Hoa Kỳ vừa phá hủy cơ sở hạ tầng trực tuyến của Danabot, một phần mềm độc hại đáng sợ được lập trình để đánh cắp dữ liệu của nạn nhân. Trước khi cơ sở hạ tầng bị sụp đổ, loại virus này đã xâm nhập vào 300.000 máy tính trên toàn thế giới. Nó đã gây ra thiệt hại 50 triệu đô la kể từ khi được tạo ra.
Sau khi tịch thu cơ sở hạ tầng, Bộ Tư pháp Hoa Kỳ đã truy tố 16 người bị cáo buộc phát triển và triển khai DanaBot. Người ta tin rằng loại virus này được phát triển bởi một tổ chức tội phạm mạng có trụ sở tại Nga. Tất cả những người bị tính phí đều được miễn phí. Trên thực tế, những địa điểm này nằm trên đất Nga. Những tên cướp biển này không phải đối mặt với việc bị dẫn độ sang Hoa Kỳ. Moscow thực sự đang tỏ ra tự mãn trước tội phạm mạng. Josh Hopkins, một nhà nghiên cứu tại Cymru, người tham gia vào cuộc điều tra ở Washington, cho biết tin tặc Danabot đã "hành động với sự chấp thuận của chính phủ và có khả năng nằm dưới sự giám sát của các cơ quan tình báo." Theo Selena Larson, một nhà nghiên cứu an ninh mạng tại Proofpoint, có khả năng các cuộc tấn công của cơ quan thực thi pháp luật cuối cùng có thể thuyết phục được tin tặc từ bỏ thế giới ngầm tội phạm. Các hoạt động triệt phá gây ra "chi phí cho những kẻ đe dọa bằng cách buộc chúng phải thay đổi chiến thuật, tạo ra sự ngờ vực trong hệ sinh thái tội phạm và có khả năng khiến tội phạm cân nhắc tìm kiếm một nghề nghiệp khác.".
Theo các chuyên gia tại CrowdStrike, DanaBot ban đầu nhắm mục tiêu vào các máy tính ở Ukraine, Ba Lan, Ý, Đức, Áo và Úc. Virus này nhanh chóng chuyển hướng sang các mục tiêu ở Hoa Kỳ và Canada, chẳng hạn như các tổ chức tài chính.
Theo hệ thống tư pháp Hoa Kỳ, tất cả các máy tính bị hack đều là một phần của mạng botnet khổng lồ, tức là một mạng lưới các thiết bị bị nhiễm virus. Danabot được cung cấp theo mô hình “Phần mềm độc hại dưới dạng dịch vụ” (MaaS). Thông qua đăng ký, bất kỳ tin tặc nào cũng có thể sử dụng Danabot để thực hiện các hoạt động của mình. Phí đăng ký hàng tháng là vài ngàn đô la. Danabot đã bị tội phạm mạng chuyên tấn công bằng phần mềm tống tiền khai thác. Để lây lan, virus ẩn trong các email lừa đảo có tệp đính kèm độc hại hoặc liên kết có bẫy.
Trên thực tế, có hai phiên bản của Danabot. Một phiên bản cho thuê dành cho những tin tặc muốn kiếm tiền, và một phiên bản dành riêng cho hoạt động gián điệp, dành cho những nhu cầu cụ thể. Bộ Tư pháp Hoa Kỳ cho biết, phương pháp này được sử dụng để tiến hành các hoạt động gián điệp chống lại "các thực thể quân sự, ngoại giao và chính phủ nhạy cảm".
Sự sụp đổ của Danabot là đòn giáng mới vào hệ sinh thái tội phạm, vốn đã bị đánh dấu bởi sự sụp đổ của các loại virus khác được tin tặc sử dụng rộng rãi. Vài ngày trước, Hệ thống Tư pháp Hoa Kỳ, Europol và Trung tâm Kiểm soát Tội phạm Mạng Nhật Bản, chẳng hạn, đã đóng cửa Lumma Stealer, một loại vi-rút khác chuyên trích xuất dữ liệu.
Nguồn: Justice.gov
Sự tiếp tục của Chiến dịch Endgame
Việc phá hủy Danabot là kết quả trực tiếp của Chiến dịch Endgame, được Europol khởi xướng vào tháng 5 năm ngoái. Được coi là "chiến dịch lớn nhất từ trước đến nay", nó đã tiêu diệt được nhiều loại virus nguy hiểm và lây lan rộng rãi như IcedID, SystemBC, Pikabot và Smokeloader. Gần đây hơn, hoạt động này cũng đã tiêu diệt được sáu chương trình phần mềm độc hại khác, cụ thể là Bumblebee, Lactrodectus, Qakbot, DanaBot, Trickbot và Warmcookie. Để hạ bệ Danabot, hệ thống tư pháp Hoa Kỳ đã hợp tác với một số gã khổng lồ về công nghệ và an ninh mạng, bao gồm Google, Amazon, Intel, ESET, Crowdstrike và Proofpoint.Sau khi tịch thu cơ sở hạ tầng, Bộ Tư pháp Hoa Kỳ đã truy tố 16 người bị cáo buộc phát triển và triển khai DanaBot. Người ta tin rằng loại virus này được phát triển bởi một tổ chức tội phạm mạng có trụ sở tại Nga. Tất cả những người bị tính phí đều được miễn phí. Trên thực tế, những địa điểm này nằm trên đất Nga. Những tên cướp biển này không phải đối mặt với việc bị dẫn độ sang Hoa Kỳ. Moscow thực sự đang tỏ ra tự mãn trước tội phạm mạng. Josh Hopkins, một nhà nghiên cứu tại Cymru, người tham gia vào cuộc điều tra ở Washington, cho biết tin tặc Danabot đã "hành động với sự chấp thuận của chính phủ và có khả năng nằm dưới sự giám sát của các cơ quan tình báo." Theo Selena Larson, một nhà nghiên cứu an ninh mạng tại Proofpoint, có khả năng các cuộc tấn công của cơ quan thực thi pháp luật cuối cùng có thể thuyết phục được tin tặc từ bỏ thế giới ngầm tội phạm. Các hoạt động triệt phá gây ra "chi phí cho những kẻ đe dọa bằng cách buộc chúng phải thay đổi chiến thuật, tạo ra sự ngờ vực trong hệ sinh thái tội phạm và có khả năng khiến tội phạm cân nhắc tìm kiếm một nghề nghiệp khác.".
Danabot có khả năng gì?
Ra đời vào năm 2018, Danabot chuyên về trộm cắp dữ liệu. Một khi hệ thống bị xâm nhập, nó có khả năng dàn dựng việc đánh cắp dữ liệu nhạy cảm, bao gồm thông tin đăng nhập hoặc mật khẩu, phát tán các loại vi-rút khác và thực hiện gian lận tài chính. Virus này thực sự có khả năng đánh cắp thông tin ngân hàng hoặc khóa riêng được liên kết với ví tiền điện tử. Cuối cùng, phần mềm độc hại đã có thể quay phim người dùng máy tính bị nhiễm và theo dõi mọi từ được gõ trên bàn phím.Theo các chuyên gia tại CrowdStrike, DanaBot ban đầu nhắm mục tiêu vào các máy tính ở Ukraine, Ba Lan, Ý, Đức, Áo và Úc. Virus này nhanh chóng chuyển hướng sang các mục tiêu ở Hoa Kỳ và Canada, chẳng hạn như các tổ chức tài chính.
Theo hệ thống tư pháp Hoa Kỳ, tất cả các máy tính bị hack đều là một phần của mạng botnet khổng lồ, tức là một mạng lưới các thiết bị bị nhiễm virus. Danabot được cung cấp theo mô hình “Phần mềm độc hại dưới dạng dịch vụ” (MaaS). Thông qua đăng ký, bất kỳ tin tặc nào cũng có thể sử dụng Danabot để thực hiện các hoạt động của mình. Phí đăng ký hàng tháng là vài ngàn đô la. Danabot đã bị tội phạm mạng chuyên tấn công bằng phần mềm tống tiền khai thác. Để lây lan, virus ẩn trong các email lừa đảo có tệp đính kèm độc hại hoặc liên kết có bẫy.
Trên thực tế, có hai phiên bản của Danabot. Một phiên bản cho thuê dành cho những tin tặc muốn kiếm tiền, và một phiên bản dành riêng cho hoạt động gián điệp, dành cho những nhu cầu cụ thể. Bộ Tư pháp Hoa Kỳ cho biết, phương pháp này được sử dụng để tiến hành các hoạt động gián điệp chống lại "các thực thể quân sự, ngoại giao và chính phủ nhạy cảm".
Sự sụp đổ của Danabot là đòn giáng mới vào hệ sinh thái tội phạm, vốn đã bị đánh dấu bởi sự sụp đổ của các loại virus khác được tin tặc sử dụng rộng rãi. Vài ngày trước, Hệ thống Tư pháp Hoa Kỳ, Europol và Trung tâm Kiểm soát Tội phạm Mạng Nhật Bản, chẳng hạn, đã đóng cửa Lumma Stealer, một loại vi-rút khác chuyên trích xuất dữ liệu.
Nguồn: Justice.gov
