Vụ tấn công Ransomware vào Colonial Pipeline
Một trong những đường ống lớn nhất của Mỹ, chuyên chở xăng và nhiên liệu máy bay tinh chế từ Texas lên Bờ Đông đến New York, đã buộc phải đóng cửa sau khi bị tấn công bởi ransomware hôm đầu tháng 05. Colonial Pipeline đã thừa nhận rằng các mạng máy tính công ty của họ đã bị tấn công bởi một cuộc tấn công ransomware, trong đó các nhóm tội phạm giữ dữ liệu làm tin cho đến khi nạn nhân trả tiền chuộc.
Việc đóng cửa một đường ống quan trọng như vậy, một đường ống đã phục vụ Bờ Đông từ đầu những năm 1960, làm nổi bật tính dễ bị tổn thương của cơ sở hạ tầng cũ được kết nối, trực tiếp hoặc gián tiếp, với internet. Trong những tháng gần đây, tần suất và mức độ tinh vi của các cuộc tấn công ransomware đã tăng vọt. Tuy nhiên các nhà công ty thường cố gắng che giấu các cuộc tấn công vì lo ngại về các thông tin về hệ thống của họ bị thâm nhập bị rò rỉ ra ngoài.
Đường ống của Colonial vận chuyển 2,5 triệu thùng mỗi ngày, lấy xăng tinh luyện, nhiên liệu diesel và nhiên liệu máy bay từ Bờ Vịnh đến Cảng New York và các sân bay chính của New York.
Xác định nhóm tội phạm
Nhóm tội phạm về ransomware có tên là DarkSide được xác định là chịu trách nhiệm cho vụ tấn công khiến Colonial Pipeline phải ngưng hoạt động của 5,550 dặm đường ống. Công ty tình báo mạng Flashpoint có trụ sở tại Thành phố New York cho biết các nhà phân tích của họ đánh giá rằng cuộc tấn công không nhằm mục đích làm hỏng cơ sở hạ tầng quốc gia và chỉ liên quan đến mục tiêu có tài chính.
“Điều này sẽ phù hợp với các hoạt động trước đó của DarkSide, bao gồm một số cuộc tấn công ‘săn trò chơi lớn ’, theo đó những kẻ tấn công nhắm mục tiêu vào một tổ chức có khả năng sở hữu phương tiện tài chính để trả tiền chuộc theo những kẻ tấn công yêu cầu,” Flashpoint nhận xét.
Để đáp lại sự chú ý của công chúng về cuộc tấn công ransomware vào Colonial Pipeline, nhóm DarkSide đã tìm cách hạ thấp nỗi lo sợ về các cuộc tấn công cơ sở hạ tầng trên diện rộng trong tương lai.
Theo blog DarkSide Leaks: “Chúng tôi là phi chính trị, chúng tôi không tham gia vào địa chính trị, không cần ràng buộc chúng tôi với một chính phủ xác định và tìm kiếm động cơ khác của chúng tôi. Mục tiêu của chúng tôi là kiếm tiền, và không tạo ra vấn đề cho xã hội. Từ hôm nay chúng tôi giới thiệu việc kiểm duyệt và kiểm tra từng công ty mà đối tác của chúng tôi muốn mã hóa để tránh những hậu quả xã hội trong tương lai ”.
Lần đầu tiên xuất hiện trên các diễn đàn hack bằng tiếng Nga vào tháng 8 năm 2020, DarkSide là một nền tảng ransomware-as-a-service mà tội phạm mạng có thể sử dụng để lây nhiễm ransomware cho các công ty và thực hiện các cuộc đàm phán và thanh toán với nạn nhân. DarkSide cho biết họ chỉ nhắm mục tiêu vào các công ty lớn và cấm các hội viên tấn công ransomware vào các tổ chức trong một số ngành, bao gồm chăm sóc sức khỏe, dịch vụ tang lễ, giáo dục, khu vực công và tổ chức phi lợi nhuận.
Giống như các nền tảng ransomware khác, DarkSide tuân thủ phương pháp tống tiền kép phổ biến nhất hiện nay: yêu cầu các khoản tiền riêng biệt cho cả khóa kỹ thuật số để mở khóa bất kỳ tệp tin và máy chủ nào và một khoản tiền chuộc riêng để đổi lấy lời hứa sẽ tiêu hủy mọi dữ liệu bị đánh cắp từ nạn nhân.
Khi ra mắt, DarkSide đã quảng cáo về mình trên một trang web rò rỉ dữ liệu nạn nhân nhận:
“Chúng tôi chỉ tấn công các công ty có thể thanh toán theo số tiền được yêu cầu, chúng tôi không muốn phá hủy doanh nghiệp của quý vị”.
DarkSide đã cho thấy mình khá tàn nhẫn với các công ty nạn nhân có nhiều tiến. Công ty tình báo an ninh mạng Intel 471 đã quan sát thấy một cuộc đàm phán giữa nhóm DarkSide và một công ty nạn nhân tại Mỹ có trị giá công ty 15 tỷ đô la đã bị yêu cầu tiền chuộc 30 triệu đô la vào tháng 1 năm 2021 và trong vụ việc này, những nỗ lực của nạn nhân trong việc thương lượng đã làm giảm khoảng tiền chuộc xuống gần hai phần ba.
Cuộc trao đổi đầu tiên giữa DarkSide và nạn nhân liên quan đến việc thiết lập lòng tin qua lại, trong đó nạn nhân yêu cầu đảm bảo rằng dữ liệu bị đánh cắp sẽ bị xóa sau khi thanh toán.
Khi nạn nhân phản đối đề nghị chỉ trả 2,25 triệu đô la, DarkSide đã trả lời bằng một câu trả lời dài, chế nhạo, cuối cùng đồng ý giảm yêu cầu tiền chuộc xuống 28,7 triệu đô la.
“Hãy hẹn giờ và trong 8 giờ tới, quý vị sẽ phải trả đến 60 triệu đô la,” kẻ gian trả lời. “Vì vậy, hãy nhận lời đề nghị hào phóng của chúng tôi và trả cho chúng tôi 28,750 triệu đô la Mỹ hoặc đầu tư một số tiền vào máy tính lượng tử để tiến hành quá trình giải mã.”
Nạn nhân phàn nàn rằng các cuộc đàm phán đã không làm thay đổi giá nhiều, nhưng DarkSide phản bác rằng công ty có thể dễ dàng chi trả. “Tôi không nghĩ vậy,” họ viết. “Quý vị không nghèo và không phải là trẻ em nếu quý vị làm rối tung lên, quý vị phải gánh chịu hậu quả.”
Công ty nạn nhân trả lời một ngày sau đó nói rằng họ đã được phê duyệt trả 4,75 triệu đô la và những kẻ hành hạ họ đồng ý giảm yêu cầu đáng kể xuống còn 12 triệu đô la.
Nạn nhân trả lời rằng đây vẫn là một số tiền lớn và nó cố gắng đảm bảo thêm sự đảm bảo từ nhóm ransomware nếu đồng ý trả 12 triệu đô la, chẳng hạn như không tấn công công ty nữa hoặc không cho phép bất kỳ ai truy cập vào dữ liệu bị đánh cắp. Nạn nhân cũng cố gắng yêu cầu những kẻ tấn công giao chìa khóa giải mã trước khi trả hết toàn bộ tiền chuộc.
Băng nhóm tội phạm trả lời rằng theo các quy tắc riêng, chúng không thể đưa ra chìa khóa giải mã trước khi thanh toán đầy đủ, nhưng chúng đồng ý với các điều khoản còn lại
Công ty nạn nhân đồng ý trả 11 triệu đô la tiền chuộc và những kẻ tống tiền cuối cùng cũng đồng ý và hứa sẽ không tấn công hoặc giúp bất kỳ ai khác tấn công mạng của công ty trong tương lai.
Flashpoint đánh giá rằng có một số tội phạm đứng sau DarkSide đã đến từ một nhóm ransomware khác có tên là “REvil”, hay còn gọi là “Sodinokibi” (mặc dù Flashpoint đánh giá phát hiện này chỉ ở mức độ tin cậy “vừa phải”). REvil được nhiều người xem là tên mới của GandCrab, một dịch vụ cung cấp ransomware-as-a-service đã ngưng hoạt động vào năm 2019 sau khi khoe khoang rằng nó đã tống tiền hơn 2 tỷ đô la.
Các chuyên gia cho biết các cuộc tấn công bằng ransomware sẽ tiếp tục phát triển về mức độ tinh vi, tần suất và chi phí trừ khi có hành động có thể làm gián đoạn khả năng của kẻ gian như vậy. Theo một báo cáo vào cuối năm ngoái từ Coveware, khoản thanh toán ransomware trung bình trong quý 3 năm 2020 là 233.817 USD, tăng 31% so với quý 2 năm ngoái. Công ty bảo mật Emsisoft phát hiện ra rằng gần 2.400 chính phủ, cơ sở y tế và trường học có trụ sở tại Hoa Kỳ là nạn nhân của ransomware vào năm 2020.
Mỹ đã xem tống tiền kỹ thuật số là mối đe dọa an ninh quốc gia.
Cái kết của Darkside
Nhóm ransomware Darkside tấn công Colonial Pipeline có thể đang hối hận vì cuộc tấn công của mình sau sự trả đũa từ cả chính phủ Hoa Kỳ và cộng đồng ransomware. Bằng cách đánh vào một công ty cơ sở hạ tầng quan trọng, DarkSide đã thu hút sự chú ý đến vấn đề ransomware.
Vào ngày 13 tháng 5, diễn đàn XSS, hoạt động như một nền tảng tội phạm mạng ngầm nói tiếng Nga, đã thông báo rằng họ sẽ cấm tất cả các hoạt động ransomware trên diễn đàn của mình, bao gồm các chương trình liên kết ransomware, cho thuê ransomware và bán phần mềm ransomware. Trước đây, XSS là nơi trú ẩn cho các nhóm ransomware để tuyển dụng các hội viên cho REvil, Babuk, DarkSide.. theo hãng bảo mật Flashpoint. Quản trị viên của XSS cho biết quyết định cấm hoạt động này dựa trên sự khác biệt về ý thức hệ giữa diễn đàn và các nhà điều hành ransomware cũng như sự chú ý của giới truyền thông từ các sự cố ransomware nghiêm trọng.
Trong vòng vài giờ sau khi XSS ra thông báo, các diễn đàn tội phạm khác đã làm theo. Cùng tối hôm đó, diễn đàn tiếng Nga Exploit thông báo rằng họ sẽ cấm các chương trình đối tác ransomware và xóa tất cả các chủ đề liên quan đến ransomware, theo công ty quản lý rủi ro kỹ thuật số Digital Shadows. Quản trị viên của diễn đàn nói rằng họ không hài lòng về tất cả sự chú ý không mong muốn mà các chương trình liên kết đang mang lại cho diễn đàn. Ngày hôm sau, RaidForums cũng tiết lộ rằng họ đang cấm ransomware trên diễn đàn của mình.
Hơn nữa, nhóm REvil khét tiếng đã đưa ra một tuyên bố thông qua đại diện của mình, được gọi là UNKN, rằng với hai hạn chế cụ thể: 1) Nghiêm cấm các cuộc tấn công chống lại khu vực xã hội (ví dụ: chăm sóc sức khỏe, các cơ sở giáo dục) và 2) Các cuộc tấn công chống lại khu vực chính phủ (nhà nước) của bất kỳ quốc gia nào đều bị cấm.
Nhưng sức mạnh của sự phản kháng đã chống lại chính DarkSide. Vào ngày 13 tháng 5, các nhà điều hành của nhóm cho biết họ sẽ ngay lập tức ngừng chương trình ransomware-as-a-service, cấp mã giải mã cho tất cả các hội viên, những người sau đó có thể giao dịch trực tiếp với nạn nhân và giải quyết tất cả các nghĩa vụ tài chính trước ngày 23 tháng 5. Nhóm cũng nói với các hội viên rằng cơ sở hạ tầng của họ đã bị gián đoạn bởi một cơ quan thực thi pháp luật không xác định.
Trong một thông báo gửi đến các hội viên, DarkSide nói rằng họ đã mất quyền truy cập vào blog, máy chủ thanh toán và máy chủ CDN và các bảng điều khiển lưu trữ của họ đã bị chặn. Nhóm cũng cho biết trang đích, máy chủ và các tài nguyên khác của họ sẽ bị gỡ xuống trong vòng 48 giờ.
Tuy nhiên, việc DarkSide thoát khỏi thế giới ransomware có thể không có nghĩa là lần cuối cùng chúng ta nghe thấy chúng. Tội phạm mạng, những người đã thu hút sự chú ý quá mức đến bản thân họ có thói quen tái xuất hiện vào một thời điểm nào đó với một danh tính mới. DarkSide có thể chỉ đơn giản là cố gắng nằm yên cho đến khi sự chú ý phương tiện truyền thông qua đi, lên kế hoạch xuất hiện trở lại khi mọi thứ đã hạ nhiệt. Và các nhóm ransomware khác có thể đang sử dụng chiến thuật tương tự.
Intel 471 cho biết: “Có khả năng các nhóm ransomware này đang cố gắng rút lui khỏi tâm điểm chú ý hơn là đột nhiên nhận ra lỗi theo cách của họ. Một số nhóm rất có thể sẽ hoạt động trong các nhóm kín của riêng họ, tái xuất hiện dưới tên mới và các biến thể ransomware được cập nhật.”
Tổng hợp từ
1/https://www.nytimes.com/2021/05/08/us/politics/cyberattack-colonial-pipeline.html
2/ https://krebsonsecurity.com/2021/05/a-closer-look-at-the-darkside-ransomware-gang/
3/https://www.techrepublic.com/article/darkside-ransomware-group-suffers-setbacks-following-colonial-pipeline-attack/