Hoạt động của nhóm tin tặc Darkside

Bắt đầu hoạt động vào tháng 8/2020, nhóm Darkside đã thực hiện nhiều cuộc tấn công trên toàn thế giới gây ảnh hưởng đến các tổ chức ở hơn 15 quốc gia và nhiều ngành công nghiệp trọng yếu. Nhóm này thực hiện tấn công mạng và tiến hành tống tiền thông qua việc đánh cắp và mã hóa dữ liệu tại chỗ, yêu cầu thanh toán tiền chuộc để mở khóa dữ liệu với cam kết không tiết lộ dữ liệu bị đánh cắp.

Nhóm Darkside thực hiện cung cấp mã độc tống tiền ở dạng dịch vụ cho các nhóm tin tặc khác (ransomware-as-a-service RaaS), sau đó chia sẻ lợi nhuận thu được từ việc tống tiền các nạn nhân giữa nhóm Darkside và các nhóm tin tặc khác. Nhóm tin tặc này thường dựa vào các công cụ hợp pháp và có sẵn trên thị trường để thực hiện tấn công mạng trong các giai đoạn tấn công khác nhau, các lỗ hổng 0-day cũng được sử dụng để khai thác trong quá trình tấn công.

Phần lớn các nạn nhân bị nhóm Darkside tấn công là các công ty kinh doanh trên nhiều lĩnh vực, bao gồm dịch vụ tài chính, pháp lý, sản xuất, bán lẻ và công nghệ. Tính đến nay theo dữ liệu của Trend Micro Research, Hoa Kỳ là quốc gia có số nạn nhân nhiều nhất của nhóm DarkSide với hơn 500 phát hiện, tiếp theo là Pháp, Bỉ và Canada.

Từ tháng 12/2020 đến tháng 5/2021, DarkSide đã tấn công cơ sở hạ tầng dầu khí của Hoa Kỳ 4 lần. Cùng với đó, thực hiện tấn công nhà cung cấp dịch vụ công nghệ thông tin CompuCom vào tháng 3/2021, tiêu tốn hơn 20 triệu USD chi phí khôi phục. Đồng thời, nhóm này còn tấn công Dịch vụ Cho thuê xe giảm giá của Canada và Toshiba Tec Corp (Toshiba Corp). DarkSide đã tống tiền công ty Brenntag của Đức. Công ty bảo mật tiền điện tử Elliptic tuyên bố rằng một ví Bitcoin do DarkSide mở vào tháng 3/2021 đã nhận được 17,5 triệu USD từ 21 ví Bitcoin, bao gồm cả tiền chuộc Colonial Pipeline.

Theo quảng cáo dịch vụ mã độc tống tiền Darkside (Darkside Raas – Darkside Ransomware as a Service) trên các diễn đàn tiếng Nga (exploit.in và xss.is), các nhóm tin tặc khác có thể sử dụng RaaS để tấn công vào cơ quan, tổ chức, doanh nghiệp trên toàn cầu và sẽ được chia 25% đối với các khoản tiền chuộc thu được từ nạn nhân có giá trị nhỏ hơn 500.000 USD và giảm dần đến 10% cho khoản tiền chuộc thu được lớn hơn 5 triệu USD.

Ngoài việc cung cấp mã độc tống tiền, nhóm Darkside cung cấp một blog truy cập thông qua trình duyệt TOR (Darkweb). Các nhóm tin tặc khác sử dụng trang web này để công khai các nạn nhân nhằm gây áp lực, buộc các nạn nhân phải trả tiền để không bị tiết lộ dữ liệu nhạy cảm bị đánh cắp. Bản cập nhật mã độc tống tiền gần đây được quảng cáo trên diễn đàn ngầm của nhóm Darkside cũng chỉ ra rằng các nhóm tin tặc sử dụng mã độc của Darkside có thể tấn công DDoS vào các mục tiêu.

Đáng lưu ý là tài khoản darksupp tuyên bố rằng các nhóm tin tặc sử dụng mã độc của nhóm Darkside không tấn công vào các mục tiêu là bệnh viện, trường học, trường đại học, các tổ chức phi lợi nhuận và các tổ chức thuộc Chính phủ các quốc gia và các tổ chức ở các quốc gia thuộc Cộng đồng các quốc gia độc lập.

Mô hình hoạt động có hệ thống của Darkside

Mã độc do nhóm Darkside phát triển là mã độc mã hóa dữ liệu được viết bằng ngôn ngữ C có thể được cấu hình để mã hóa các tệp trên ổ đĩa cố định, ổ đĩa di động cũng như các tệp chia sẻ qua mạng. Các nhóm tin tặc khi sử dụng mã độc của nhóm Darkside được cấp quyền truy cập giao diện quản trị. Trên giao diện này, các nhóm tin tặc có thể tự tạo riêng mã độc mã hóa cho các mục tiêu tấn công khác nhau. Giao diện điều khiển cho phép tùy chỉnh mức độ, phạm vi hoạt đông của mã độc mã hóa, chẳng hạn như chọn chế độ mã hóa và phạm vi mã hóa các ổ đĩa cục bộ, ổ đĩa mạng hay các tệp chia sẻ trên mạng.

Nhóm Darkside phát hành 2 phiên bản mã độc kể từ tháng 8/2020 đến tháng 5/2021. Phiên bản mã độc mới nhất có cơ chế kiểm soát hệ thống bị tấn công lâu dài thông qua cơ chế tự tạo và khởi chạy dưới dạng dịch vụ với tên dịch vụ và mô tả được đặt tên bằng cách sử dụng tám ký tự thập phân viết thường được xác định giả ngẫu nhiên.

Dựa trên cấu hình sẵn có, mã độc của Darkside nhắm mục tiêu vào các đĩa cục bộ, các thiết bị USB ngoại vi và các tệp chia sẻ qua mạng. Một số tiến trình có thể bị dừng để các tệp được liên kết có thể được mã hóa thành công. Các tệp dữ liệu bị mã hóa tệp sử dụng mã hóa Salsa20 (Mã dòng phát triển bởi Daniel J. Bernstein) với khóa ngẫu nhiên được tạo ra bởi hàm RtlRandomEx Khóa ngẫu nhiên được mã hóa sử dụng khóa RSA-1024 công khai đính kèm trong tệp thực thi.

Các phiên bản mã độc Darkside giới thiệu trên exploit.in

Trong giao diện điều khiển này, các các nhóm tin tặc sử dụng mã độc của nhóm Darkside có thể thực hiện nhiều hành động khác nhau như tạo các phiên bản mã độc tống tiền, chỉ định nội dung cho blog Darkside, quản lý nạn nhân và liên hệ với bộ phận hỗ trợ. Một số tài khoản tuyên bố sử dụng Darkside cũng bị cáo buộc hợp tác với các chương trình liên kết khác của Raas như BABUK và SODINOKIBI (hay còn gọi là REvil).

Giao diện điều khiển của Darkside

Darkside thường dựa vào các công cụ hợp pháp và công khai được sử dụng để tạo điều kiện thuận lợi cho các giai đoạn khác nhau của vòng đời tấn công trong các cuộc tấn công mã độc tống tiền sau khai thác.

Dự báo những ảnh hưởng đến Việt Nam

Theo mục tiêu tấn công của nhóm tin tặc Darkside thì các cơ sở như bệnh viện, trường học, các tổ chức phi lợi nhuận và các tổ chức thuộc Chính phủ các quốc gia và các tổ chức ở các quốc gia thuộc Cộng đồng các quốc gia độc lập không nằm trong mục tiêu tấn công của nhóm. Nhóm này cũng yêu cầu các nhóm tin tặc khác sử dụng công cụ của nhóm Darkside cũng không được nhắm vào các mục tiêu đó.

Tuy nhiên, vẫn có khả năng các nhóm tin tặc khác không tuân theo yêu cầu của nhóm Darkside hoặc tuân theo nhưng lại tiếp tục chia sẻ công cụ cho các đối tượng tội phạm mạng khác. Do vậy có thể xảy ra nguy cơ là các nhóm tội phạm này sẽ tấn công vào các cơ sở hạ tầng mạng trọng yếu của các quốc gia trong đó có Việt Nam, gây ra nguy cơ mất an toàn thông tin như lộ lọt dữ liệu nhạy cảm, bị mã hóa dữ liệu để tống tiền…

Hiện nay, theo kết quả giám sát, phân tích của Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ thì ở Việt Nam chưa xuất hiện các tấn công mạng sử dụng các loại mã độc của nhóm Darkside. Tuy nhiên, trong thời gian tới hoàn toàn có khả năng xảy ra các cuộc tấn công mạng vào Việt Nam với các biến thể mã độc dựa trên loại mã độc do nhóm Darkside phát triển. Do vậy, luôn phải đề cao tinh thần cảnh giác và thực hiện các nội dung sau để phòng tránh các tấn công do mã độc trên cũng như các loại mã độc do các tổ chức tội phạm mạng khác thực hiện:

• Tăng cường siết chính sách an toàn thông tin đối với hệ thống đảm bảo an toàn thông tin như hệ thống Firwall, IPS, AntiVirus.
• Thực hiện giám sát an toàn thông tin chặt chẽ đối với tất cả các dịch vụ mạng cho các hệ thống mạng công nghệ thông tin đang được giám sát.
• Cập nhật các bản vá lỗ hổng kịp thời cho các phần mềm hệ thống, phần mềm ứng dụng, các dịch vụ...
• Đào tạo, nâng cao ý thức người dùng về đảm bảo an toàn thông tin và khả năng nhận biết các loại tấn công để phòng tránh.