Trong những năm qua, Nga và một hệ sinh thái của những người nói tiếng Nga là trung tâm của tất cả các loại tấn công mạng, tấn công quốc gia-nhà nước và chiến tranh mạng. Đó là một tội phạm ngầm không ngừng phát triển và chuyển dịch.
Jeremy Kennelly, quản lý cấp cao và nhà phân tích chính tại Mandiant cho biết: “Nhiều tác nhân có liên quan từng tập trung nhiều vào các chiến dịch nhắm mục tiêu thông tin đăng nhập ngân hàng và tạo ra các giao dịch và chuyển khoản tài chính gian lận, cuối cùng chuyển sang gian lận thẻ thanh toán và sử dụng phần mềm độc hại PoS,” Jeremy Kennelly, quản lý cấp cao và nhà phân tích chính tại Mandiant cho biết.
Gần đây hơn, các chiến dịch ransomware là phương pháp tấn công được các nhóm tội phạm mạng nói tiếng Nga lựa chọn. Lý do rất đơn giản: Phần mềm ransomware và các hoạt động đánh cắp dữ liệu / tống tiền đều thành công trong mọi ngành dọc. Trước đây, các cơ hội tài chính tốt nhất cho tội phạm mạng được tìm thấy trong các hệ thống điểm bán hàng (PoS), hệ thống này giới hạn mục tiêu đối với những ngành dựa vào giao dịch thẻ tín dụng, theo Kennelly. Ransomware mở rộng tầm nhìn, ví dụ như nó có thể được sử dụng trong giáo dục, chăm sóc sức khỏe và sản xuất.
Người đánh dấu sự thống nhất của tội phạm mạng Nga
So với bối cảnh tội phạm mạng nói tiếng Anh, bối cảnh tội phạm mạng nói tiếng Nga đã ổn định đáng kể trong hơn một thập kỷ qua. Tội phạm mạng nói tiếng Anh có xu hướng hỗn loạn, với các trang web và vòng tội phạm xuất hiện, sau đó biến mất và quay trở lại. Mặt khác, các nhóm tội phạm mạng nói tiếng Nga được thành lập vào đầu thế kỷ 21 tiếp tục phát triển mạnh, sử dụng liên tục các diễn đàn và trang web phổ biến.
Tuy nhiên, có thể có một vết nứt hình thành trong dinh thự tội phạm mạng của Nga. Năm ngoái, đã chứng kiến một số xích mích bất thường giữa các tổ chức tội phạm mạng trong môi trường nói tiếng Nga, phần lớn trong số đó có thể là do hoạt động thực thi pháp luật gia tăng, đặc biệt là giữa các quan chức Nga và Mỹ. Các vết nứt trở nên rõ ràng khi nhìn vào Các cuộc tấn công đường ống thuộc địa, được tiến hành bởi nhóm ransomware DarkSide, được cho là do các cộng sự cũ của nhóm REvil tạo ra.
“Nga từ lâu đã được coi là nơi trú ẩn tương đối an toàn cho tội phạm mạng hoạt động, miễn là chúng không nhắm mục tiêu vào các thực thể của Nga. Hoạt động của FSB (Dịch vụ An ninh Liên bang) thách thức quan điểm này. Trên thực tế, có thể các nhóm ransomware sung mãn có thể cảm thấy buộc phải thu hẹp quy mô hoạt động của họ để tránh sự giận dữ của FSB, ”Nhóm nghiên cứu Photon tại cửa hàng bảo vệ rủi ro kỹ thuật số Digital Shadows báo cáo. “Các cuộc tấn công vào các thành viên REvil chứng tỏ rằng bất kỳ mối quan hệ nào giữa tội phạm mạng và nhà nước Nga đều mang tính phiến diện hơn một số tội phạm mạng có thể nghĩ”.
Theo Nhóm nghiên cứu Photon, một bước phát triển lớn khác vào năm 2021 là thay đổi thái độ đối với các chương trình hợp tác ransomware trên một số diễn đàn tội phạm mạng bằng tiếng Nga nổi tiếng. Chứng hoang tưởng tăng lên sau cuộc tấn công Colonial Pipeline, được điều phối bởi các thành viên của nhóm ransomware REvil và DarkSide. Nhóm nghiên cứu Photon tuyên bố các cuộc đàn áp của cơ quan thực thi pháp luật đã gây áp lực buộc các nhà lãnh đạo diễn đàn tội phạm mạng hạn chế các hoạt động liên quan đến ransomware.
Mối quan hệ Trung-Nga ấm lên
Với những thay đổi trong các chương trình đối tác ransomware, một diễn đàn ransomware chống tội phạm mạng mới bằng tiếng Nga đã được tạo ra - Khu chợ Ransom Anon, được gọi là RAMP (không nên nhầm lẫn với thị trường thuốc có tên tương tự). Vai trò của nó là cung cấp ransomware-as-a-service cho khách hàng của mình, nhưng sau khi người tạo ban đầu của diễn đàn rời đi, RAMP đã có một cuộc sống mới, biến nó thành một thu thập không gian cho tội phạm mạng nói tiếng Trung để cộng tác với những người nói tiếng Nga.
Andrew Barratt, phó chủ tịch công nghệ và doanh nghiệp tại công ty tư vấn an ninh mạng Coalfire giải thích: “Tội phạm mạng thường có tính chất toàn cầu, được phát động từ khắp nơi trên thế giới bởi các nhóm ít quan tâm đến các rào cản địa lý và nhiều hơn nữa với các kết quả tiền tệ”. Các đặc vụ tội phạm Nga quan tâm hơn đến các mục tiêu tài chính cuối cùng của họ và điều đó có thể có nghĩa là làm việc trong quan hệ đối tác với các nhóm tội phạm mạng khác để đạt được kết quả mong muốn. Và các quốc gia khác muốn làm việc với Nga vì tội phạm nói tiếng Nga trong lịch sử đã reo rắc có sự hỗ trợ và bảo vệ từ Điện Kremlin.
Hầu như tất cả tội phạm mạng đều có một mục tiêu: phần thưởng tài chính.
Casey Ellis, người sáng lập và Giám đốc công nghệ tại công ty bảo mật CNTT Bugcrowd cho biết: “Tội phạm mạng xuất phát từ Nga và Đông Âu không phải là ngoại lệ đối với quy tắc rằng các mô hình kinh doanh thành công nhìn thấy chủ sở hữu của chúng tăng gấp đôi thành công và tái đầu tư thu nhập để tiếp tục đổi mới và nâng cao hiệu quả”.
Với việc thay đổi thương hiệu của các nhóm ransomware, các nhóm tội phạm nói tiếng Nga đã chuyển sang làm việc hợp tác hơn với các nhóm khác được khu vực hoặc quốc gia bảo trợ. Sau chiến dịch đàn áp của chính phủ Nga, các tác nhân đe dọa nói tiếng Nga cũng có thể cân nhắc chuyển đến Trung Quốc, nơi ít lo sợ bị chính phủ trừng phạt hơn. Nếu tội phạm mạng nói tiếng Nga và tiếng Trung hợp lực, nó có thể tạo ra một siêu cường mới, Adam Segal của tổ chức phi lợi nhuận Hội đồng Quan hệ Đối ngoại của Mỹ suy đoán.
Nhưng điều đó vẫn chưa xảy ra. Tội phạm dựa trên phần mềm tống tiền vẫn là nơi mà hệ sinh thái tội phạm mạng thành công nhất và nó có thể sẽ tiếp tục như vậy trong ít nhất là trong tương lai gần. Tuy nhiên, do tội phạm mạng nói tiếng Nga rất tinh vi nên chúng luôn phát triển. Các tổ chức và chính phủ trên toàn thế giới phải luôn cảnh giác, chuẩn bị cho những động thái tiếp theo.
