua, chúng tôi đã thấy tội phạm mạng dùng ransomware ngày càng táo bạo hơn. Các tổ chức bị tấn công không chỉ là các công ty và tổ chức chính phủ, chúng sẵn sàng tấn công doanh nghiệp bất kể quy mô nào. Ngành ransomware là một ngành phức tạp liên quan đến nhiều tác nhân với vai trò khác nhau. Để chống lại chúng, chúng ta cần hiểu cách chúng hoạt động".
Dmitry Galov - nhà nghiên cứu bảo mật tại Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky cho biết: "Hệ sinh thái ransomware rất phức tạp với nhiều lợi ích đang bị đe dọa. Đó là một thị trường linh hoạt với nhiều người tham gia, một số khá cơ hội, số khác rất chuyên nghiệp và thành thạo. Họ không chọn mục tiêu cụ thể, họ có thể theo đuổi bất kỳ tổ chức nào - một tổ chức kinh doanh hay một doanh nghiệp nhỏ, chỉ cần họ có thể tiếp cận mục tiêu. Hơn nữa, hoạt động của họ đang khởi sắc và sẽ không dễ biến mất".
Galov nói thêm: "Tin tốt là các biện pháp bảo mật khá đơn giản cũng có thể khiến kẻ tấn công tránh xa các tổ chức, vậy nên các phương pháp cơ bản như cập nhật phần mềm thường xuyên và sao lưu dữ liệu vẫn có ích, và còn nhiều cách nữa để các tổ chức tự bảo vệ chính mình".
Bình luận (0)