Tin tặc chuyển hình thức tấn công bằng ransomware sang tống tiền dữ liệu thuần túy

Hoạt động tấn công mã độc ransomware dưới dạng dịch vụ (Ransomware-as-a-Service và viết tắt là RaaS) của nhóm tin tặc Hunters International đang đóng cửa, được đổi tên và chuyển sang tấn công chỉ nhằm mục đích đánh cắp dữ liệu, tống tiền.

Như công ty tình báo về mối đe dọa Group-IB vừa tiết lộ, nhóm tội phạm mạng vẫn hoạt động mặc dù đã tuyên bố vào ngày 17/11/2024 rằng họ sẽ đóng cửa do lợi nhuận giảm và chính phủ tăng cường giám sát.

Kể từ đó, Hunters International đã triển khai một hoạt động tống tiền mới được gọi là "World Leaks" vào ngày 01/01/2025.

"Theo quan điểm của người quản lý, ransomware không còn mang lại lợi nhuận và rủi ro nữa. Những tên tội phạm hợp tác với nhóm này sẽ được cung cấp một công cụ trích xuất dữ liệu được cho là do chính họ phát triển, được thiết kế để tự động hóa quá trình trích xuất dữ liệu trong mạng của nạn nhân", Group-IB cho biết.

"Không giống như Hunters International, kết hợp mã hóa với tống tiền, World Leaks hoạt động như một nhóm chỉ tống tiền bằng cách sử dụng một công cụ trích xuất dữ liệu được xây dựng riêng."

Công cụ mới này có vẻ là một biến thể nâng cấp của công cụ trích xuất dữ liệu Storage Software mà các chi nhánh ransomware của Hunters International cũng sử dụng.

Hunters International nổi lên vào cuối năm 2023 và được đánh dấu là một thương hiệu có thể đổi tên của Hive vì có sự tương đồng về mã. Ransomware của nhóm tin tặc này nhắm vào nhiều nền tảng khác nhau, bao gồm Windows, Linux, FreeBSD, SunOS và ESXi (máy chủ VMware) và nó cũng hỗ trợ kiến ​​trúc x64, x86 và ARM.

Kể từ khi xuất hiện, băng đảng ransomware này đã tuyên bố thực hiện hơn 280 cuộc tấn công vào các tổ chức trên toàn thế giới, khiến nó trở thành một trong những hoạt động ransomware tích cực nhất.

Các nạn nhân đáng chú ý mà Hunters International tuyên bố bao gồm Tata Technologies, đại lý ô tô Bắc Mỹ AutoCanada, U.S. Marshals Service, gã khổng lồ quang học Nhật Bản Hoya, nhà thầu của Hải quân Hoa Kỳ Austal USA và mạng lưới y tế phi lợi nhuận lớn nhất Oklahoma, ​​​​Integris Health.

Hunters International cũng đã xâm phạm Trung tâm Ung thư Fred Hutch vào tháng 12 năm ngoái, đe dọa sẽ tiết lộ dữ liệu bị đánh cắp của hơn 800.000 bệnh nhân ung thư nếu họ không được trả tiền.

Cho đến nay, các nhà điều hành Hunters International đã nhắm mục tiêu vào các công ty ở mọi quy mô với các yêu cầu tiền chuộc dao động từ hàng trăm nghìn đến hàng triệu đô la, tùy thuộc vào quy mô của tổ chức bị xâm phạm.