Hợp tác giữa EvilCorp và RansomHub: Mối đe dọa ransomware toàn cầu

04/04/2025
3 mins read

Hợp tác giữa EvilCorp và RansomHub đại diện cho một sự gia tăng đáng kể trong bối cảnh mối đe dọa ransomware toàn cầu. Dưới đây là phân tích chi tiết về quan hệ đối tác này và các hệ quả của nó:

Nội dung
Đối tác
Cơ chế Hợp tác
Các hệ quả
Tiến hóa chiến lược
Kết luận

Đối tác

EvilCorp:

  • Nền tảng: EvilCorp là một tổ chức tội phạm mạng có nguồn gốc tại Nga, do Maksim Yakubets lãnh đạo. Tổ chức này đã tham gia vào nhiều vụ tấn công tài chính quy mô lớn và các chiến dịch ransomware, bao gồm việc triển khai các biến thể ransomware như BitPaymer, WastedLocker và MacawLocker.
  • Các biện pháp xử phạt: EvilCorp đã bị xử phạt bởi Hoa Kỳ từ năm 2019, nhưng điều này không ngăn cản hoạt động của họ. Nhóm này đã thích nghi bằng cách liên kết với nhiều nền tảng ransomware-as-a-service (RaaS), bao gồm LockBit và giờ đây là RansomHub.

RansomHub:

  • Nền tảng: RansomHub ra đời vào tháng 2 năm 2024 và nhanh chóng trở thành một trong những gia đình ransomware hoạt động tích cực nhất. Nó đã hấp thụ các đối tác từ những hoạt động đã ngừng hoạt động như ALPHV/BlackCat và LockBit.
  • Model RaaS: RansomHub hoạt động như một nền tảng RaaS, cung cấp công cụ và cơ sở hạ tầng cho các đối tác để thực hiện các cuộc tấn công ransomware. Các đối tác của nó sử dụng nhiều chiến thuật, kỹ thuật và quy trình (TTPs) để đạt được các mục tiêu như khai thác dữ liệu và triển khai ransomware.

Cơ chế Hợp tác

Truy cập ban đầu:

  • Phần mềm độc hại SocGholish: Chuỗi tấn công bắt đầu bằng phần mềm độc hại SocGholish (còn được gọi là FakeUpdates), một loại phần mềm độc hại JavaScript tinh vi được phân phối qua các trang web bị xâm nhập. Khi người dùng truy cập vào các trang bị nhiễm, họ nhận được thông báo giả mạo cập nhật trình duyệt mà khi chấp nhận, sẽ tải phần mềm độc hại SocGholish. Phần mềm độc hại này được sử dụng như là vector lây nhiễm chính để triển khai ransomware RansomHub.

Các hoạt động sau khi xâm nhập:

  • Backdoor VIPERTUNNEL: Sau khi xâm nhập ban đầu, hacker sẽ triển khai một backdoor Python có tên VIPERTUNNEL, lần đầu tiên được Google ghi nhận vào tháng 1 năm 2025. Backdoor này cung cấp quyền truy cập liên tục vào các mạng bị xâm nhập và đóng vai trò là cơ chế phân phối cho các công cụ bổ sung và mã tải cuối cùng của RansomHub.

Các hệ quả

Rủi ro pháp lý:

  • Quy định của OFAC: Các tổ chức trả tiền chuộc cho RansomHub có thể vi phạm quy định của Văn phòng Quản lý Tài sản Nước ngoài (OFAC) nếu EvilCorp được hưởng lợi từ những khoản thanh toán này. Điều này tạo ra các phức tạp bổ sung cho các nhà cung cấp bảo hiểm mạng, các đội ứng phó sự cố và các nhà đàm phán ransomware, những người có thể vô tình vi phạm các lệnh trừng phạt.

Các gián đoạn hoạt động:

  • Biện pháp an ninh mạng: Quan hệ đối tác này đặt ra những thách thức lớn cho các nạn nhân và những người tham gia vào việc ứng phó sự cố. Các tổ chức cần phải luôn cảnh giác và áp dụng các biện pháp bảo mật chủ động để giảm thiểu rủi ro, bao gồm việc nâng cấp hệ thống, xem xét các nhật ký để tìm dấu hiệu sử dụng quyền trái phép và cải thiện việc giám sát để ngăn chặn khai thác dựa trên webshell và lạm dụng PowerShell.

Tiến hóa chiến lược

Thích ứng và tiến hóa:

  • Tránh bị quy trách nhiệm: Bằng cách liên kết với các nền tảng RaaS như RansomHub, EvilCorp đã đa dạng hóa các vector tấn công trong khi tránh được trách nhiệm trực tiếp. Tuy nhiên, chiến lược này cũng có thể phản tác dụng; sự gia tăng giám sát từ các cơ quan thực thi pháp luật có thể dẫn đến các cuộc tấn công hoặc lệnh trừng phạt bổ sung nhắm vào cả hai thực thể.

Nỗ lực tái thương hiệu của RansomHub:

  • Các chuyên gia an ninh mạng suy đoán rằng RansomHub có thể sẽ tái thương hiệu để tách mình khỏi danh tiếng xấu của EvilCorp. Điều này không phải là hiếm gặp trong số các nhóm ransomware đang tìm cách duy trì mô hình kinh doanh của họ trong khi tránh sự phát hiện hoặc trừng phạt.

Kết luận

Hợp tác giữa EvilCorp và RansomHub đại diện cho một mối đe dọa mạnh mẽ trong bối cảnh ransomware toàn cầu. Nó nhấn mạnh tính chất phát triển của tội phạm mạng, nơi các chiến thuật tinh vi và các quan hệ đối tác giữa các tổ chức tội phạm đang trở nên ngày càng phổ biến. Để chống lại mối đe dọa này, các tổ chức cần đầu tư vào các biện pháp phòng cybersecurity mạnh mẽ, giáo dục nhân viên và luôn chuẩn bị cho khả năng xảy ra các cuộc tấn công tinh vi và thường xuyên hơn. Các cơ quan thực thi pháp luật cũng cần phải điều chỉnh các chiến lược của họ để chống lại mối đe dọa toàn cầu đang gia tăng này thông qua các nỗ lực phối hợp xuyên biên giới.

Tags