Ngày 06 tháng 3 năm 2023Ravie LakshmananTội phạm mạng / Ransomware
Các cơ quan thực thi pháp luật từ Đức và Ukraine đã nhắm mục tiêu vào các thành viên cốt lõi bị nghi ngờ của một nhóm tội phạm mạng đứng đằng sau các cuộc tấn công quy mô lớn bằng cách sử dụng phần mềm tống tiền DoppelPaymer.
Hoạt động diễn ra vào ngày 28 tháng 2 năm 2023, được thực hiện với sự hỗ trợ của Cảnh sát Quốc gia Hà Lan (Politie) và Cục Điều tra Liên bang Hoa Kỳ (FBI), theo Europol.
Điều này bao gồm một cuộc đột kích vào nhà của một công dân Đức cũng như các cuộc tìm kiếm ở các thành phố Kiev và Kharkiv của Ukraine. Một công dân Ukraine cũng bị thẩm vấn. Cả hai cá nhân được cho là đã đảm nhận các vị trí quan trọng trong nhóm DoppelPaymer.
Cơ quan này cho biết thêm: “Việc phân tích pháp y đối với các thiết bị bị tịch thu vẫn đang được tiến hành để xác định vai trò chính xác của các nghi phạm và mối liên hệ của họ với các đồng phạm khác”.
DoppelPaymer, theo công ty an ninh mạng CrowdStrike, đã xuất hiện vào tháng 4 năm 2019 và chia sẻ phần lớn mã của nó với một chủng ransomware khác có tên là BitPaymer, được quy cho một nhóm có trụ sở tại Nga có tên là Indrik Spider (Evil Corp).
Phần mềm độc hại mã hóa tệp này cũng thể hiện sự chồng chéo chiến thuật với phần mềm độc hại Dridex khét tiếng, một trojan ngân hàng tập trung vào Windows đã mở rộng các tính năng của nó để bao gồm khả năng đánh cắp thông tin và mạng botnet.
“Tuy nhiên, có một số điểm khác biệt giữa DoppelPaymer và BitPaymer, điều này có thể cho thấy rằng một hoặc nhiều thành viên của Indrik Spider đã tách khỏi nhóm và chia rẽ mã nguồn của cả Dridex và BitPaymer để bắt đầu hoạt động ransomware Big Game Hunting của riêng họ, ” CrowdStrike nói.
Về phần mình, Indrik Spider được thành lập vào năm 2014 bởi các chi nhánh cũ của mạng tội phạm GameOver Zeus, một mạng botnet ngang hàng (P2P) và là kẻ kế thừa trojan ngân hàng Zeus.
Tuy nhiên, sau đó, việc cơ quan thực thi pháp luật tăng cường giám sát các hoạt động của mình đã khiến nhóm này chuyển đổi chiến thuật, giới thiệu ransomware như một phương tiện để tống tiền nạn nhân và tạo ra lợi nhuận bất hợp pháp.
“Các cuộc tấn công DoppelPaymer đã được kích hoạt bởi phần mềm độc hại Emotet phổ biến,” Europol cho biết. “Phần mềm tống tiền được phân phối qua nhiều kênh khác nhau, bao gồm email lừa đảo và thư rác với các tài liệu đính kèm có chứa mã độc – JavaScript hoặc VBScript.”
Những kẻ đứng sau kế hoạch tội phạm ước tính đã nhắm mục tiêu vào ít nhất 37 công ty ở Đức, với các nạn nhân ở Mỹ phải trả không dưới 40 triệu euro trong khoảng thời gian từ tháng 5 năm 2019 đến tháng 3 năm 2021.
