Nhóm ransomware Black Basta bị nghi liên quan Conti tống tiền được hơn 100 triệu USD

Thế giới số - Ngày đăng : 22:45, 29/11/2023

Trong một báo cáo công bố hôm 29.11, các nhà nghiên cứu cho biết băng nhóm tống tiền trên mạng, bị nghi là một nhánh của nhóm hacker Conti khét tiếng, đã kiếm được hơn 100 triệu USD kể từ khi nổi lên vào năm ngoái.
Thế giới số

Nhóm ransomware Black Basta bị nghi liên quan Conti tống tiền được hơn 100 triệu USD

Sơn Vân 29/11/2023 22:45

Trong một báo cáo công bố hôm 29.11, các nhà nghiên cứu cho biết băng nhóm tống tiền trên mạng, bị nghi là một nhánh của nhóm hacker Conti khét tiếng, đã kiếm được hơn 100 triệu USD kể từ khi nổi lên vào năm ngoái.

Dịch vụ theo dõi tiền tệ kỹ thuật số Elliptic và Corvus Insurance cho biết trong một báo cáo chung rằng nhóm tội phạm mạng Black Basta, nổi tiếng với việc yêu cầu tiền chuộc, đã tống tiền ít nhất 107 triệu USD bằng bitcoin, với phần lớn các khoản thanh toán tiền chuộc sẽ chuyển đến sàn giao dịch tiền điện tử đình đám Garantex (Nga).

Reuters nỗ lực tiếp cận Black Basta thông qua darkweb (trang web đen) của nó không thành công.

Garantex, sàn giao dịch tiền điện tử bị Bộ Tài chính Mỹ trừng phạt vào tháng 4.2022, không trả lời tin nhắn ngay lập tức.

Hồi tháng 4.2022, Mỹ trừng phạt Garantex với cáo buộc sàn này đã cố tình bỏ qua các yêu cầu về chống rửa tiền và chống tài trợ cho khủng bố.

Bộ Tài chính Mỹ cho rằng các biện pháp trừng phạt là một phần của nỗ lực quốc tế nhằm “ngăn chặn sự gia tăng của các dịch vụ tội phạm mạng độc hại, ma túy nguy hiểm và các dịch vụ bất hợp pháp khác”.

Janet Yellen, Bộ trưởng Tài chính Mỹ, nói hacker sử dụng ransomware và những kẻ tham gia vào các tội phạm mạng khác có thể được dung túng và hoạt động ở Nga, gây ra mối đe dọa tiềm tàng với lợi ích của Mỹ.

Tom Robinson, người đồng sáng lập Elliptic, cho biết số tiền kiếm được khổng lồ giúp Black Basta trở thành "một trong những dạng ransomware có lợi nhuận lớn nhất lịch sử". Ông cho biết các nhà nghiên cứu đã đưa ra con số này bằng cách xác định các khoản thanh toán tiền chuộc đã biết gắn liền với Black Basta và truy tìm cách rửa tiền kỹ thuật số, từ đó hé lộ các khoản thanh toán bổ sung.

Tom Robinson nói cuộc điều tra cũng phát hiện ra các hoạt động chuyển bitcoin trị giá vài triệu USD từ các ví tiền điện tử được liên kết với Conti (nhóm ransomware hiện không còn tồn tại) tới Black Basta, điều mà ông nói đã cung cấp “bằng chứng mới quan trọng” cho thấy Black Basta là một nhánh của Conti.

Conti từng đặt trụ sở tại Nga nhưng đã đóng cửa trang web bị rò rỉ thông tin của họ sau khi Nga tấn công Ukraine vào đầu năm 2022 và Mỹ trao giải thưởng bắt lãnh đạo của nhóm này trong năm đó. Thế nhưng, các nhà nghiên cứu từ lâu nghi ngờ rằng Conti tổ chức lại đội ngũ và đổi tên.

Tom Robinson nói: “Conti có lẽ là băng đảng ransomware thành công nhất mà chúng tôi từng thấy. Những phát hiện mới nhất cho thấy một số cá nhân chịu trách nhiệm đang tái tạo thành công của Conti với ransomware Black Basta”.

nhom-ransomware-black-basta-bi-nghi-lien-quan-conti-tong-tien-duoc-hon-100-trieu-usd.jpg
Các nhà nghiên cứu cho biết Black Basta đã kiếm được hơn 100 triệu USD kể từ khi nổi lên vào năm ngoái - Ảnh: Internet

Ransomware là một loại phần mềm độc hại được thiết kế để xâm nhập vào hệ thống máy tính hoặc mạng, sau đó mã hóa dữ liệu hoặc hạn chế quyền truy cập vào hệ thống, ngăn người dùng tiếp cận các file, ổ đĩa hoặc thậm chí cả hệ điều hành. Sau khi hệ thống bị mã hóa, kẻ tấn công yêu cầu một khoản tiền chuộc (thường là trong định dạng tiền điện tử như bitcoin) từ người sở hữu hệ thống để cung cấp khóa giải mã hoặc để khôi phục quyền truy cập.

Nếu người dùng không thanh toán khoản tiền chuộc, dữ liệu của họ có thể bị mất hoặc trở nên không sử dụng được vĩnh viễn. Ransomware thường được phát tán thông qua các file đính kèm email và trang web độc hại hoặc các lỗ hổng bảo mật trong hệ thống. Đây là một hình thức tấn công mạng ngày càng phổ biến và gây ra nhiều tổn thất cho doanh nghiệp và cá nhân trên toàn thế giới.

Conti bị phát tán thông tin: "Hồ sơ Panama về ransomware"

Một loạt vụ rò rỉ tài liệu hồi đầu năm 2022 tiết lộ chi tiết về quy mô, khả năng lãnh đạo và hoạt động kinh doanh của Conti cũng như thứ được coi là sở hữu quý giá nhất của nhóm này là mã nguồn ransomware.

Shmuel Gihon, nhà nghiên cứu bảo mật tại công ty tình báo Cyberint (Israek), nói Conti nổi lên vào năm 2020 và phát triển thành một trong những nhóm ransomware lớn nhất trên thế giới. Shmuel Gihon ước tính Conti có khoảng 350 thành viên, kiếm được khoảng 2,7 tỉ USD từ tiền điện tử chỉ trong 2 năm đầu hoạt động.

Trong Báo cáo tội phạm internet năm 2021, FBI (Cục Điều tra Liên bang Mỹ) cảnh báo rằng ransomware của Conti nằm trong số “ba biến thể hàng đầu” nhắm mục tiêu vào cơ sở hạ tầng quan trọng ở Mỹ vào năm ngoái. “Nạn nhân thường xuyên của Conti thuộc các ngành sản xuất quan trọng, cơ sở thương mại, thực phẩm và nông nghiệp”, FBI cho hay.

Trong bài đăng trực tuyến phân tích các thông tin rò rỉ, Cyberint cho biết vụ phát tán dữ liệu của Conti dường như là hành động trả thù, do một bài đăng của nhóm này ủng hộ Nga tấn công Ukraine.

Vụ rò rỉ thông tin Conti bắt đầu hôm 28.2.2022, bốn ngày sau khi Nga đưa quân vào Ukraine.

Ai đó đã tạo tài khoản Twitter (hiện gọi là X) có tên ContiLeaks và bắt đầu phát tán hàng ngàn thông điệp nội bộ của Conti.

Chủ sở hữu tài khoản ContiLeaks tuyên bố là một “nhà nghiên cứu bảo mật”, theo Lotem Finkelstein, người đứng đầu bộ phận tình báo về mối đe dọa tại công ty Check Point Software Technologies (Israel).

Người phát tán thông tin Conti sau đó ngừng sử dụng tài khoản Twitter này.

Shmuel Gihon cho biết tác động của vụ rò rỉ thông tin của Conti với cộng đồng an ninh mạng là rất lớn.

Công ty an ninh mạng Trellix (Mỹ) gọi đây là vụ rò rỉ Hồ sơ Panama về ransomware.

Conti hoàn toàn hoạt động ngầm và không bình luận với các phương tiện truyền thông tin tức theo cách mà Anonymous (nhóm hacker đình đám nhất) đôi khi sẽ làm. Thế nhưng, Cyberint, Check Point và các chuyên gia mạng phân tích các tin nhắn cho biết Conti hoạt động và được tổ chức giống như hãng công nghệ thông thường.

Sau khi dịch nhiều thông điệp được viết bằng tiếng Nga, Lotem Finkelstein nói chi nhánh tình báo của công ty ông, Check Point Research, xác định Conti có các chức năng quản lý, tài chính và nguồn nhân lực rõ ràng, cùng hệ thống phân cấp tổ chức cổ điển với các trưởng nhóm báo cáo cho quản lý cấp trên.

Cũng có bằng chứng về bộ phận nghiên cứu và phát triển cùng các đơn vị phát triển kinh doanh của Conti, theo phát hiện từ Cyberint.

Theo Lotem Finkelstein, các tin nhắn cho thấy Conti có văn phòng thực ở Nga.

Ông nói: “Giả định của chúng tôi là một tổ chức khổng lồ như vậy, với các văn phòng và doanh thu khổng lồ sẽ không thể hoạt động ở Nga nếu không có sự chấp thuận đầy đủ, hoặc thậm chí hợp tác với các cơ quan tình báo của Nga”.

Nga trước đó đã phủ nhận việc tham gia vào các cuộc tấn công mạng.

Nghiên cứu của Check Point Research cũng phát hiện Conti có:

+ Người làm công ăn lương - một số được trả bằng bitcoin - cộng với các cơ hội đào tạo và đánh giá hiệu suất.

+ Người thương lượng nhận hoa hồng từ 0,5% đến 1% tiền chuộc được trả.

+ Chương trình giới thiệu nhân viên, với phần thưởng được trao cho những nhân viên tuyển dụng những người khác đã làm việc ít nhất 1 tháng và một “nhân viên của tháng” kiếm được tiền thưởng bằng 1/2 tiền lương của họ.

Không giống các công ty khác, Conti phạt những người hoạt động kém hiệu quả, theo Check Point Research.

Danh tính người lao động cũng được che giấu bởi handle, chẳng hạn như Stern (“sếp lớn”), Buza (“giám đốc kỹ thuật”) và Target (“đối tác của Stern và người đứng đầu hoạt động văn phòng hiệu quả”), Check Point Research cho biết.

“Khi giao tiếp với nhân viên, cấp quản lý cao hơn thường nói rằng làm việc cho Conti là công việc của cả đời - lương cao, nhiệm vụ thú vị, phát triển sự nghiệp (!)”, theo Check Point Research.

Tuy nhiên, một số tin nhắn vẽ nên một bức tranh khác, với những lời đe dọa chấm dứt hợp đồng do không trả lời tin nhắn đủ nhanh (trong vòng 3 giờ) và làm việc vào cuối tuần cùng ngày lễ, Check Point Research tiết lộ.

Conti thuê người từ cả các nguồn hợp pháp, chẳng hạn như dịch vụ săn đầu người và tội phạm ngầm, Lotem Finkelstein cho biết.

Việc tuyển dụng rất quan trọng và “có lẽ không có gì đáng ngạc nhiên khi tỷ lệ doanh thu, mức tiêu hao, tỷ lệ kiệt sức khá cao với các nhân viên Conti cấp thấp”, Brian Krebs, cựu phóng viên của Washington Post, viết trên trang web an ninh mạng KrebsOnSecurity của mình.

Theo Check Point Research, một số người được thuê thậm chí không phải là chuyên gia máy tính. Conti thuê cả người làm việc trong các trung tâm cuộc gọi.

Theo FBI, "hỗ trợ gian lận công nghệ" đang gia tăng, trong đó những kẻ lừa đảo mạo danh các công ty nổi tiếng, đề nghị khắc phục sự cố máy tính…

Sơn Vân