Triệt phá nhóm ransomware khét tiếng Dispossessor – tác nhân gây ra hàng loạt vụ tấn công mạng trên toàn cầu

Cục Điều tra Liên bang Mỹ (FBI) mới đây đã thông báo rằng họ đã thu giữ các máy chủ và trang web của tổ chức ransomware Radar/Dispossessor sau một cuộc điều tra quốc tế chung. Đây là một trong những nhóm ransomware khét tiếng đã gây ra hàng loạt những vụ tấn công trên phạm vi toàn cầu thời gian gần đây.

Cơ quan thực thi pháp luật đã tịch thu 3 máy chủ tại Mỹ, 3 máy chủ tại Vương quốc Anh, 18 máy chủ tại Đức, 8 tên miền tại Mỹ và một tên miền tại Đức, thông tin trên vừa được FBI công bố.

Theo FBI, kể từ tháng 8/2023, Dispossessor - do một tác nhân đe dọa có tên là Brain cầm đầu - đã nhắm mục tiêu vào các doanh nghiệp vừa và nhỏ trong nhiều lĩnh vực khác nhau trên toàn thế giới. Nhóm này tuyên bố đã tấn công hàng chục công ty từ Mỹ, Argentina, Úc, Bỉ, Brazil, Honduras, Ấn Độ, Canada, Croatia, Peru, Ba Lan, Vương quốc Anh, Các Tiểu vương quốc Ả Rập Thống nhất và Đức. FBI xác định, có khoảng 43 tổ chức, doanh nghiệp là nạn nhân của nhóm ransomeware này, không loại trừ khả năng còn rất nhiều công ty, tổ chức tại các quốc gia khác đã bị âm thầm tấn công nhưng không hề hay biết.

fbi-triet-pha-ransomware-1723565068.jpg

FBI vừa triệt phá nhóm ransomware khét tiếng Dispossessor – tác nhân gây ra hàng loạt vụ tấn công lớn phạm vi toàn cầu.

Các chuyên gia an ninh mạng cũng cho hay, nhóm ransomware này dường như cũng đã nhắm mục tiêu vào các bệnh viện.

FBI cho biết, nhóm ransomware xâm nhập mạng thông qua các lỗ hổng, mật khẩu yếu và thiếu xác thực đa yếu tố được cấu hình trên tài khoản. Sau khi truy cập vào mạng của nạn nhân, chúng đánh cắp dữ liệu và triển khai ransomware để mã hóa các thiết bị của công ty.

"Khi bọn tội phạm đã truy cập được vào hệ thống, chúng đã có được quyền quản trị viên và dễ dàng truy cập vào các tệp. Sau đó, phần mềm tống tiền thực sự được sử dụng để mã hóa. Kết quả, các công ty không còn có thể truy cập vào dữ liệu của chính họ nữa", FBI cho biết.

Khi nhóm tội phạm mạng mới ra mắt, chúng hoạt động như một nhóm tống tiền, đăng lại dữ liệu cũ bị đánh cắp trong các cuộc tấn công ransomware LockBit, mà chúng tự nhận là chi nhánh. Dispossessor cũng đã đăng lại các vụ rò rỉ từ các hoạt động ransomware khác và cố gắng bán chúng trên nhiều thị trường vi phạm và diễn đàn hack khác nhau như BreachForums và XSS.

"Ban đầu, Dispossessor thông báo về việc tiếp tục cung cấp dữ liệu từ khoảng 330 nạn nhân LockBit. Dữ liệu này được cho là đã đăng lại từ các nạn nhân LockBit trước đó, hiện được lưu trữ trên mạng của Dispossessor và do đó không bị hạn chế về khả năng cung cấp của LockBit", SentinelOne cho biết trong báo cáo tháng 4.

ransomware-1723565194.jpg

Dispossessor là nhóm tội phạm mạng có mạng lưới ở nhiều quốc gia trên thế giới.

"Dispossessor dường như đang đăng lại dữ liệu trước đây liên quan đến các hoạt động khác với các ví dụ từ Cl0p, Hunters International và 8base. Có ít nhất một chục nạn nhân được liệt kê trên Dispossessor cũng đã được các nhóm khác liệt kê trước đó", FBI cho biết.

Bắt đầu từ tháng 6/2024, những kẻ tấn công bắt đầu sử dụng bộ mã hóa LockBit 3.0 bị rò rỉ để sử dụng trong các cuộc tấn công mã hóa của riêng chúng, làm gia tăng đáng kể phạm vi các cuộc tấn công phạm tội.