Kể từ năm 2020, BAE Systems Applied Intelligence đã theo dõi sự phát triển và thống trị ngày càng tăng của ransomware trong bối cảnh mối đe dọa. Các tác nhân đe dọa trong không gian này đã áp dụng rộng rãi một kỹ thuật được đặt ra là "tống tiền kép", trong đó dữ liệu bị đánh cắp từ nạn nhân bị lộ trên các trang web bị rò rỉ thường chỉ có thể truy cập được trên Dark Web. Hơn 4,000 tổ chức đã xuất hiện trên hơn 20 trang web rò rỉ Hệ thống BAE Trí tuệ Ứng dụng theo dõi bất kỳ lúc nào, với chỉ hơn 2,700 trong số này được nhìn thấy chỉ tính riêng vào năm 2021.
Hoa Kỳ đã gánh chịu gánh nặng của hoạt động ransomware này, nơi ở của hơn một nửa số nạn nhân ransomware được xác định vào năm 2021; Canada, Anh và Pháp là những quốc gia bị ảnh hưởng nặng nề nhất tiếp theo, mỗi quốc gia chỉ chiếm 5% số nạn nhân được xác định. Các tổ chức công nghiệp và sản xuất đã nhận thấy sự chú ý của riêng họ, với chỉ hơn một phần tư số nạn nhân tham gia vào lĩnh vực này. Các ngành bán lẻ và y tế theo sau với lần lượt là 9% và 6%.
Chống Ransomware
Có một số trường hợp ransomware cấu hình cao vào năm 2021, có lẽ đáng chú ý nhất là tấn công chống lại Colonial Pipeline vào tháng XNUMX. Tại đây, các nhà khai thác ransomware DarkSide yêu cầu thanh toán 75 bitcoin, số tiền tương đương hơn 4 triệu đô la.
Bitcoin đóng vai trò là một hằng số trong phần lớn các trường hợp ransomware BAE Systems Applied Intelligence đã quan sát thấy, cùng với một số trường hợp nổi tiếng khác, chẳng hạn như tấn công chống lại JBS Hoa Kỳ vào tháng XNUMX liên quan đến ransomware REvil, nơi khoản tiền chuộc 11 triệu đô la được trả bằng bitcoin, và khai thác Keseya VSA, nơi đòi hỏi khoản tiền chuộc 70 triệu đô la bitcoin để đổi lấy một bộ giải mã kết hợp cho tất cả khoảng 1,500 tổ chức bị ảnh hưởng.
Trong số những trường hợp này, cuộc tấn công nhằm vào Colonial Pipeline có lẽ là thú vị nhất, và không chỉ vì nó khiến công ty, nơi cung cấp 45% nhiên liệu cho Bờ Đông của Mỹ, phải ngừng hoạt động trong một thời gian. Khoảng một tháng sau khi công ty trả tiền cho những kẻ tấn công, Bộ Tư pháp Hoa Kỳ đã công bố nó đã thu hồi khoảng 85% trong tổng số 75 bitcoin được trả bằng tiền chuộc.
Với vụ bắt giữ này, cho thấy rằng Bitcoin có lẽ không phải là dạng tiền tệ không thể sai lầm, không thể theo dõi mà đôi khi nó được cho là có mục đích, BAE Systems Applied Intelligence đã dự đoán rằng năm 2022 sẽ chứng kiến các tác nhân đe dọa bắt đầu rời xa nó và chuyển sang các loại tiền điện tử khác, chẳng hạn như Monero, nơi mà việc truy tìm khó khăn hơn nhiều. Các nhà khai thác của một dòng ransomware cụ thể, Grief, được cho là sẽ đi theo xu hướng này vào năm 2021, với nhật ký trò chuyện cho thấy sự ưa thích của họ đối với Monero bằng cách giảm giá so với số tiền được yêu cầu bằng bitcoin.
Việc thu hồi tiền chỉ là một trường hợp hành động thực thi pháp luật được thực hiện chống lại các nhóm ransomware trong vài năm qua, với các cá nhân có liên quan đến các biến thể ransomware lớn như Trả lời, bộp bộp, Egregor, gandcrab, và nhiều hơn nữa bị bắt. Phần thú vị nhất của hành động thực thi pháp luật gần đây được thực hiện bởi Cơ quan An ninh Liên bang Nga (FSB) chống lại các nhà khai thác phần mềm ransomware REvil, có khả năng thể hiện sự thay đổi trong lập trường của Nga khi phủ nhận rằng các nhà khai thác ransomware đã được phép lưu trú an toàn trong nước, thay vào đó chuyển sang hỗ trợ Mỹ sau cuộc hội đàm với chủ tịch của nó vào năm 2021.
Nhìn về tương lai
Với sự thống trị của ransomware trong bối cảnh mối đe dọa tội phạm, câu hỏi về bối cảnh đó sẽ như thế nào trong tương lai là một câu hỏi thú vị.
Vào năm 2021, BAE Systems Applied Intelligence đã quan sát thấy một xu hướng cho thấy rằng doanh thu trung bình của các tổ chức bị xâm phạm đã bắt đầu giảm xuống, với một xu hướng khác cho thấy tỷ lệ các tổ chức có trụ sở tại Hoa Kỳ bị xâm phạm cũng đang giảm. Trong khi điều thứ hai dường như đã chững lại một lần nữa, sự sụt giảm doanh thu trung bình của các tổ chức bị xâm phạm dường như đang tiếp tục.
Có thể có một số lý do cơ bản cho những xu hướng này. Do nhiều tổ chức nổi tiếng của Hoa Kỳ bị xâm phạm gần đây và dẫn đến sự chú ý của cơ quan thực thi pháp luật, các nhà khai thác ransomware có thể chọn những tổ chức sẽ thu hút ít sự chú ý về địa lý và chính trị hơn, và những người có thể có tình hình bảo mật kém hơn do quy mô của họ .
Cấm thanh toán ransomware là một trong nhiều cách để có khả năng chống lại vấn đề ransomware, và nếu được thực hiện đúng cách, có thể có tác động đáng kể. Tuy nhiên, điều này sẽ đòi hỏi sự phối hợp cẩn thận với cơ quan thực thi pháp luật, ngành bảo hiểm và các bên liên quan khác, và không nên làm mất giá trị của các sáng kiến nhằm cải thiện các biện pháp bảo mật của tổ chức.
Ransomware tiếp tục là một mối đe dọa lớn đối với các tổ chức trên toàn cầu, một thực tế được nhấn mạnh bởi nghiên cứu của BAE Systems Applied Intelligence, và một thực tế mà chúng tôi không tin là sẽ thay đổi trong tương lai gần.
Lưu ý
Dan Alexander là Trưởng bộ phận Tình báo Đe doạ tại Hệ thống Trí tuệ Ứng dụng BAE, nơi anh lãnh đạo một nhóm tình báo phân tán trên toàn cầu, cung cấp những hiểu biết độc đáo về bối cảnh mối đe dọa. Nhóm của ông chuyên theo dõi và báo cáo về các nhóm mối đe dọa cấp cao nhất mà hệ thống phòng thủ mạng truyền thống bỏ sót. Dan cũng dẫn đầu các dịch vụ Tư vấn về Mối đe dọa Hệ thống BAE, cung cấp thành phần thông tin tình báo về mối đe dọa của các bài kiểm tra thâm nhập do tình báo dẫn đầu.
