Nghiên cứu đột phá gần đây đã phơi bày cơ chế hoạt động nội bộ của các mạng lưới tội phạm mạng nhắm mục tiêu vào Australia và các quốc gia đồng minh. Phân tích sâu rộng về các nhóm tội phạm mã độc ransomware đã cung cấp những hiểu biết chưa từng có về một trong những mối đe dọa an ninh mạng gây thiệt hại lớn nhất trong kỷ nguyên hiện đại.
Nghiên cứu được thực hiện bởi Viện Tội phạm học Australia, khảo sát 865 cuộc tấn công ransomware trên lãnh thổ Australia, Canada, New Zealand và Vương quốc Anh từ năm 2020 đến 2022. Năm 2022, số lượng các vụ tấn công ransomware giảm nhẹ, với 309 vụ được thực hiện bởi 42 tổ chức ransomware.
Tuổi Thọ Hoạt Động Của Các Nhóm Mã Độc Ransomware
Nghiên cứu tiết lộ rằng các nhóm ransomware thường có thời gian hoạt động tương đối ngắn. Tuổi thọ trung bình của các tổ chức ransomware chỉ khoảng 1.36 năm.
Chỉ có ba nhóm duy trì hoạt động trong suốt cả ba năm nghiên cứu. Bất chấp vòng đời ngắn ngủi, những tổ chức tội phạm này đã gây ra thiệt hại kinh tế đáng kể cho các đơn vị bị nhắm mục tiêu.
Các Nhóm Ransomware Nổi Bật Và Chiến Thuật
Conti nổi lên là nhóm ransomware khét tiếng nhất, thực hiện 141 cuộc tấn công trong giai đoạn nghiên cứu. Nhóm này hoạt động liên tục trong ba năm trước khi tự nguyện dừng hoạt động vào giữa năm 2022.
Ngay sau đó là các biến thể của LockBit, đã phối hợp thực hiện tổng cộng 129 cuộc tấn công. Điều này minh chứng cho sự tiến hóa và chiến lược đổi tên thương hiệu được sử dụng bởi các mạng lưới tội phạm này.
Các nhóm ransomware chủ yếu được ghi nhận trong nghiên cứu bao gồm:
- Conti
- LockBit (các biến thể)
- NetWalker
- REvil
- Karakurt (xuất hiện năm 2022)
- ALPHV (BlackCat) (xuất hiện năm 2022)
- Black Basta (xuất hiện năm 2022)
Mô Hình Nhắm Mục Tiêu Của Mã Độc Ransomware
Nghiên cứu đã xác định các mô hình nhắm mục tiêu rõ ràng của tội phạm ransomware. Các tổ chức trong lĩnh vực công nghiệp đối mặt với rủi ro cao nhất, với 239 cuộc tấn công được ghi nhận trên cả bốn quốc gia.
Các công ty hàng tiêu dùng tiếp theo với 150 cuộc tấn công. Trong khi đó, các lĩnh vực bất động sản, dịch vụ tài chính và công nghệ mỗi lĩnh vực đều trải qua hơn 90 sự cố.
Tình Hình Tấn Công Tại Australia
Chỉ riêng Australia đã hứng chịu 135 cuộc tấn công ransomware được xác nhận trong giai đoạn ba năm này. Trong đó, lĩnh vực công nghiệp liên tục xếp hạng là mục tiêu chính.
Các lĩnh vực công nghệ và hàng tiêu dùng cũng đối mặt với các mối đe dọa đáng kể, đặc biệt trong năm 2021 và 2022. Điều này cho thấy tính phổ biến của các cuộc tấn công ransomware trên nhiều ngành nghề.
Sự Trỗi Dậy Của Ransomware-as-a-Service (RaaS)
Một xu hướng đáng lo ngại được nêu bật trong nghiên cứu là sự gia tăng của các hoạt động Ransomware-as-a-Service (RaaS). Mô hình kinh doanh này phân biệt các nhóm ransomware cốt lõi với các chi nhánh được thuê của chúng, tạo ra một hệ sinh thái tội phạm tinh vi.
Các nhóm cốt lõi phát triển mã độc và quản lý các khoản thanh toán từ nạn nhân. Trong khi đó, các chi nhánh xử lý các hoạt động xâm nhập hệ thống và đàm phán tiền chuộc.
NetWalker chịu trách nhiệm cho số lượng cuộc tấn công lớn nhất (n=35). Đáng chú ý, vào năm 2020, NetWalker đã chuyển sang mô hình RaaS, điều này có thể giải thích cho xu hướng này.
Các nhóm áp dụng mô hình RaaS thể hiện tuổi thọ cao hơn và thực hiện số lượng cuộc tấn công lớn hơn. Cách tiếp cận chuyên nghiệp này đã biến ransomware từ các sự cố riêng lẻ thành các tổ chức tội phạm có khả năng hoạt động bền vững.
Ảnh Hưởng Của Lực Lượng Thực Thi Pháp Luật
Nghiên cứu cũng ghi lại tác động của các nỗ lực thực thi pháp luật quốc tế đối với các hoạt động ransomware. Giáo sư Chad Whelan, nhà nghiên cứu chính từ Trung tâm An ninh mạng của Đại học Deakin, nhấn mạnh sự cần thiết của các chiến lược phòng ngừa có mục tiêu.
Ông Whelan lưu ý: “Các phát hiện của chúng tôi cho thấy rằng một số ngành phải đối mặt với rủi ro không cân xứng và yêu cầu các phương pháp tiếp cận an ninh mạng được điều chỉnh riêng.” Bạn có thể tìm hiểu thêm về nghiên cứu này tại báo cáo chính thức của Viện Tội phạm học Australia: Examining the activities and careers of ransomware criminal groups.
Một số nhóm nổi bật, bao gồm NetWalker và REvil, đã giảm đáng kể hoạt động hoặc biến mất hoàn toàn sau các hành động phối hợp của cảnh sát bởi các cơ quan chức năng của Mỹ và Nga.
Tuy nhiên, hệ sinh thái tội phạm vẫn chứng tỏ khả năng phục hồi đáng kể. Khi các nhóm đã thành lập đóng cửa, các tổ chức mới đã xuất hiện để lấp đầy khoảng trống. Năm 2022 chứng kiến sự trỗi dậy của các nhóm như Karakurt, ALPHV (BlackCat) và Black Basta, cho thấy bản chất dai dẳng của mối đe dọa này.
Khuyến Nghị Phòng Chống Mã Độc Ransomware
Nghiên cứu khuyến nghị các chương trình nâng cao nhận thức theo từng ngành cụ thể, kiểm toán an ninh mạng định kỳ, và các hệ thống phát hiện mối đe dọa nâng cao, đặc biệt cho các ngành công nghiệp có rủi ro cao.
Nghiên cứu cũng kêu gọi tăng cường hợp tác giữa các cơ quan chính phủ và các nhà nghiên cứu. Mục tiêu là cải thiện việc chia sẻ dữ liệu và phát triển các chiến lược phá vỡ hiệu quả hơn. Đây là các biện pháp then chốt để đối phó với các cuộc tấn công ransomware ngày càng tinh vi.
Khi mối đe dọa từ mã độc ransomware tiếp tục phát triển, nghiên cứu đột phá này cung cấp thông tin tình báo quan trọng để phòng thủ. Nó mang lại hy vọng cho các biện pháp đối phó mục tiêu và hiệu quả hơn trong cuộc chiến chống tội phạm mạng đang diễn ra.
