trungthuc
08-03-2020, 22:19
Một kẻ điều hành chi nhánh phát tán mă độc tống tiền (ransomware-as-a-business - RaaS) của ransomware GandCrab vừa chính thức bị bắt giữ, hơn 1 năm sau khi mă độc tống tiền này tuyên bố ngừng hoạt động (02/06/2019).
Nhà chức trách hiện chưa công bố rơ danh tính của người này, tuy nhiên theo tiết lộ ban đầu, đây là một người đàn ông 31 tuổi, sống tại Gomel, thành phố nằm ở phía Đông nam Belarus, và là kẻ có vai tṛ quan trọng trong hệ thống vận hành và phân phối chủng mă độc tống tiền gây thiệt hại hàng tỷ USD trên toàn thế giới.
Mă hóa máy tính ở gần 100 quốc gia
Thành viên điều hành mă độc GandCrab vừa bị bắt chỉ là một kẻ đứng đầu chi nhánh phân phối, hay c̣n được gọi là 'Advert', cho tổ chức hack này. Nói cách khác, đây chính là kẻ chịu trách nhiệm lây nhiễm ransomware vào hệ thống máy tính của nạn nhân (theo chỉ định hoặc ngẫu nhiên).
Tên này được cho là đă lan truyền thành công ransomware GandCrab lên hơn 1000 hệ thống máy tính tại gần 100 quốc gia và vùng lănh thổ trên toàn thế giới. Số tiền chuộc trung b́nh mà hacker yêu cầu cho mỗi trường hợp giải mă rơi vào khoảng 1,2 ngàn USD, tùy thuộc vào giá trị thực tế của thông tin dữ liệu bị mă hóa.
https://st.quantrimang.com/photos/image/2020/08/02/mot-ke-dieu-hanh-ma-doc-tong-tien-gandcrab-bi-bat1.jpg
Thông báo đ̣i tiền chuộc của GandCrab
Ngoài ra theo tiết lộ của cơ quan điều tra, botnet ransomware được triển khai thông qua darknet, từ đó cho phép kẻ tấn công có thể ẩn ḿnh an toàn trong một thời gian dài trước sự truy quét của các tổ chức an ninh mạng khắp nơi.
"Một phần lợi nhuận thu được từ các vụ tống tiền thành công sẽ được chuyển cho các quản trị viên (nhà khai thác) của máy chủ mà tên này thuê. Nạn nhân của tin tặc là những chủ sở hữu máy tính cá nhân cũng như doanh nghiệp đến từ gần 100 quốc gia. Phần lớp tập trung tại Ấn Độ, Mỹ, Ukraine, Anh, Đức, Pháp, Ư và Nga", ông Vladimir Zaitsev, Phó cục trưởng Cục pḥng chống tội phạm công nghệ cao thuộc Bộ Nội vụ Belarus, cho biết.
Không rơ tên tội phạm kiếm được bao nhiêu tiền từ hoạt động độc hại trên. Tuy nhiên tên này được cho là đă chia sẻ một phần tiền chuộc khá lớn với (các) quản trị viên GandCrab, người đă giấu một máy chủ trong darknet, giúp các chi nhánh phân phối mă độc ẩn ḿnh hiệu quả mà không bị phát hiện.
Các chi nhánh phân phối c̣n gọi là "cánh tay nối dài" của GandCrab sẽ được hưởng lợi nhuận 60% cho 3 khoản thanh toán tiền chuộc đầu tiên mà chúng kiếm được. Sau lần thanh toán thứ ba, mức hoa hồng mà chi nhánh phân phối nhận được sẽ tăng vọt lên 70%. Điều này có nghĩa là nếu khoản tiền chuộc lại thông tin dữ liệu mà nạn nhân phải trả là 1.200 đô la, chi nhánh phân phối sẽ bỏ túi 840 đô la, số tiền 360 đô la c̣n lại sẽ được chuyển cho tên đầu sỏ phát triển ransonware GandCrab. Tiền hoa hồng sẽ tăng theo quy mô của các chi nhánh. Một số chi nhánh lớn có thể thực hiện trót lọt những vụ tống tiền có giá trị lên tới hàng triệu USD.
Tiểu sử GandCrab
Ransomware GandCrab được phát tán thông qua bộ công cụ khai thác lỗ hổng RIG. Khi bị lây nhiễm, các tập tin trong máy tính bị mă hóa thành file *.GDCB hoặc *.CRAB. Sau đó, mă độc sẽ sinh ra một tập tin CRAB-DECRYPT.txt yêu cầu và hướng dẫn nạn nhân trả tiền chuộc bằng cách thanh toán qua tiền điện tử DASH để giải mă thông tin dữ liệu.
GandCrab đă "gửi lời chào" đến thế giới internet vào ngày 28 tháng 1 năm 2018, và nhanh chóng phát triển bùng nổ ngay sau đó khi những kẻ tấn công bắt đầu đẩy mạnh phát tán dịch vụ của ḿnh trên các trang web ngầm, web đen. Kể từ đó, GandCrab đă trở thành một trong những cái tên tuổi ransonware độc hại để thống trị, gây ra sự ám ảnh cho mọi hệ thống máy tính nối mạng trên toàn thế giới.
https://st.quantrimang.com/photos/image/2020/08/02/mot-ke-dieu-hanh-ma-doc-tong-tien-gandcrab-bi-bat1.jpg
GandCrab tuyên bố ngừng hoạt động
Sau hơn 1 năm "tác yêu tác quái", GandCrab bất ngờ tuyên bố ngừng hoạt động vào ngày 1 tháng 6 năm 2019, sau khi đă bỏ túi hơn 2 tỷ đô la tiền chuộc từ hàng chục ngàn ngàn nạn nhân trên toàn thế giới (phần lớn là các doanh nghiệp, đối tượng sở hữu kho thông tin dữ liệu có giá trị cao). FBI và BitDefender sau đó đă phát hành một bộ giải mă cho phép các nạn nhân khôi phục các tập tin bị mă hóa bởi của GandCrab hoàn toàn miễn phí.
Sau khi GrandCrab ngừng hoạt động, một biến thể ransomware khác có tên REvil (Sodinokibi), đă được tạo ra để lấp đầy khoảng trống c̣n lại. Hiện tại, các nhà nghiên cứu phần mềm độc hại quốc tế đă t́m sự tương đồng về mă và mối quan hệ giữa các nhà khai thác/chi nhánh phân phối của REvil và GandCrab.
Sưu tầm
Nhà chức trách hiện chưa công bố rơ danh tính của người này, tuy nhiên theo tiết lộ ban đầu, đây là một người đàn ông 31 tuổi, sống tại Gomel, thành phố nằm ở phía Đông nam Belarus, và là kẻ có vai tṛ quan trọng trong hệ thống vận hành và phân phối chủng mă độc tống tiền gây thiệt hại hàng tỷ USD trên toàn thế giới.
Mă hóa máy tính ở gần 100 quốc gia
Thành viên điều hành mă độc GandCrab vừa bị bắt chỉ là một kẻ đứng đầu chi nhánh phân phối, hay c̣n được gọi là 'Advert', cho tổ chức hack này. Nói cách khác, đây chính là kẻ chịu trách nhiệm lây nhiễm ransomware vào hệ thống máy tính của nạn nhân (theo chỉ định hoặc ngẫu nhiên).
Tên này được cho là đă lan truyền thành công ransomware GandCrab lên hơn 1000 hệ thống máy tính tại gần 100 quốc gia và vùng lănh thổ trên toàn thế giới. Số tiền chuộc trung b́nh mà hacker yêu cầu cho mỗi trường hợp giải mă rơi vào khoảng 1,2 ngàn USD, tùy thuộc vào giá trị thực tế của thông tin dữ liệu bị mă hóa.
https://st.quantrimang.com/photos/image/2020/08/02/mot-ke-dieu-hanh-ma-doc-tong-tien-gandcrab-bi-bat1.jpg
Thông báo đ̣i tiền chuộc của GandCrab
Ngoài ra theo tiết lộ của cơ quan điều tra, botnet ransomware được triển khai thông qua darknet, từ đó cho phép kẻ tấn công có thể ẩn ḿnh an toàn trong một thời gian dài trước sự truy quét của các tổ chức an ninh mạng khắp nơi.
"Một phần lợi nhuận thu được từ các vụ tống tiền thành công sẽ được chuyển cho các quản trị viên (nhà khai thác) của máy chủ mà tên này thuê. Nạn nhân của tin tặc là những chủ sở hữu máy tính cá nhân cũng như doanh nghiệp đến từ gần 100 quốc gia. Phần lớp tập trung tại Ấn Độ, Mỹ, Ukraine, Anh, Đức, Pháp, Ư và Nga", ông Vladimir Zaitsev, Phó cục trưởng Cục pḥng chống tội phạm công nghệ cao thuộc Bộ Nội vụ Belarus, cho biết.
Không rơ tên tội phạm kiếm được bao nhiêu tiền từ hoạt động độc hại trên. Tuy nhiên tên này được cho là đă chia sẻ một phần tiền chuộc khá lớn với (các) quản trị viên GandCrab, người đă giấu một máy chủ trong darknet, giúp các chi nhánh phân phối mă độc ẩn ḿnh hiệu quả mà không bị phát hiện.
Các chi nhánh phân phối c̣n gọi là "cánh tay nối dài" của GandCrab sẽ được hưởng lợi nhuận 60% cho 3 khoản thanh toán tiền chuộc đầu tiên mà chúng kiếm được. Sau lần thanh toán thứ ba, mức hoa hồng mà chi nhánh phân phối nhận được sẽ tăng vọt lên 70%. Điều này có nghĩa là nếu khoản tiền chuộc lại thông tin dữ liệu mà nạn nhân phải trả là 1.200 đô la, chi nhánh phân phối sẽ bỏ túi 840 đô la, số tiền 360 đô la c̣n lại sẽ được chuyển cho tên đầu sỏ phát triển ransonware GandCrab. Tiền hoa hồng sẽ tăng theo quy mô của các chi nhánh. Một số chi nhánh lớn có thể thực hiện trót lọt những vụ tống tiền có giá trị lên tới hàng triệu USD.
Tiểu sử GandCrab
Ransomware GandCrab được phát tán thông qua bộ công cụ khai thác lỗ hổng RIG. Khi bị lây nhiễm, các tập tin trong máy tính bị mă hóa thành file *.GDCB hoặc *.CRAB. Sau đó, mă độc sẽ sinh ra một tập tin CRAB-DECRYPT.txt yêu cầu và hướng dẫn nạn nhân trả tiền chuộc bằng cách thanh toán qua tiền điện tử DASH để giải mă thông tin dữ liệu.
GandCrab đă "gửi lời chào" đến thế giới internet vào ngày 28 tháng 1 năm 2018, và nhanh chóng phát triển bùng nổ ngay sau đó khi những kẻ tấn công bắt đầu đẩy mạnh phát tán dịch vụ của ḿnh trên các trang web ngầm, web đen. Kể từ đó, GandCrab đă trở thành một trong những cái tên tuổi ransonware độc hại để thống trị, gây ra sự ám ảnh cho mọi hệ thống máy tính nối mạng trên toàn thế giới.
https://st.quantrimang.com/photos/image/2020/08/02/mot-ke-dieu-hanh-ma-doc-tong-tien-gandcrab-bi-bat1.jpg
GandCrab tuyên bố ngừng hoạt động
Sau hơn 1 năm "tác yêu tác quái", GandCrab bất ngờ tuyên bố ngừng hoạt động vào ngày 1 tháng 6 năm 2019, sau khi đă bỏ túi hơn 2 tỷ đô la tiền chuộc từ hàng chục ngàn ngàn nạn nhân trên toàn thế giới (phần lớn là các doanh nghiệp, đối tượng sở hữu kho thông tin dữ liệu có giá trị cao). FBI và BitDefender sau đó đă phát hành một bộ giải mă cho phép các nạn nhân khôi phục các tập tin bị mă hóa bởi của GandCrab hoàn toàn miễn phí.
Sau khi GrandCrab ngừng hoạt động, một biến thể ransomware khác có tên REvil (Sodinokibi), đă được tạo ra để lấp đầy khoảng trống c̣n lại. Hiện tại, các nhà nghiên cứu phần mềm độc hại quốc tế đă t́m sự tương đồng về mă và mối quan hệ giữa các nhà khai thác/chi nhánh phân phối của REvil và GandCrab.
Sưu tầm