Top 5 nhóm ransomware chết người nhất trên thế giới
Ransomware là một mối đe dọa đáng kể, gây thiệt hại cho các doanh nghiệp, tập đoàn và nhà khai thác cơ sở hạ tầng hàng tỷ đô la mỗi năm. Đằng sau những mối đe dọa này là các băng nhóm ransomware chuyên nghiệp tạo ra và phân phối phần mềm độc hại khiến các cuộc tấn công có thể xảy ra.
Một số nhóm trong số này tấn công nạn nhân trực tiếp, trong khi những nhóm khác chạy mô hình Ransomware-as-a-Service (RaaS) phổ biến cho phép các chi nhánh tống tiền các tổ chức cụ thể.
Với mối đe dọa ransomware không ngừng gia tăng, biết kẻ thù và cách chúng hoạt động là cách duy nhất để luôn dẫn đầu. Vì vậy, đây là danh sách năm nhóm ransomware nguy hiểm nhất làm gián đoạn bối cảnh an ninh mạng.
Mục Lục
1. REvil
Nhóm ransomware REvil, hay còn gọi là Sodinokibi, là một hoạt động ransomware-as-a-service (RaaS) có trụ sở tại Nga, xuất hiện lần đầu vào tháng 4 năm 2019. Nó được coi là một trong những nhóm ransomware tàn nhẫn nhất có liên kết với Cơ quan Dịch vụ Liên bang Nga (FSB) ).
Nhóm nhanh chóng thu hút sự chú ý của các chuyên gia an ninh mạng vì sức mạnh kỹ thuật và sự táo bạo trong việc truy lùng các mục tiêu cao cấp. Năm 2021 là năm có lợi nhuận cao nhất đối với tập đoàn khi nhắm mục tiêu vào nhiều doanh nghiệp đa quốc gia và làm gián đoạn một số ngành công nghiệp.
Nạn nhân chính
Vào tháng 3 năm 2021, REvil đã tấn công tập đoàn điện tử và phần cứng Acer và xâm phạm máy chủ của nó. Những kẻ tấn công yêu cầu 50 triệu đô la cho một khóa giải mã và đe dọa sẽ tăng tiền chuộc lên 100 triệu đô la nếu công ty không đáp ứng yêu cầu của nhóm.
Một tháng sau, nhóm này thực hiện một cuộc tấn công cấp cao khác nhằm vào nhà cung cấp của Apple, Quanta Computers. Nó đã cố gắng tống tiền cả Quanta và Apple, nhưng không công ty nào trả khoản tiền chuộc 50 triệu USD được yêu cầu.
Nhóm ransomware REvil tiếp tục tấn công và nhắm mục tiêu vào JBS Foods, Invenergy, Kaseya và một số doanh nghiệp khác. JBS Foods đã buộc phải tạm thời đóng cửa hoạt động của mình và trả khoản tiền chuộc ước tính 11 triệu USD bằng Bitcoin để tiếp tục hoạt động.
Cuộc tấn công Kaseya đã gây ra một số sự chú ý không mong muốn cho nhóm vì nó ảnh hưởng trực tiếp đến hơn 1.500 doanh nghiệp trên toàn thế giới. Sau một số áp lực ngoại giao, chính quyền Nga đã bắt giữ một số thành viên nhóm vào tháng 1 năm 2022 và tịch thu tài sản trị giá hàng triệu đô la. Nhưng sự gián đoạn này chỉ tồn tại trong thời gian ngắn vì băng đảng ransomware REvil đã hoạt động trở lại kể từ tháng 4 năm 2022.
2. Conti
Conti là một băng đảng ransomware khét tiếng khác gây xôn xao kể từ cuối năm 2018. Nó sử dụng phương thức tống tiền kép, nghĩa là nhóm này giữ lại khóa giải mã và đe dọa sẽ làm rò rỉ dữ liệu nhạy cảm nếu không trả tiền chuộc. Nó thậm chí còn điều hành một trang web rò rỉ, Conti News, để công bố dữ liệu bị đánh cắp.
Điều làm cho Conti khác biệt với các nhóm ransomware khác là thiếu các giới hạn đạo đức đối với các mục tiêu của nó. Nó đã tiến hành một số cuộc tấn công trong lĩnh vực giáo dục và chăm sóc sức khỏe và đòi hàng triệu đô la tiền chuộc.
Nạn nhân chính
Nhóm ransomware Conti có lịch sử lâu đời nhắm vào các cơ sở hạ tầng công cộng quan trọng như chăm sóc sức khỏe, năng lượng, CNTT và nông nghiệp. Vào tháng 12 năm 2021, nhóm này báo cáo rằng họ đã xâm nhập vào ngân hàng trung ương của Indonesia và đánh cắp dữ liệu nhạy cảm lên tới 13,88 GB.
Vào tháng 2 năm 2022, Conti tấn công một nhà khai thác nhà ga quốc tế, SEA-investment. Công ty vận hành 24 cảng biển trên khắp châu Âu và châu Phi và chuyên xử lý hàng rời khô, trái cây và thực phẩm, chất lỏng rời (dầu khí) và container. Cuộc tấn công đã ảnh hưởng đến tất cả 24 cổng và gây ra sự gián đoạn đáng kể.
Conti cũng đã xâm nhập Trường Công Quận Broward vào tháng Tư và đòi 40 triệu đô la tiền chuộc. Nhóm này đã làm rò rỉ các tài liệu bị đánh cắp trên blog của mình sau khi khu học chánh từ chối trả tiền chuộc.
Gần đây hơn, tổng thống Costa Rica đã phải ban bố tình trạng khẩn cấp quốc gia sau các cuộc tấn công của Conti vào một số cơ quan chính phủ.
3. DarkSide
Nhóm ransomware DarkSide đi theo mô hình RaaS và nhắm vào các doanh nghiệp lớn để tống tiền một lượng lớn. Nó làm như vậy bằng cách giành quyền truy cập vào mạng của công ty, thường là thông qua lừa đảo hoặc vũ phu và mã hóa tất cả các tệp trên mạng.
Có một số giả thuyết liên quan đến nguồn gốc của nhóm ransomware DarkSide. Một số nhà phân tích cho rằng nó có trụ sở ở Đông Âu, một nơi nào đó ở Ukraine hoặc Nga. Những người khác tin rằng tập đoàn này có nhượng quyền thương mại ở nhiều quốc gia, bao gồm cả Iran và Ba Lan.
Nạn nhân chính
Nhóm DarkSide đưa ra yêu cầu tiền chuộc rất lớn nhưng tuyên bố có quy tắc ứng xử. Nhóm tuyên bố rằng họ không bao giờ nhắm mục tiêu vào trường học, bệnh viện, cơ quan chính phủ và bất kỳ cơ sở hạ tầng nào ảnh hưởng đến công chúng.
Tuy nhiên, vào tháng 5 năm 2021, DarkSide thực hiện vụ tấn công Colonial Pipeline và đòi 5 triệu USD tiền chuộc. Đây là cuộc tấn công mạng vào cơ sở hạ tầng dầu mỏ lớn nhất trong lịch sử Hoa Kỳ và làm xáo trộn nguồn cung cấp xăng và nhiên liệu máy bay ở 17 bang.
Vụ việc đã làm dấy lên các cuộc trò chuyện về tính bảo mật của cơ sở hạ tầng quan trọng và cách chính phủ và các công ty phải chăm chỉ hơn trong việc bảo vệ chúng.
Sau cuộc tấn công, nhóm DarkSide đã cố gắng xóa tên của mình bằng cách đổ lỗi cho các chi nhánh bên thứ ba về vụ tấn công. Tuy nhiên, theo The Washington Post, tập đoàn này đã quyết định đóng cửa hoạt động sau khi chịu áp lực từ Hoa Kỳ.
4. DoppelPaymer
DoppelPaymer ransomware là phần mềm kế thừa của ransomware BitPaymer xuất hiện lần đầu tiên vào tháng 4 năm 2019. Nó sử dụng phương pháp gọi nạn nhân bất thường và yêu cầu tiền chuộc bằng bitcoin.
DoppelPaymer tuyên bố có trụ sở tại Triều Tiên và theo mô hình mã độc tống tiền kép. Hoạt động của nhóm đã giảm nhiều tuần sau cuộc tấn công của Colonial Pipeline, nhưng các nhà phân tích tin rằng nó đã đổi tên thành nhóm Đau buồn.
Nạn nhân chính
DopplePaymer thường nhắm mục tiêu đến các công ty dầu mỏ, nhà sản xuất ô tô và các ngành công nghiệp quan trọng như chăm sóc sức khỏe, giáo dục và dịch vụ khẩn cấp. Đây là phần mềm tống tiền đầu tiên gây ra cái chết cho một bệnh nhân ở Đức sau khi nhân viên cấp cứu không thể liên lạc với bệnh viện.
Nhóm này đã gây chú ý khi công bố thông tin cử tri từ Hạt Hall, Georgia. Năm ngoái, nó cũng đã xâm phạm hệ thống dành cho khách hàng của Kia Motors America và đánh cắp dữ liệu nhạy cảm. Nhóm yêu cầu 404 bitcoin tiền chuộc, gần tương đương với 20 triệu đô la vào thời điểm đó.
5. LockBit
LockBit gần đây là một trong những băng nhóm ransomware nổi bật nhất, nhờ sự suy giảm của các nhóm khác. Kể từ lần đầu tiên xuất hiện vào năm 2019, LockBit đã chứng kiến sự phát triển chưa từng có và phát triển các chiến thuật của mình một cách đáng kể.
LockBit ban đầu là một băng nhóm có danh tiếng thấp nhưng đã trở nên nổi tiếng với sự ra mắt của LockBit 2.0 vào cuối năm 2021. Nhóm này đi theo mô hình RaaS và sử dụng chiến thuật tống tiền kép để tống tiền nạn nhân.
Nạn nhân chính
LockBit hiện là một nhóm ransomware có tác động mạnh, chiếm hơn 40% tổng số cuộc tấn công ransomware vào tháng 5 năm 2022. Nó tấn công các tổ chức ở Mỹ, Trung Quốc, Ấn Độ và Châu Âu.
Đầu năm nay, LockBit đã nhắm mục tiêu vào Thales Group, một tập đoàn đa quốc gia về điện tử của Pháp, và đe dọa sẽ làm rò rỉ dữ liệu nhạy cảm nếu công ty không đáp ứng yêu cầu đòi tiền chuộc của tập đoàn.
Nó cũng làm tổn hại đến Bộ Tư pháp Pháp và mã hóa các tệp của họ. Nhóm này hiện tuyên bố đã xâm phạm cơ quan thuế Ý (L’Agenzia delle Entrate) và đánh cắp 100 GB dữ liệu.
Bảo vệ chống lại các cuộc tấn công bằng Ransomware
Ransomware tiếp tục là một ngành công nghiệp chợ đen phát triển mạnh, mang lại doanh thu hàng tỷ đô la cho các băng nhóm khét tiếng này mỗi năm. Với những lợi ích tài chính và tính khả dụng ngày càng cao của mô hình RaaS, các mối đe dọa chỉ có thể gia tăng.
Như với bất kỳ phần mềm độc hại nào, cảnh giác và sử dụng phần mềm bảo mật thích hợp là những bước đi đúng hướng để chống lại ransomware. Nếu bạn chưa sẵn sàng đầu tư vào một công cụ bảo mật cao cấp, bạn có thể sử dụng các công cụ bảo vệ ransomware tích hợp sẵn của Windows để giữ an toàn cho PC của bạn.