Theo các nhà nghiên cứu của Group_IB, các nhóm tin tặc đã phát tán mã độc cho hơn 890 nghìn thiết bị của người dùng và đánh cắp hơn 50 triệu mật khẩu trong vòng 7 tháng đầu năm 2022. Con số này ghi nhận sự gia tăng 80% so với giai đoạn trước. Ngoài ra, các tin tặc cũng đã đánh cắp hơn 2,1 triệu tệp cookie, hơn 113 nghìn ví tiền điện tử và gần 104 nghìn thẻ tín dụng.
Tin tặc Nga sử dụng mã độc Raccoon và Redline Infostealer để thu thập các thông tin đăng nhập
Nhóm bảo vệ rủi ro kĩ thuật số Group_IB đã phát hiện ra rằng 34 nhóm tin tặc Nga đã triển khai mã độc Raccoon và RedLine để thu thập mật khẩu Steam, Roblox, Amazon, Paypal và các ví điện tử cùng các thông tin thẻ tín dụng. Trong đó, Paypal và Amazon là các mục tiêu lớn nhất, với 16% và 13% dữ liệu thông tin bị đánh cắp đều đến từ hai công ty này.
Bên cạnh đó, báo cáo còn cho thấy các tin tặc Nga đã tổ chức và điều phối các hoạt động tấn công của chúng trên nền tảng Telegram, với trung bình 200 thành viên hoạt động, chủ yếu là các tin tặc nghiệp dư (những kẻ lừa đảo trực tuyến cấp thấp) trước đây đã tham gia vào kế hoạch lừa đảo nổi tiếng Classiscam. Đáng chú ý, các nhóm tin tặc này phát tán mã độc thông qua các nhóm Telegram nói tiếng Nga, mặc dù mục tiêu của chúng nhắm đến các mục tiêu ở 111 quốc gia khác nhau, đa phần là Mỹ, Brazil, Ấn Độ, Đức và Indonesia.
Các dạng mã độc Infostealer phổ biến nhất được tin tặc Nga sử dụng
Các nhà nghiên cứu đã xếp hạng RedLine là mã độc phổ biến nhất với 34 nhóm tin tặc sử dụng biến thể này. Mã độc đánh cắp thông tin Raccoon đứng thứ 2 với khoảng cách khá lớn, chỉ với 8 nhóm tin tặc sử dụng. Trong khi các phần mềm đánh cắp tùy chỉnh đứng thứ 3 trong nhóm các phần mềm đánh cắp thông tin được sử dụng, trên thực tế chỉ có 3 nhóm tin tặc sử dụng.
Tuy nhiên, để khai thác và sử dụng RedLine và Raccoon, các tin tặc phải đánh đổi một phần dữ liệu thông tin đánh cắp và chia sẻ lợi nhuận mà chúng kiếm được cho các quản trị viên của nhóm Telegram mà chúng tham gia. Một số nhóm còn sử dụng tới 3 biến thể mã độc Infostealer, trong khi các nhóm khác thường chỉ dùng 1 biến thể. Theo các nhà nghiên cứu thì tin tặc có thể thuê các mã độc từ các diễn đàn dark web chỉ với 150-200 USD hàng tháng.
Bảo mật yếu kém của các hệ thống mạng dẫn đến sự gia tăng của Infostealer
Các nhà nghiên cứu của Group_IB cho biết với số lượng lớn đến hàng nghìn người tham gia vào các chiêu trò lừa đảo phổ biến Classiscam, đã buộc tin tặc phải sáng tạo ra nhiều phương thức để kiếm tiền trong lĩnh vực này, dẫn tới sự gia tăng và phát triển của mã độc Infostealer. Thêm vào đó, Group_IB đã cho rằng việc bảo mật lỏng lẻo là một trong những nguyên nhân dẫn đến sự gia tăng trong việc phân phối và phát tán Infostealer.
Các nhà nghiên cứu cho biết: “Tin tặc mới bắt đầu không cần phải có kiến thức kỹ thuật nâng cao, vì quy trình này hoàn toàn tự động và nhiệm vụ duy nhất của chúng là tạo một tệp có chức năng đánh cắp thông tin trong bot Telegram và hướng lưu lượng truy cập đến tệp đó. Tuy nhiên, đối với những nạn nhân có máy tính bị nhiễm các dạng mã độc đánh cắp này, hậu quả có thể rất thảm khốc”.
Các tin tặc Nga đã thiết lập hệ thống phân cấp dựa trên mô hình lừa đảo Classiscam. Ví dụ, quy trình điều phối được tự động hóa cao, các bot Telegram tạo ra nội dung độc hại, liên lạc giữa các thành viên và tất cả các hoạt động thu thập thông tin của chúng. Hơn nữa, các biến thể của Infostealer vẫn tiếp tục thực hiện các công việc nhỏ khác như điều hướng lưu lượng đến các nội dung độc hại để phân tán các mã độc sử dụng nhiều kĩ thuật như các bài đăng trên mạng xã hội, video của Youtube và các tệp độc hại. Các quy trình này bao gồm thêm các liên kết độc hại vào các mô tả trên Youtube, giả mạo các vé số trúng thưởng trên mạng xã hội và một số tệp NFT khác nhau để đánh lừa nạn nhân tải Infostealer. Các liên kết này thường hướng nạn nhân đến các trang web giả mạo các thương hiệu nổi tiếng để lấy lòng tin và tăng khả năng tải xuống mã độc.
Một khi đã thành công, tin tặc sẽ bán các thông tin nhạy cảm của nạn nhân trên các diễn đàn dark web để lấy lợi nhuận. Theo đó, Group_IB đã ước tính rằng giá thị trường của các thông tin này khoảng 5.8 triệu USD. Nhóm nghiên cứu Group_IB khuyến khích mọi người nên từ bỏ thói quen lưu mật khẩu trên trình duyệt. Ngoài ra, cần làm “làm sạch” cookie của trình duyệt thường xuyên và tránh tải xuống các phần mềm không rõ nguồn gốc và đáng nghi ngờ.
Tuấn Hưng
(CPO magazine)
16:00 | 28/11/2022
16:00 | 15/11/2022
14:00 | 06/01/2023
13:00 | 09/05/2023
07:00 | 03/04/2023
13:00 | 05/09/2022
16:00 | 25/04/2024
Chiều 24/4, tại Diễn đàn thường niên “Blockchain và AI: Cuộc cách mạng tương lai”, Hiệp hội Blockchain Việt Nam đã chính thức ra mắt Viện Công nghệ Blockchain và Trí tuệ Nhân tạo (ABAII).
09:00 | 01/04/2024
Mới đây, các nhà nghiên cứu của nhóm bảo mật Unit42 tới từ công ty an ninh mạng Palo Alto Networks (Mỹ) cho biết một số nhóm tin tặc APT có liên kết với Trung Quốc đã được quan sát nhắm mục tiêu vào các thực thể và các nước thành viên của Hiệp hội các quốc gia Đông Nam Á (ASEAN), như một phần của chiến dịch gián điệp mạng kéo dài trong ba tháng qua.
08:00 | 29/03/2024
Sáng 26/3, Thủ tướng Chính phủ Phạm Minh Chính gặp mặt và đối thoại với thanh niên nhân dịp kỷ niệm 93 năm Ngày thành lập Đoàn Thanh niên Cộng sản (TNCS) Hồ Chí Minh. Với chủ đề "Phát huy vai trò xung kích của thanh niên trong công cuộc chuyển đổi số quốc gia", tại buổi đối thoại, Thủ tướng Phạm Minh Chính đã trực tiếp trả lời nhiều câu hỏi của thanh niên về chuyển đổi số (CĐS) và an toàn an ninh mạng.
09:00 | 28/03/2024
Trong 02 ngày 26 và 27/3, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ làm Trưởng Đoàn đã đến làm việc với Tỉnh ủy Thái Bình, Quảng Ninh và Thành ủy Hải Phòng về công tác phối hợp, tăng cường triển khai các nhiệm vụ về lĩnh vực cơ yếu, bảo mật và an toàn thông tin.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024