Nhức nhối nhóm hacker khét tiếng ở Nga: Mỹ treo thưởng 10 triệu đô tìm "kẻ cầm đầu"

Conti, một tổ chức ransomware hàng đầu có quan hệ chặt chẽ với Nga, có khả năng chịu trách nhiệm cho các cuộc tấn công mạng, kiếm được khoảng 77 triệu USD trong 21 tháng qua, một phân tích của Nikkei cho thấy.

Nhóm nhanh chóng chuyển tiền thông qua một mạng lưới phức tạp gồm hàng trăm tài khoản ví kỹ thuật số để tránh bị bắt. Tổ chức này thậm chí còn thuê một đội để xử lý các vấn đề quan hệ công chúng và nhân sự, giống như một tập đoàn lớn.

Nhóm này là một thế lực lớn trong thế giới ngầm của tội phạm mạng. Theo nền tảng phân tích DarkTracer của Singapore, trong số tất cả các công ty đã công khai là nạn nhân của nhóm tống tiền Conti, khoảng 20% hoặc 824 doanh nghiệp đã bị Conti tấn công. Chính phủ Mỹ gần đây đã đưa ra một khoản tiền thưởng lên tới 10 triệu đô la cho ai có thông tin nhận dạng và vị trí của các nhà lãnh đạo của nhóm Conti.

Khi Conti đưa ra tuyên bố vào tháng 2 ủng hộ việc Nga tấn công Ukraine, các thành viên ủng hộ chính phủ Kyiv đã trả đũa bằng cách rò rỉ nhật ký trò chuyện nội bộ của nhóm này. Dữ liệu bị rò rỉ kéo dài trong khoảng thời gian từ tháng 6 năm 2020 đến tháng 3 năm nay, chứa khoảng 170.000 tin nhắn được viết hoàn toàn bằng tiếng Nga sử dụng 1,18 triệu ký tự.

Tờ Nikkei xem xét nhật ký trò chuyện cùng với Takashi Yoshikawa, nhà phân tích phần mềm độc hại cấp cao tại Mitsui Bussan Secure Directions, một công ty an ninh mạng có trụ sở tại Tokyo. Nội dung đã cung cấp một cái nhìn hậu trường về các hoạt động tội phạm của Conti.

"Các cuộc trò chuyện có vẻ là xác thực", Yoshikawa nói, lưu ý rằng nhật ký trò chuyện tiết lộ các trao đổi hậu trường về các cuộc tấn công cụ thể, và mã nguồn virus được sử dụng cho các cuộc tấn công mạng của nhóm cũng bị rò rỉ đồng thời.

Tinh vi hơn, Conti có 645 tài khoản ví kỹ thuật số chứa tổng cộng 2.321 bitcoin, khiến chúng trị giá hơn 90 triệu đô la vào thời điểm nhật ký trò chuyện bị rò rỉ. Khi tính toán đến sự chồng chéo và các yếu tố khác, kết quả ban đầu cho thấy Conti đã nắm giữ ít nhất 1.953 bitcoin - hoặc hơn 77 triệu đô la - dưới hình thức thanh toán tiền chuộc hoặc được chuyển khoản từ các bên nạn nhân bên ngoài.

Ví kỹ thuật số có nhiều khoản tiền gửi nhất đã nhận được khoảng 23 triệu đô la từ tháng 9 đến tháng 11 năm 2020 trong quá trình chuyển nhiều lần, mỗi lần chuyển đến gần 8 triệu đô la. Các khoản tiền đó sau đó đã được giải ngân vào nhiều ví kỹ thuật số khác.

Yoshikawa cho biết: "Các khoản tiền đã được chuyển trong một khoảng thời gian ngắn để ngăn chặn các nhà điều tra truy tìm các khoản thanh toán tiền chuộc, với mục đích chuyển tài sản thành tiền mặt tại các sàn giao dịch hoặc trên dark web".

Các cuộc trò chuyện bao gồm khoảng 350 người tham gia. Trong số đó, 35 thành viên chủ chốt của nhóm đã đăng hơn 1.000 tin nhắn riêng lẻ. Đồng thời, 30% người tham gia đã đăng 100 tin nhắn trở xuống.

Nhóm Conti đã luân chuyển chiêu mộ qua hàng trăm thành viên tích cực thành thạo về lập trình và các kỹ năng khác. Trong một số trường hợp, các thành viên trên diễn đàn dường như không biết rằng họ đang tham gia vào các hoạt động tội phạm mạng. Conti cũng đã thành lập một doanh nghiệp ngầm cung cấp tiền bồi dưỡng đào tạo các bộ kỹ năng giúp nhóm thực hiện các cuộc tấn công mạng.

Một số tin nhắn trò chuyện gợi ý liên kết đến Cơ quan An ninh Liên bang Nga. Nhiều người lo ngại Conti sẽ tăng cường các hoạt động nếu Nga gặp thêm khó khăn về kinh tế dưới các lệnh trừng phạt của các quốc gia phương Tây.

Các hành động của Conti kể từ năm 2020 chỉ là phần nổi của tảng băng chìm khi nói đến quy mô hầu như vô số của tội phạm mạng. Chỉ riêng các cuộc tấn công ransomware đã tăng gấp đôi trong năm ngoái lên khoảng 623 triệu trường hợp trên toàn cầu, theo công ty an ninh mạng SonicWall của Mỹ. Trong những tháng gần đây, Toyota Motor đã phải hứng chịu một cuộc tấn công khiến chuỗi cung ứng của họ bị tạm dừng trong một thời gian ngắn.

Theo ước tính của Check Point Software Technologies, một công ty an ninh mạng người Mỹ gốc Israel, thiệt hại về tài chính liên quan đến việc ngừng hoạt động hệ thống do ransomware gây ra, phát sinh cùng với phí luật sư và các chi phí khác. Trong đó, các nhà điều tra không thể bắt kịp với tội phạm mạng, có khả năng tạo điều kiện cho các tổ chức lớn như Conti phát triển mạnh mẽ.

Gần đây, vào ngày 12/5, Nhóm đe dọa Conti ransomware đã và đang gây ra một cuộc khủng hoảng quốc gia ở Costa Rica, nơi các cơ quan chính phủ đang bị tấn công bởi các cuộc tấn công mạng không ngừng. Các cuộc tấn công này, liên tục từ tháng 4, đã ảnh hưởng nghiêm trọng đến Bộ Tài chính, Quỹ An sinh Xã hội Costa Rica, Bộ Khoa học, Đổi mới, Công nghệ và Viễn thông và các tổ chức chính phủ khác. Kho bạc Costa Rica báo cáo rằng, các dịch vụ kỹ thuật số của họ đã ngừng hoạt động, làm gián đoạn hàng loạt công việc liên quan đến chữ ký điện tử, và một số thủ tục của chính phủ. Bộ Tài chính, bị ảnh hưởng đặc biệt bởi nhóm đe dọa, vẫn đang xác định mức độ thiệt hại do các cuộc tấn công mạng của họ gây ra.

Những kẻ đe dọa Conti đòi Bộ Tài chính 10 triệu USD tiền chuộc, nhưng cơ quan này từ chối trả. Nhóm đe dọa nhanh chóng trả đũa bằng cách công bố hàng trăm gigabyte dữ liệu bị đánh cắp của chính phủ lên trang web rò rỉ của họ. Sau đó, nhóm dữ liệu này hứa hẹn sẽ tiến hành các cuộc tấn công ở "một  hình thức nghiêm trọng hơn. Tình hình trở nên nghiêm trọng đến mức Tổng thống Costa Rica, Rodrigo Chaves, đã ban bố tình trạng khẩn cấp trên toàn quốc để đối phó với các cuộc tấn công.

Nhìn vào bức tranh lớn hơn, các cuộc tấn công chống lại Costa Rica phù hợp với một xu hướng lớn hơn cho thấy, hoạt động của nhóm mối đe dọa Conti đang gia tăng. Trang web của nhóm cho thấy trung bình mỗi tháng họ đang tấn công nhiều mục tiêu hơn so với năm trước.