Mã độc tống tiền REvil (hay còn được biết đến với tên gọi Sodinokibi) là trong những chủng ransomware dai dẳng nhất, gây thiệt hại nhiều nhất trong số các loại ransomware từng được ghi nhận tính đến thời điểm hiện tại. Trong suốt vài năm qua REvil luôn góp mặt trong danh sách những chủng ransomware hoạt động tích cực nhất trên internet. Và trong khi các tổ chức an ninh mạng toàn cầu vẫn đang loay hoay tìm phương án ứng phó, thì ở phía đối diện, đội ngũ đứng sau REvil đang rục rịch chuẩn bị thực hiện “thương vụ” đầu tư mở rộng quy mô với giá trị lên tới 1 triệu USD.
Chuyện gì đã xảy ra?
Theo báo cáo của hàng loạt tổ chức an ninh mạng lớn, nhóm hacker đứng sau vận hành ransomware REvil vừa gửi 1 triệu USD (dưới dạng bitcoin) trên một diễn đàn tin tặc nói tiếng Nga nhằm mục đích thu hút thêm các chi nhánh độc hại tiềm năng, phục vụ mục tiêu mở rộng quy mô lây lan mã độc trên toàn cầu, cũng như đáp ứng các hoạt động RaaS (Ransomware-as-a-Service) - một phương thức phân phối mã độc theo quy mô “công nghiệp cực kỳ nguy hiểm - của chúng trong thời gian tới. Việc đầu tư số tiền lớn như vậy là một dấu hiệu rõ ràng cho thấy nhóm REvil đang thực sự nghiêm túc trong kế hoạch mở rộng phạm vi lây nhiễm của mình đến nhiều khu vực hơn, mặc dù trên thực tế chúng vốn là cái tên không lấy gì làm xa lạ với các tổ chức bảo mật toàn cầu.
Theo thông tin cập nhật từ các bài đăng trên diễn đàn hacker, nhóm REvil đang tuyển dụng các chi nhánh mới để phát tán ransomware, đồng thời tìm kiếm những tin tặc có nhiều kinh nghiệm trong kiểm tra thâm nhập và một số kỹ thuật khác. Mức chiết khấu mà nhóm này đang cho áp các chi nhánh chân rết của mình là rất hấp dẫn, lên đến 70% – 80% khoản thanh toán tiền chuộc mà mà nạn nhân chi trả. Đồng nghĩa với việc tin tặc đứng sau phát triển phần mềm tống tiền này chỉ bỏ túi 20% – 30% số tiền chuộc mà các chi nhánh thu về.
Đáng chú ý, các báo cáo cũng cho thấy ransomware này dường như đang thay đổi chiến lược tấn công của mình. Từ trước đến nay, REvil chủ yếu nhắm mục tiêu vào các công ty, nhà sản xuất trong lĩnh vực bán lẻ (đa phần thuộc ngành thực phẩm và đồ uống). Tuy nhiên trong thời gian vài tháng trở lại đây, điều này đã thay đổi.
REvil hiện chuyển hướng nhắm vào một số tổ chức ngân hàng, dịch vụ tài chính và bảo hiểm (BFSI). Bên cạnh đó là các mục tiêu nổi bật khác bao gồm CNTT và dịch vụ doanh nghiệp.
Kỹ thuật tấn công của REvil
Như đã nói, REvil chủ yếu tập trung xây dựng mô hình RaaS của mình để khai thác các lỗ hổng chưa được vá, thông qua đó lan truyền các tệp độc hại. Trong một cuộc tấn công điển hình, tin tặc sẽ gửi các tài liệu Office độc hại vào hệ thống mạng của nạn nhân thông qua lỗ hổng bảo mật hoặc khai thác lỗi từ phía người dùng cuối. Ngoài ra, nhóm này đôi khi cũng thực hiện hành vi đánh cắp dữ liệu từ các thực thể mục tiêu, tương tự như những nhóm ransomware lớn khác.
Những sự đầu tư cũng như đổi mới trong phương thức hoạt động của ransomware REvil là dấu hiệu cảnh báo các cuộc tấn công trong tương lai dự kiến sẽ phức tạp và nguy hiểm hơn nhiều. Do đó, các tổ chức nên chủ động chuẩn bị cho mình bằng cách tuân theo những phương pháp bảo mật tối ưu nhất được đề xuất bởi các chuyên gia, chẳng hạn như sao lưu dữ liệu, vá các ứng dụng đã triển khai và tuân thủ những quy tắc bảo mật cơ bản.