Các nhà nghiên cứu an ninh mạng cảnh báo về tình trạng gia tăng một công cụ nguy hiểm mới của tội phạm mạng – mã độc dịch vụ
Các chuy&e
circ;n gia cảnh báo các cuộc tấn c&o
circ;ng bằng mã độc đang gia tăng.
Farnetwork – ví dụ điển hình của phương thức mã độc dịch vụ
Các chuy&e
circ;n gia của c&o
circ;ng ty an ninh mạng quốc tế Group-IB đã theo dõi hoạt động của tổ chức tội phạm mạng Farnetwork và thu được những th&o
circ;ng tin hết sức đáng chú ý về xu hướng sử dụng các mã độc dịch vụ của giới tội phạm mạng thời gian gần đây.
Th&o
circ;ng tin cho thấy, trong 4 năm qua, Farnetwork có li&e
circ;n quan đến ít nhất 5 chương trình mã độc khác nhau, hoạt động tr&e
circ;n mô hình “mã độc dịch vụ” (Ransomware-as-a-Service/RaaS), tức là thuê ngoài nhiều chức năng và giai đoạn của một cuộc tấn c&o
circ;ng mã độc điển hình, chỉ trao một phần nhỏ tiền chuộc cho các nhà thiết kế mã độc ban đầu.
Với phương thức này, nhà phát triển phần mềm sẽ cung cấp mã độc hoàn chỉnh cho tin tặc, sau đó tin tặc sẽ tùy chỉnh theo nhu cầu ri&e
circ;ng của mình và sử dụng nó trong các cuộc tấn c&o
circ;ng mạng.
Nhà ph&a
circ;n tích mối đe dọa an ninh mạng của Group-IB Nikolay Kichatov cho biết, Farnetwork bắt đầu tham gia hoạt động tội phạm mạng vào năm 2019. Trong thời gian này, Farnetwork đã tham gia vào một số dự án li&e
circ;n quan đến các mã độc Jsworm, Nefilim, Karma và Nemty, bao gồm cả việc phát triển và quản lý chúng.
Farnetwork có nhiều t&e
circ;n gọi khác, bao gồm Farnetworkit, Farnetworkl, Jingo, Jsworm, Piparkuka và Razvrat. Vào năm 2022, Farnetwork bắt đầu phát triển và ph&a
circ;n phối mã độc Nokoyawa.
Cùng lúc đó, tin tặc đã tung ra dịch vụ botnet (mạng máy tính ma) của ri&e
circ;ng chúng với cùng t&e
circ;n Farnetwork để cung cấp cho các khách hàng quyền truy cập vào hệ thống mạng của các tổ chức bị xâm nhập.
Kể từ đầu năm 2023, Farnetwork đã tuyển dụng hàng loạt ứng vi&e
circ;n tham gia phát tán mã độc Nokoyawa, yêu cầu họ sử dụng th&o
circ;ng tin đăng nhập bị đánh cắp để n&a
circ;ng cấp đặc quyền và phát tán mã độc mã hóa dữ liệu của nạn nh&a
circ;n.
Bằng cách phát tán mã độc th&o
circ;ng qua các chiến dịch lừa đảo và quảng cáo, th&o
circ;ng tin đánh cắp sẽ được tin tặc bán tr&e
circ;n thị t
rường ngầm, nơi các tin tặc khác có thể mua được quyền truy cập ban đầu vào các địa chỉ được nhắm trước.
Theo c&o
circ;ng bố của các chuy&e
circ;n gia Group-IB, trong mô hình RaaS của Farnetwork, th&o
circ;ng thường các tin tặc trực tiếp thực hiện các cuộc tấn c&o
circ;ng mạng sẽ nhận được 65% số tiền thu được, chủ sở hữu botnet - 20% và nhà phát triển mã độc - 15%.
Kể từ tháng 10/2023, mã độc Nokoyawa đã ngừng hoạt động, nhưng Group-IB tin rằng Farnetwork sẽ lại xuất hiện dưới một cái t&e
circ;n khác và với chương trình RaaS mới.
Sự hình thành của “hệ sinh thái mã độc” cực k?
?? nguy hiểm
Tr&e
circ;n thực tế, botnet Farnetwork nêu tr&e
circ;n chỉ đóng vai trò là nhà môi giới truy cập ban đầu (IAB). Mô hình này cho phép ngay cả các tin tặc thiếu kinh nghiệm cũng có th
ể s??? dụng quyền truy cập đã được cấp để dễ dàng xâm nhập vào hệ thống mạng của các tổ chức nhắm đến, gia tăng hiệu quả và tốc độ lây lan của mã độc.
Điều này đang thay đổi bản chất của hoạt động tội phạm mạng. Thực tế là các tổ chức tội phạm mạng đang có xu hướng thu gọn cơ cấu và tạo ra mạng lưới các đối tác chuy&e
circ;n m&o
circ;n khiến chúng trở n&e
circ;n ít bộc lộ hơn trước các hoạt động triệt phá của cơ quan thực thi pháp luật.
Điều đó tạo ra một thị t
rường gồm các nhóm nhỏ hơn, thậm chí cả các nhà thầu ri&e
circ;ng lẻ, có thể phát triển các bộ c&o
circ;ng cụ chuy&e
circ;n sâu để n&a
circ;ng cao hiệu quả của cuộc tấn c&o
circ;ng bằng mã độc, tương tự như cách một chuy&e
circ;n gia về bẻ khóa két sắt góp phần giúp một vụ cướp ng&a
circ;n hàng thành c&o
circ;ng.
Như vậy, thay vì thực hiện một cuộc tấn c&o
circ;ng từ đầu đến cuối, tin tặc có thể nhắm mục tiêu vào nạn nh&a
circ;n cụ thể và sau đó thuê một loạt nhà thầu để thực hiện chuỗi nhiệm vụ li&e
circ;n quan (thiết kế, phát tán, điều khiển mã độc và khai thác dữ liệu, thương lượng với nạn nh&a
circ;n, chuyển tiền…). Mỗi nhiệm vụ này đều yêu cầu các kỹ năng chuy&e
circ;n biệt.
Xu hướng này đang tạo ra một “hệ sinh thái mã độc” vô cùng nguy hiểm và có khả năng thích ứng cực kỳ cao trong bối cảnh các cơ quan chức năng đang ráo riết áp dụng các biện pháp ngày càng cứng rắn để chống lại tội phạm mạng.
(theo SIW)
Ngày 'Thứ Hai đen tối' ở Đức: Mã độc làm gián đoạn dịch vụ c&o
circ;ng ở 70 địa phương
Vụ tấn c&o
circ;ng bằng mã độc (ransomware) vừa tạo ra ngày 'Thứ Hai đen tối' ở một số thành phố và khu vực của Đức, làm gián đoạn nghiêm trọng dịch vụ c&o
circ;ng của chính quyền các địa phương.
Mã độc tấn c&o
circ;ng quy mô lớn hệ thống viễn th&o
circ;ng Mỹ Latinh
C&o
circ;ng ty viễn th&o
circ;ng Chile Grupo GTD - nhà cung cấp dịch vụ cho khách hàng khắp châu Mỹ Latinh, vừa phải hứng chịu một cuộc tấn c&o
circ;ng bằng mã độc quy mô lớn làm gián đoạn hoạt động một cách nghiêm trọng.
Nguồn bài viết : Trực tiếp đá gà tre Thomo
.jpg)
