Một phân tích trong bốn tháng nhật ký trò chuyện kéo dài hơn 40 cuộc trò chuyện giữa những người điều hành ransomware Conti và Hive và nạn nhân của họ đã cung cấp một cái nhìn sâu sắc về hoạt động bên trong của các nhóm và kỹ thuật đàm phán của họ.
Trong một cuộc trao đổi, Conti Team được cho là đã giảm đáng kể nhu cầu tiền chuộc từ 50 triệu đô la xuống 1 triệu đô la đáng kinh ngạc, giảm 98%, cho thấy họ sẵn sàng giải quyết với số tiền thấp hơn nhiều.
“Cả Conti và Hive đều nhanh chóng giảm yêu cầu tiền chuộc, thường xuyên đưa ra mức giảm đáng kể nhiều lần trong suốt các cuộc đàm phán”, Cisco Talos cho biết trong một báo cáo được chia sẻ với The Hacker News. “Điều này báo hiệu rằng bất chấp niềm tin phổ biến, nạn nhân của một cuộc tấn công ransomware thực sự có sức mạnh đàm phán đáng kể.”
Conti và Hive là một trong những chủng ransomware phổ biến nhất trong bối cảnh mối đe dọa, chiếm 29,1% các cuộc tấn công được phát hiện trong khoảng thời gian ba tháng từ tháng 10 đến tháng 12 năm 2021.
Một điểm mấu chốt rút ra từ việc xem xét nhật ký trò chuyện là sự tương phản trong phong cách giao tiếp giữa hai nhóm. Trong khi các cuộc trò chuyện của Conti với nạn nhân là chuyên nghiệp và được đánh dấu bằng việc sử dụng các chiến thuật thuyết phục khác nhau để thuyết phục nạn nhân trả tiền chuộc, Hive sử dụng một cách tiếp cận không chính thức “ngắn hơn, trực tiếp hơn nhiều”.
Bên cạnh việc cung cấp các ngày lễ và giảm giá đặc biệt, Conti còn được biết đến là cung cấp “hỗ trợ CNTT” để ngăn chặn các cuộc tấn công trong tương lai, gửi cho nạn nhân một báo cáo bảo mật liệt kê một loạt các bước mà các thực thể bị ảnh hưởng có thể thực hiện để bảo mật mạng của họ.
Ngoài ra, nhóm có động cơ tài chính đã sử dụng các chiến thuật hù dọa, cảnh báo nạn nhân về thiệt hại danh tiếng và các vấn đề pháp lý bắt nguồn từ hậu quả của rò rỉ dữ liệu và đe dọa chia sẻ thông tin bị đánh cắp với đối thủ cạnh tranh và các bên liên quan khác.
“Sau khi mã hóa mạng nạn nhân, các kẻ đe dọa ransomware ngày càng sử dụng ‘ba lần tống tiền' bằng cách đe dọa (1) tiết lộ công khai thông tin nhạy cảm bị đánh cắp, (2) làm gián đoạn quyền truy cập internet của nạn nhân và / hoặc (3) thông báo cho các đối tác, cổ đông của nạn nhân, hoặc các nhà cung cấp về vụ việc, “CISA lưu ý trong một tư vấn đầu năm nay.
Một điểm khác biệt nữa là tính linh hoạt của Conti khi đề cập đến thời hạn thanh toán. Nhà nghiên cứu Kendall McKay của Talos cho biết: “Những hành vi này cho thấy các nhà điều hành Conti là những tội phạm mạng rất cơ hội, những kẻ cuối cùng sẽ thích một số khoản thanh toán hơn là không có”.
Mặt khác, Hive được nhận xét là sẽ nhanh chóng tăng đòi tiền chuộc nếu nạn nhân không thanh toán đúng ngày quy định.
Điều đáng chú ý nữa là Hive nhấn mạnh vào tốc độ so với độ chính xác trong quá trình mã hóa, khiến nó dễ bị tấn công bởi những sai lầm mật mã cho phép khôi phục khóa chính.
McKay cho biết: “Giống như nhiều tội phạm mạng khác, Conti và Hive là những kẻ cơ hội tìm cách xâm hại nạn nhân thông qua các phương tiện dễ dàng và nhanh nhất có thể, thường bao gồm khai thác các lỗ hổng đã biết. “Đây là một lời nhắc nhở cho tất cả các tổ chức để thực hiện một hệ thống quản lý bản vá mạnh mẽ và giữ cho tất cả các hệ thống được cập nhật.”
.
