Bắt đầu hoạt động vào tháng 8/2020, nhóm Darkside đã thực hiện nhiều cuộc tấn công trên toàn thế giới gây ảnh hưởng đến các tổ chức ở hơn 15 quốc gia và nhiều ngành công nghiệp trọng yếu. Nhóm này thực hiện tấn công mạng và tiến hành tống tiền thông qua việc đánh cắp và mã hóa dữ liệu tại chỗ, yêu cầu thanh toán tiền chuộc để mở khóa dữ liệu với cam kết không tiết lộ dữ liệu bị đánh cắp.
Nhóm Darkside thực hiện cung cấp mã độc tống tiền ở dạng dịch vụ cho các nhóm tin tặc khác (ransomware-as-a-service RaaS), sau đó chia sẻ lợi nhuận thu được từ việc tống tiền các nạn nhân giữa nhóm Darkside và các nhóm tin tặc khác. Nhóm tin tặc này thường dựa vào các công cụ hợp pháp và có sẵn trên thị trường để thực hiện tấn công mạng trong các giai đoạn tấn công khác nhau, các lỗ hổng 0-day cũng được sử dụng để khai thác trong quá trình tấn công.
Phần lớn các nạn nhân bị nhóm Darkside tấn công là các công ty kinh doanh trên nhiều lĩnh vực, bao gồm dịch vụ tài chính, pháp lý, sản xuất, bán lẻ và công nghệ. Tính đến nay theo dữ liệu của Trend Micro Research, Hoa Kỳ là quốc gia có số nạn nhân nhiều nhất của nhóm DarkSide với hơn 500 phát hiện, tiếp theo là Pháp, Bỉ và Canada.
Từ tháng 12/2020 đến tháng 5/2021, DarkSide đã tấn công cơ sở hạ tầng dầu khí của Hoa Kỳ 4 lần. Cùng với đó, thực hiện tấn công nhà cung cấp dịch vụ công nghệ thông tin CompuCom vào tháng 3/2021, tiêu tốn hơn 20 triệu USD chi phí khôi phục. Đồng thời, nhóm này còn tấn công Dịch vụ Cho thuê xe giảm giá của Canada và Toshiba Tec Corp (Toshiba Corp). DarkSide đã tống tiền công ty Brenntag của Đức. Công ty bảo mật tiền điện tử Elliptic tuyên bố rằng một ví Bitcoin do DarkSide mở vào tháng 3/2021 đã nhận được 17,5 triệu USD từ 21 ví Bitcoin, bao gồm cả tiền chuộc Colonial Pipeline.
Theo quảng cáo dịch vụ mã độc tống tiền Darkside (Darkside Raas – Darkside Ransomware as a Service) trên các diễn đàn tiếng Nga (exploit.in và xss.is), các nhóm tin tặc khác có thể sử dụng RaaS để tấn công vào cơ quan, tổ chức, doanh nghiệp trên toàn cầu và sẽ được chia 25% đối với các khoản tiền chuộc thu được từ nạn nhân có giá trị nhỏ hơn 500.000 USD và giảm dần đến 10% cho khoản tiền chuộc thu được lớn hơn 5 triệu USD.
Ngoài việc cung cấp mã độc tống tiền, nhóm Darkside cung cấp một blog truy cập thông qua trình duyệt TOR (Darkweb). Các nhóm tin tặc khác sử dụng trang web này để công khai các nạn nhân nhằm gây áp lực, buộc các nạn nhân phải trả tiền để không bị tiết lộ dữ liệu nhạy cảm bị đánh cắp. Bản cập nhật mã độc tống tiền gần đây được quảng cáo trên diễn đàn ngầm của nhóm Darkside cũng chỉ ra rằng các nhóm tin tặc sử dụng mã độc của Darkside có thể tấn công DDoS vào các mục tiêu.
Đáng lưu ý là tài khoản darksupp tuyên bố rằng các nhóm tin tặc sử dụng mã độc của nhóm Darkside không tấn công vào các mục tiêu là bệnh viện, trường học, trường đại học, các tổ chức phi lợi nhuận và các tổ chức thuộc Chính phủ các quốc gia và các tổ chức ở các quốc gia thuộc Cộng đồng các quốc gia độc lập.
Mã độc do nhóm Darkside phát triển là mã độc mã hóa dữ liệu được viết bằng ngôn ngữ C có thể được cấu hình để mã hóa các tệp trên ổ đĩa cố định, ổ đĩa di động cũng như các tệp chia sẻ qua mạng. Các nhóm tin tặc khi sử dụng mã độc của nhóm Darkside được cấp quyền truy cập giao diện quản trị. Trên giao diện này, các nhóm tin tặc có thể tự tạo riêng mã độc mã hóa cho các mục tiêu tấn công khác nhau. Giao diện điều khiển cho phép tùy chỉnh mức độ, phạm vi hoạt đông của mã độc mã hóa, chẳng hạn như chọn chế độ mã hóa và phạm vi mã hóa các ổ đĩa cục bộ, ổ đĩa mạng hay các tệp chia sẻ trên mạng.
Nhóm Darkside phát hành 2 phiên bản mã độc kể từ tháng 8/2020 đến tháng 5/2021. Phiên bản mã độc mới nhất có cơ chế kiểm soát hệ thống bị tấn công lâu dài thông qua cơ chế tự tạo và khởi chạy dưới dạng dịch vụ với tên dịch vụ và mô tả được đặt tên bằng cách sử dụng tám ký tự thập phân viết thường được xác định giả ngẫu nhiên.
Dựa trên cấu hình sẵn có, mã độc của Darkside nhắm mục tiêu vào các đĩa cục bộ, các thiết bị USB ngoại vi và các tệp chia sẻ qua mạng. Một số tiến trình có thể bị dừng để các tệp được liên kết có thể được mã hóa thành công. Các tệp dữ liệu bị mã hóa tệp sử dụng mã hóa Salsa20 (Mã dòng phát triển bởi Daniel J. Bernstein) với khóa ngẫu nhiên được tạo ra bởi hàm RtlRandomEx Khóa ngẫu nhiên được mã hóa sử dụng khóa RSA-1024 công khai đính kèm trong tệp thực thi.
Các phiên bản mã độc Darkside giới thiệu trên exploit.in
Trong giao diện điều khiển này, các các nhóm tin tặc sử dụng mã độc của nhóm Darkside có thể thực hiện nhiều hành động khác nhau như tạo các phiên bản mã độc tống tiền, chỉ định nội dung cho blog Darkside, quản lý nạn nhân và liên hệ với bộ phận hỗ trợ. Một số tài khoản tuyên bố sử dụng Darkside cũng bị cáo buộc hợp tác với các chương trình liên kết khác của Raas như BABUK và SODINOKIBI (hay còn gọi là REvil).
Giao diện điều khiển của Darkside
Darkside thường dựa vào các công cụ hợp pháp và công khai được sử dụng để tạo điều kiện thuận lợi cho các giai đoạn khác nhau của vòng đời tấn công trong các cuộc tấn công mã độc tống tiền sau khai thác.
Theo mục tiêu tấn công của nhóm tin tặc Darkside thì các cơ sở như bệnh viện, trường học, các tổ chức phi lợi nhuận và các tổ chức thuộc Chính phủ các quốc gia và các tổ chức ở các quốc gia thuộc Cộng đồng các quốc gia độc lập không nằm trong mục tiêu tấn công của nhóm. Nhóm này cũng yêu cầu các nhóm tin tặc khác sử dụng công cụ của nhóm Darkside cũng không được nhắm vào các mục tiêu đó.
Tuy nhiên, vẫn có khả năng các nhóm tin tặc khác không tuân theo yêu cầu của nhóm Darkside hoặc tuân theo nhưng lại tiếp tục chia sẻ công cụ cho các đối tượng tội phạm mạng khác. Do vậy có thể xảy ra nguy cơ là các nhóm tội phạm này sẽ tấn công vào các cơ sở hạ tầng mạng trọng yếu của các quốc gia trong đó có Việt Nam, gây ra nguy cơ mất an toàn thông tin như lộ lọt dữ liệu nhạy cảm, bị mã hóa dữ liệu để tống tiền…
Hiện nay, theo kết quả giám sát, phân tích của Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ thì ở Việt Nam chưa xuất hiện các tấn công mạng sử dụng các loại mã độc của nhóm Darkside. Tuy nhiên, trong thời gian tới hoàn toàn có khả năng xảy ra các cuộc tấn công mạng vào Việt Nam với các biến thể mã độc dựa trên loại mã độc do nhóm Darkside phát triển. Do vậy, luôn phải đề cao tinh thần cảnh giác và thực hiện các nội dung sau để phòng tránh các tấn công do mã độc trên cũng như các loại mã độc do các tổ chức tội phạm mạng khác thực hiện:
Vũ Đình Thu, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng
10:00 | 19/05/2021
13:00 | 14/05/2021
09:00 | 06/09/2023
13:00 | 13/05/2021
15:00 | 23/06/2021
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
14:00 | 30/11/2023
Cơ quan tình báo Ukraine mới đây đã tuyên bố thực hiện chiến dịch tấn công mạng vào Cơ quan Vận tải Hàng không Liên bang Nga - Rosaviatsiya và đưa ra thông tin về tình trạng suy yếu hiện tại của ngành hàng không Nga.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024