Hoạt Động Ransomware-as-a-Service GLOBAL GROUP và Công Cụ Đàm Phán AI
Một hoạt động Ransomware-as-a-Service (RaaS) mới nổi, được đặt tên là GLOBAL GROUP, đã bắt đầu triển khai một công cụ đàm phán được điều khiển bởi trí tuệ nhân tạo (AI). Công cụ này được thiết kế để gia tăng áp lực tâm lý lên nạn nhân và hợp lý hóa quy trình tống tiền cho các thành viên liên kết.
Nguồn Gốc và Sự Tiến Hóa
Các nhà nghiên cứu bảo mật tại EclecticIQ lần đầu tiên xác định hoạt động của GLOBAL GROUP vào đầu tháng 6 trên diễn đàn ngầm Ramp4u. Tại đây, tác nhân đe dọa được biết đến với biệt danh “$$$” đã chia sẻ một liên kết .onion dẫn đến một trang rò rỉ dữ liệu chuyên dụng và quảng bá một nền tảng RaaS đầy đủ dịch vụ sắp ra mắt.
Phân tích tiếp theo cho thấy GLOBAL GROUP đại diện cho việc đổi thương hiệu của hoạt động RaaS Black Lock, vốn là kẻ kế nhiệm của ransomware Mamona hiện đã không còn hoạt động. Cả ba đều được điều hành bởi cùng một tác nhân đe dọa. Việc tái sử dụng cơ sở hạ tầng và những sơ suất trong an ninh vận hành (OpSec) đã giúp các nhà nghiên cứu truy tìm địa chỉ IP thực của trang rò rỉ dữ liệu đến một nhà cung cấp VPS có trụ sở tại Nga, từ lâu đã liên quan đến các hoạt động của Mamona, qua đó xác nhận danh tính của tác nhân.
Các Vector Truy Cập Ban Đầu
Cơ sở hạ tầng của GLOBAL GROUP phụ thuộc rất nhiều vào Initial Access Brokers (IABs) – những đối tượng chuyên bán các quyền truy cập ban đầu vào các mạng lưới doanh nghiệp có giá trị cao. Các IAB này cung cấp quyền truy cập từ xa thông qua các thiết bị VPN bị xâm nhập, đáng chú ý nhất là các thiết bị của Fortinet, Palo Alto và Cisco. Ngoài ra, chúng còn cung cấp webshells cho các môi trường SAP NetWeaver và truy cập bạo lực (brute-force) vào các cổng Microsoft Outlook Web Access (OWA) và RDWeb.
Một khi thành viên liên kết thiết lập được quyền truy cập, họ sẽ triển khai các tải trọng ransomware tùy chỉnh. Các tải trọng này được tối ưu hóa để tận dụng sự hỗn loạn và tốc độ, nhằm tối đa hóa thiệt hại trước khi các biện pháp phòng thủ điểm cuối truyền thống có thể phản ứng kịp thời.
Hệ Thống Đàm Phán Dựa Trên AI
Điểm nổi bật của GLOBAL GROUP là hệ thống đàm phán mới được cung cấp bởi các chatbot AI tùy chỉnh. Các chatbot này sẽ hướng dẫn nạn nhân qua một kịch bản đàm phán tống tiền đã được lập trình sẵn. Các thành viên liên kết có thể chọn nhiều tùy chọn ngôn ngữ, đảm bảo tội phạm không nói tiếng Anh có thể tương tác với mục tiêu của họ một cách trôi chảy như người bản xứ.
Một khi phiên đàm phán bắt đầu, AI sẽ dần dần tăng cường áp lực thời gian, đe dọa rò rỉ dữ liệu và công khai danh tính nếu nạn nhân trì hoãn thanh toán. Theo EclecticIQ, một số nạn nhân đã phải đối mặt với các yêu cầu chuộc tiền lên đến bảy con số – thường vượt quá một triệu đô la Mỹ cho khóa giải mã – và chỉ được cho ít nhất 48 giờ để phản hồi.
Hệ thống này được thiết kế để tự động hóa và tối ưu hóa quy trình tống tiền, giảm thiểu sự can thiệp của con người và nâng cao hiệu quả thu lợi nhuận cho các thành viên liên kết.
Cơ Sở Hạ Tầng Vận Hành và Trang Rò Rỉ Dữ Liệu
Đằng sau các hoạt động tống tiền, trang rò rỉ dữ liệu của GLOBAL GROUP công khai các bộ dữ liệu bị xâm phạm thuộc về các nhà cung cấp dịch vụ chăm sóc sức khỏe ở Hoa Kỳ và Úc, một công ty máy móc công nghiệp ở Vương quốc Anh, và các mục tiêu khác ở các khu vực như Brazil. Việc công khai dữ liệu này là một phần của chiến lược “double extortion” (tống tiền kép), nhằm tăng áp lực lên nạn nhân để buộc họ phải trả tiền chuộc.
Chương Trình Liên Kết và Khả Năng Kỹ Thuật
Các thành viên liên kết của GLOBAL GROUP được hứa hẹn chia sẻ từ 80 đến 85 phần trăm tiền chuộc, một mô hình được thiết kế để thu hút các tội phạm mạng có kinh nghiệm từ các dịch vụ RaaS đối thủ. Nền tảng này cung cấp một bảng điều khiển cho thành viên liên kết, cho phép người điều hành:
- Xây dựng các tải trọng (payloads) đa nền tảng cho Windows, Linux, ESXi và BSD.
- Cấu hình các cờ mã hóa (encryption flags).
- Khởi tạo các triển khai tự động trên toàn miền (domain-wide deployments) sử dụng SMB và các dịch vụ Windows độc hại.
Mức độ tùy chỉnh này, kết hợp với giao diện đàm phán AI, cho thấy sự trưởng thành của thị trường RaaS thành một “nền kinh tế dịch vụ” cạnh tranh cho tội phạm mạng.
Tác Động và Triển Vọng
Mặc dù các cơ quan thực thi pháp luật và các công ty an ninh mạng đang tăng cường áp lực lên các băng nhóm ransomware, việc GLOBAL GROUP nhanh chóng tích lũy nạn nhân và các yêu cầu tống tiền bảy con số cho thấy các hoạt động RaaS vẫn kiên cường. Đặc biệt, chúng đang tận dụng trí tuệ nhân tạo để duy trì và mở rộng lợi nhuận.
Việc tiếp tục theo dõi các chiến thuật đang phát triển của GLOBAL GROUP sẽ là rất quan trọng để phát triển các chiến lược phòng thủ mạnh mẽ hơn và phá vỡ các mạng lưới liên kết đang thúc đẩy các chiến dịch ransomware tinh vi này.
