Phần mềm tống tiền BlackCat trong tiền điện tử là gì?

Sự gia tăng của các cuộc tấn công ransomware tiền điện tử

Là một chuyên gia an ninh mạng dày dạn kinh nghiệm với hơn hai thập kỷ kinh nghiệm, tôi có thể tự tin nói rằng bối cảnh ngày càng phát triển của các cuộc tấn công ransomware không có gì là ngoạn mục – hay tôi nên nói là thót tim? Trường hợp ransomware BlackCat đặc biệt đáng báo động do khả năng mở rộng nhanh chóng và các mục tiêu đa dạng của nó.

Các cuộc tấn công bằng ransomware tiếp tục gây tai họa cho thế giới tiền điện tử và một trong những kẻ tham gia đáng chú ý nhất là nhóm BlackCat.

Ngày nay, các cuộc tấn công bằng ransomware thường tập trung vào các loại tiền kỹ thuật số như tiền điện tử. Sức hấp dẫn của tiền điện tử nằm ở tính ẩn danh và thiếu cơ quan trung ương, khiến nó trở nên hấp dẫn đối với tội phạm mạng. Càng ngày, những tên tội phạm này càng bị thu hút bởi tính ẩn danh tương đối được cung cấp bởi các giao dịch tiền điện tử và sự thuận tiện của chúng trong việc chuyển tiền xuyên biên giới.

Năm 2024 chứng kiến ​​​​sự gia tăng đáng báo động về số lượng và cường độ của các cuộc tấn công bằng ransomware, trong đó các nhóm như BlackCat lợi dụng đặc điểm của chúng bằng cách yêu cầu thanh toán bằng tiền điện tử. Điều này khiến cơ quan thực thi pháp luật gặp khó khăn hơn trong việc truy tìm và thu hồi số tiền bị đánh cắp.

Báo cáo về tội phạm mạng-tiền điện tử của Chainalysis đã chỉ ra xu hướng ngày càng tăng này:

• 1,9 tỷ USD tiền thanh toán bằng ransomware được ghi nhận vào năm 2024 vào giữa năm nay, tăng 80% so với năm trước.
• Nhu cầu tiền chuộc trung bình tăng 30% vào năm 2024, đạt gần 6 triệu USD cho mỗi cuộc tấn công.

Theo phân tích của tôi, không chỉ các tập đoàn lớn như MGM Resorts hay UnitedHealth mới phải chịu yêu cầu tiền chuộc bằng tiền điện tử trị giá hàng triệu đô la. Các nhà đầu tư cá nhân cũng đang tìm thấy chính mình trong tầm ngắm. Những tội phạm mạng này đang sử dụng các chiến lược ngày càng phức tạp, chẳng hạn như tống tiền kép, trong đó chúng không chỉ mã hóa dữ liệu mà còn đe dọa tiết lộ thông tin nhạy cảm trừ khi thực hiện thanh toán bổ sung.

Lĩnh vực tiền điện tử có thể sử dụng những chiến lược nào để chống lại những cuộc tấn công phức tạp này? Hãy cùng đi sâu vào chiến thuật của nhóm ransomware BlackCat, hiểu phương pháp của chúng và khám phá những cách tiềm năng để bảo vệ trước những mối nguy hiểm đang gia tăng trong môi trường blockchain.

Cuộc tấn công ransomware BlackCat đã được giải thích

Phần mềm ransomware BlackCat (hoặc cách khác là Noberus hoặc ALPHV) là một phần mềm độc hại được phát triển bởi một nhóm tội phạm mạng chủ yếu nói tiếng Nga.

BlackCat là nhóm ransomware khét tiếng hoạt động trên cơ sở dịch vụ, thường xuyên thu hút sự chú ý vì các hoạt động phá hoại trong lĩnh vực tiền điện tử. Nhóm này nổi lên vào tháng 11 năm 2021 và kể từ đó đã phát động các cuộc tấn công nhằm vào nhiều tổ chức trên toàn cầu, trong đó Reddit là một trong những nạn nhân của nó vào năm 2023 và Change Healthcare bị tấn công vào năm 2024.

BlackCat, một loại ransomware, tuân theo một phương thức hoạt động cụ thể: nó xâm nhập vào hệ thống, xáo trộn dữ liệu và sau đó yêu cầu một khoản tiền lớn bằng tiền điện tử làm tiền chuộc để truy cập lại dữ liệu. Điều khiến BlackCat trở nên độc đáo so với các ransomware khác là thiết kế mã hóa phức tạp và chiến lược tấn công có thể thích ứng, thường được tinh chỉnh để khai thác điểm yếu của các mục tiêu cụ thể, khiến nó cực kỳ hiệu quả.

Được phát triển ban đầu, BlackCat hoạt động trên nhiều nền tảng như Windows và Linux. Nó sử dụng ngôn ngữ lập trình Rust ít được sử dụng hơn, mang lại cho nó khả năng mang lại khả năng thích ứng cao và tốc độ nhanh trong quá trình mã hóa.

Đến năm 2024, BlackCat tăng cường hoạt động, tận dụng các lỗ hổng trong cả mạng công ty và hệ thống tiền điện tử. Các cuộc tấn công thường sử dụng chiến lược hai hướng: mã hóa dữ liệu và đánh cắp thông tin nhạy cảm, cùng với các mối đe dọa công khai thông tin này trừ khi trả thêm tiền chuộc. Cách tiếp cận này mang lại cho nhóm quyền lực đáng kể đối với các mục tiêu của mình.

Một khía cạnh đáng sợ của BlackCat là chế độ hoạt động độc đáo của nó. Nó sử dụng một hệ thống liên kết phi tập trung, cho phép nó tập hợp các hacker trên toàn thế giới, những người có thể điều phối và thực hiện các cuộc tấn công theo ý muốn. Mỗi chi nhánh đều được trang bị trọng tải tấn công có thể tùy chỉnh, giúp BlackCat thành thạo trong việc khai thác điểm yếu và tấn công vào nơi gây sát thương tối đa. Về bản chất, BlackCat sở hữu khả năng xác định các lỗ hổng và gây ra tổn thương một cách chính xác.

Bạn có biết không? Bộ Ngoại giao Hoa Kỳ đang treo giải thưởng lên tới 10 triệu USD cho thông tin dẫn đến việc nhận dạng hoặc vị trí của các cá nhân ở các vị trí lãnh đạo chủ chốt trong nhóm đứng sau các cuộc tấn công ransomware BlackCat .

Cách thức hoạt động của ransomware BlackCat

BlackCat ransomware nổi tiếng với các hành động có phương pháp và chiến lược trong tội phạm mạng, gây ra mối nguy hiểm đáng kể trong thế giới kỹ thuật số.

Dưới đây là bảng phân tích về cách thức hoạt động của ransomware BlackCat:

• Quyền truy cập ban đầu: BlackCat thường xâm nhập vào hệ thống thông qua email lừa đảo, thông tin xác thực bị đánh cắp hoặc khai thác các lỗ hổng chưa được vá.
• Thiết lập tính bền vững: Những kẻ tấn công cài đặt các cửa hậu để duy trì quyền truy cập và thu thập thông tin xác thực cho hoạt động di chuyển ngang trong mạng.
• Mã hóa dữ liệu: Sử dụng ngôn ngữ lập trình Rust, BlackCat mã hóa các tệp quan trọng, khiến chúng không thể sử dụng được nếu không có khóa giải mã.
• Tống tiền kép: Kẻ tấn công đánh cắp dữ liệu trước khi mã hóa dữ liệu, đe dọa rò rỉ dữ liệu nếu không trả tiền chuộc.
• Yêu cầu tiền chuộc: Yêu cầu thanh toán bằng tiền điện tử như Bitcoin (BTC) hoặc Monero (XMR), tương đương hàng triệu đô la, để đảm bảo tính ẩn danh của kẻ tấn công.
• Các cuộc tấn công có thể tùy chỉnh: Các chi nhánh có thể điều chỉnh phần mềm ransomware cho phù hợp với nạn nhân cụ thể, nhắm mục tiêu vào nền tảng Windows hoặc Linux bằng các kỹ thuật nâng cao để tránh bị phát hiện.

Nạn nhân buộc phải trả tiền chuộc bằng tiền điện tử, đảm bảo tính ẩn danh và khiến cơ quan thực thi pháp luật gặp khó khăn trong việc truy tìm hoặc đòi lại số tiền. Sự xuất hiện của BlackCat đóng vai trò như một lời cảnh báo rõ ràng về tầm quan trọng của việc bảo vệ tài sản kỹ thuật số và cơ sở hạ tầng khỏi các mối đe dọa mạng không ngừng phát triển vẫn tồn tại trong không gian tiền điện tử.

Bạn đã nghe nói BlackCat hoạt động bằng ngôn ngữ lập trình Rust, cho phép nó hoạt động trơn tru trên cả nền tảng Windows và Linux chưa? Tính linh hoạt này làm cho nó có khả năng thích ứng cao hơn so với các loại ransomware khác.

Mô hình liên kết của BlackCat

Các chi nhánh là tội phạm mạng tự do cộng tác với tổ chức BlackCat, sử dụng cấu trúc và tài nguyên Ransomware dưới dạng dịch vụ tiên tiến của họ.

Thành công của BlackCat được xây dựng dựa trên một hệ thống liên kết, trong đó nhiều bên khác nhau giúp mở rộng tầm ảnh hưởng của nó một cách sâu rộng. Hãy để tôi giải thích quá trình này:

• Chương trình liên kết: Tội phạm mạng đăng ký chương trình của BlackCat để truy cập và phân phối tải trọng ransomware.
• Mô hình chia sẻ lợi nhuận: Các chi nhánh kiếm được một phần đáng kể từ bất kỳ khoản tiền chuộc nào họ thu được, trong khi phần chia sẻ được gửi đến các nhà phát triển BlackCat.
• Chiến thuật tống tiền kép: Các chi nhánh thường sử dụng cách tiếp cận hai hướng bằng cách mã hóa dữ liệu và đe dọa rò rỉ dữ liệu trừ khi trả tiền chuộc.
• Tải trọng có thể tùy chỉnh: BlackCat cung cấp cho các đơn vị liên kết khả năng tùy chỉnh phần mềm ransomware cho các mục tiêu cụ thể, khiến các cuộc tấn công khó chống lại hơn.
• Thanh toán bằng tiền điện tử: Các chi nhánh yêu cầu tiền chuộc bằng tiền điện tử, cung cấp tính ẩn danh và khiến việc truy tìm các khoản thanh toán trở nên cực kỳ khó khăn.

Với tư cách là một nhà phân tích, tôi có thể nói rằng bằng cách áp dụng mô hình liên kết, BlackCat đã tăng tốc độ tăng trưởng theo cấp số nhân, cho phép nó đạt được các mục tiêu có giá trị cao trải rộng trên nhiều ngành.

Các cuộc tấn công tổ chức ransomware BlackCat

Tổ chức BlackCat đã tấn công thành công các doanh nghiệp nổi bật, dẫn đến sự gián đoạn đáng kể đối với hoạt động và tài chính của họ.

Với tư cách là một nhà đầu tư tiền điện tử, tôi đã gặp một số trường hợp nổi bật nhấn mạnh tác động và cường độ rộng lớn của các cuộc tấn công tổ chức của BlackCat. Dưới đây là một vài ví dụ đáng chú ý:

• Nhóm tàu ​​chở dầu và cuộc tấn công Mabanaft: BlackCat tấn công OilTanking Group và Mabanaft vào đầu năm 2022. Cuộc tấn công đã làm đóng cửa hệ thống lưu trữ và phân phối nhiên liệu của họ, làm gián đoạn đáng kể chuỗi cung ứng ở Đức. Các tin tặc yêu cầu một khoản tiền chuộc đáng kể để phát hành các hệ thống được mã hóa, mặc dù số tiền chính xác không được tiết lộ rộng rãi (với 5-7 ngày được phân bổ để mua tiền điện tử Bitcoin hoặc Monero để thực hiện thanh toán tiền chuộc). Không có vụ bắt giữ nào được báo cáo liên quan đến vụ tấn công này. ​
• MGM Resorts và Caesars Entertainment: Vào tháng 9 năm 2023, BlackCat đã tham gia vào một cuộc tấn công bằng ransomware nổi tiếng nhằm vào MGM Resorts International và Caesars Entertainment. Số tiền đặt cược rất cao – Caesars ban đầu phải đối mặt với nhu cầu về 30 triệu đô la Bitcoin nhưng đã cố gắng thương lượng xuống còn 15 triệu đô la. Tuy nhiên, MGM Resorts đã từ chối trả tiền chuộc, dẫn đến việc ngừng hoạt động kéo dài nhiều tuần và tổn thất tài chính 100 triệu USD trong quý. Cuộc tấn công này được thực hiện bởi Scatter Spider, chi nhánh của BlackCat, một nhóm tin tặc người Mỹ và Anh.
• Change Healthcare: Đầu năm 2024, BlackCat đã tấn công Change Healthcare, một công ty con của UnitedHealth Group, dẫn đến việc đánh cắp dữ liệu nhạy cảm của bệnh nhân và làm gián đoạn hoạt động. Để khôi phục hệ thống của họ, Change Healthcare được cho là đã trả khoản tiền chuộc 22 triệu đô la bằng Bitcoin. Sự kiện này nêu bật nguy cơ ngày càng tăng của các cuộc tấn công bằng ransomware trong lĩnh vực chăm sóc sức khỏe và tình thế bấp bênh của các công ty khi đối phó với những tội phạm mạng này.

Bảo vệ khỏi phần mềm tống tiền BlackCat

Hiểu nguyên nhân cốt lõi và cách thức hoạt động của ransomware là bước đầu tiên để bảo vệ chống lại chúng.

Để bảo vệ khỏi phần mềm tống tiền BlackCat, điều quan trọng là phải tránh nhầm lẫn và thực hiện các biện pháp bảo vệ, bao gồm:

• Thường xuyên sao lưu dữ liệu của bạn: Các bản sao lưu được mã hóa, thường xuyên được lưu trữ ngoại tuyến có thể là cứu cánh nếu tệp của bạn được mã hóa.
• Thiết lập các giao thức an ninh mạng mạnh mẽ: Đảm bảo nhóm an ninh mạng của tổ chức tiến hành đánh giá lỗ hổng bảo mật thường xuyên và thực thi các giao thức bảo mật như xác thực đa yếu tố và giám sát mạng. 
• Đào tạo nhân viên: Nhóm cũng nên đào tạo nhân viên để đảm bảo mọi người hiểu và tuân theo các phương pháp hay nhất về bảo mật trên các kênh và nền tảng làm việc chính thức. 
• Cài đặt phần mềm chống vi-rút: Hệ thống chống vi-rút mạnh mẽ có thể giúp phát hiện và ngăn chặn phần mềm độc hại trước khi nó mã hóa tệp của bạn.
• Thận trọng với các nỗ lực lừa đảo: Hãy chủ động phát hiện và tránh các email lừa đảo có thể mang tải trọng ransomware.
• Sử dụng hệ thống quản lý mật khẩu: Việc thực thi cập nhật mật khẩu thường xuyên có thể ngăn chặn tội phạm mạng truy cập vào tài khoản.
• Phân đoạn mạng của bạn: Việc cô lập các phần trong mạng của bạn có thể hạn chế sự lây lan của phần mềm tống tiền​. 

Mặc dù chịu áp lực từ các cơ quan thực thi pháp luật toàn cầu, BlackCat vẫn tiếp tục gây ra rủi ro đáng kể vào năm 2024. Do đó, điều quan trọng đối với người dùng tiền điện tử là phải luôn cảnh giác, tăng cường phòng thủ an ninh mạng và theo kịp các mối đe dọa ransomware đang phát triển.