FBI đang gióng lên hồi chuông cảnh báo về các cuộc tấn công do Playcryptt, một băng nhóm tin tặc chuyên về phần mềm tống tiền, thực hiện. Nhóm này, còn được gọi là Play, xuất hiện vào năm 2022 và đã nhắm mục tiêu vào "nhiều doanh nghiệp và cơ sở hạ tầng quan trọng ở Bắc Mỹ, Nam Mỹ và Châu Âu", theo cảnh sát liên bang Hoa Kỳ.
Để lấy lại quyền truy cập vào dữ liệu, công ty phải trả tiền chuộc. Đồng thời, những kẻ tấn công đe dọa sẽ công bố hoặc xóa dữ liệu bị đánh cắp nếu tiền chuộc không được trả đúng hạn. Chiến lược này tối đa hóa cơ hội lấy được tiền từ nạn nhân. Nó cũng cho phép chúng duy trì đòn bẩy đối với các công ty đã sao lưu dữ liệu của chúng.
Để không bị phát hiện, băng nhóm này sử dụng phần mềm độc hại, mã của phần mềm này được sửa đổi trong mỗi lần xâm nhập. Biện pháp phòng ngừa này làm phức tạp đáng kể công việc của các hệ thống chống vi-rút và bảo mật, vốn gặp khó khăn trong việc nhận dạng các biến thể mới của phần mềm độc hại. Để lây nhiễm hệ thống, Playcrypt sử dụng các công cụ như Cobalt Strike. Băng nhóm này cũng khai thác một số lỗ hổng SimpleHelp trong các cuộc tấn công của mình. Bằng cách hack phần mềm hỗ trợ từ xa, tin tặc đã xâm nhập vào máy tính. Các nạn nhân của phần mềm tống tiền Play bao gồm công ty điện toán đám mây Rackspace, các thành phố Dallas, Oakland và Antwerp, đại lý ô tô Arnold Clark, chuỗi cửa hàng bánh rán Krispy Kreme và nhà sản xuất chip Microchip Technology của Hoa Kỳ. FBI khuyến cáo các doanh nghiệp nên cập nhật hệ thống của mình, bật xác thực hai yếu tố và duy trì sao lưu dữ liệu ngoại tuyến.
Nếu bạn thấy mình đang trong tầm ngắm của một kẻ tống tiền chuyên nghiệp, đừng trả tiền chuộc. Trong nhiều trường hợp, tin tặc vẫn chia sẻ dữ liệu bị đánh cắp với những tin tặc khác, ngay cả sau khi đã thanh toán. Một nghiên cứu của Cybereason cho thấy chỉ có một trong hai nạn nhân thực sự khôi phục được tệp của họ bằng cách đàm phán với tội phạm. Tệ hơn nữa, các doanh nghiệp tuân thủ yêu cầu này có khả năng sẽ lại bị phần mềm tống tiền tấn công trong tương lai. Tội phạm mạng có xu hướng quay lại với những người đã từng hợp tác trong quá khứ.
Nguồn: CISA.gov
Một băng nhóm chuyên tống tiền kép
Với nhiều cuộc tấn công mạng, Playcrypt đã khẳng định mình là "một trong những nhóm phần mềm tống tiền hoạt động tích cực nhất năm 2024".. Giống như hầu hết các băng nhóm khác, Play thực hiện tống tiền kép. Sau khi đánh cắp dữ liệu của công ty, tin tặc triển khai phần mềm tống tiền của chúng trên hệ thống. Phần mềm này mã hóa các tệp, khiến chúng không thể truy cập được.Để lấy lại quyền truy cập vào dữ liệu, công ty phải trả tiền chuộc. Đồng thời, những kẻ tấn công đe dọa sẽ công bố hoặc xóa dữ liệu bị đánh cắp nếu tiền chuộc không được trả đúng hạn. Chiến lược này tối đa hóa cơ hội lấy được tiền từ nạn nhân. Nó cũng cho phép chúng duy trì đòn bẩy đối với các công ty đã sao lưu dữ liệu của chúng.
Playcrypt thực hiện hơn 900 cuộc tấn công mạng
Gần đây, băng nhóm tội phạm đã chuyển hướng. FBI đã ghi nhận hơn 900 vụ xâm nhập do Playcrypt thực hiện. Con số này gấp ba lần so với tháng 10 năm 2023, khi FBI lần đầu tiên đưa ra cảnh báo về nhóm tin tặc này. Số vụ tấn công thực tế có thể cao hơn. Không phải tất cả nạn nhân đều bận tâm liên hệ với chính quyền.Để không bị phát hiện, băng nhóm này sử dụng phần mềm độc hại, mã của phần mềm này được sửa đổi trong mỗi lần xâm nhập. Biện pháp phòng ngừa này làm phức tạp đáng kể công việc của các hệ thống chống vi-rút và bảo mật, vốn gặp khó khăn trong việc nhận dạng các biến thể mới của phần mềm độc hại. Để lây nhiễm hệ thống, Playcrypt sử dụng các công cụ như Cobalt Strike. Băng nhóm này cũng khai thác một số lỗ hổng SimpleHelp trong các cuộc tấn công của mình. Bằng cách hack phần mềm hỗ trợ từ xa, tin tặc đã xâm nhập vào máy tính. Các nạn nhân của phần mềm tống tiền Play bao gồm công ty điện toán đám mây Rackspace, các thành phố Dallas, Oakland và Antwerp, đại lý ô tô Arnold Clark, chuỗi cửa hàng bánh rán Krispy Kreme và nhà sản xuất chip Microchip Technology của Hoa Kỳ. FBI khuyến cáo các doanh nghiệp nên cập nhật hệ thống của mình, bật xác thực hai yếu tố và duy trì sao lưu dữ liệu ngoại tuyến.
Nếu bạn thấy mình đang trong tầm ngắm của một kẻ tống tiền chuyên nghiệp, đừng trả tiền chuộc. Trong nhiều trường hợp, tin tặc vẫn chia sẻ dữ liệu bị đánh cắp với những tin tặc khác, ngay cả sau khi đã thanh toán. Một nghiên cứu của Cybereason cho thấy chỉ có một trong hai nạn nhân thực sự khôi phục được tệp của họ bằng cách đàm phán với tội phạm. Tệ hơn nữa, các doanh nghiệp tuân thủ yêu cầu này có khả năng sẽ lại bị phần mềm tống tiền tấn công trong tương lai. Tội phạm mạng có xu hướng quay lại với những người đã từng hợp tác trong quá khứ.
Nguồn: CISA.gov
