Thống kê các vụ tấn công ransomware trong Q4/2022

2023-02-18 An toàn dữ liệu, Điều tra dữ liệu, Tin tức

Các cuộc tấn công Ransomware trên khắp toàn cầu được ghi nhận và thông kê trong quý 4/2022 bởi Avast Threat Labs.

So với quý 3/2022, số vụ tấn công Ransomware hàng ngày được phát hiện đang giảm dần trong quý 4/2022 với mức giảm khoảng 17%.

 

threatreport
Biểu đồ mô tả thống kê số vụ tấn công ransomware được ghi nhận trông Q3-4/2022

 

Nếu bạn thắc mắc tại sao biểu đồ lại có hình răng cưa thì đây chính là sự phản ánh chu kỳ hàng tuần của ransomware: các cuộc tấn công thường được báo cáo ít nhất vào cuối tuần bởi đây là ngày nghỉ của hầu hết mọi người và các thiết bị ít được sử dụng trong thời gian này.

 

Thống kê

Danh sách các quốc gia có tỉ lệ rủi ro cao nhất không thay đổi đáng kể so với quý 3/2022. Ở hầu hết các quốc gia trong danh sách, số vụ tấn công đều được ghi nhận có xu hướng giảm. Afghanistan là ngoại lệ duy nhất, nơi có tỷ lệ rủi ro đang tăng lên.

Afghanistan (+45%)

Papua New Guinea (-18%)

Mozambique (-13%)

Ghana (-11%)

Angola (+6%)

Vietnam (-40%)

Có thể thấy, tuy tỷ lệ rủi ro tấn công ransomware ở Việt Nam đã giảm đáng kể so với quý trước nhưng vẫn nằm trong top đầu các quốc gia có nguy cơ cao.

 

Các chủng ransomware

STOP và WannaCry vẫn là những loại chiếm tỉ lệ vượt trội. Các chủng ransomware khác chia nhau thị phần nhỏ hơn:

STOP (21%)

WannaCry (20%)

Thanatos (2%)

HiddenTear (1%)

Magniber (<1%)

TargetCompany (<1%)

 

Tin tức

Không còn nghi ngờ gì khi gọi ransomware chính là một hình thức kinh doanh. Các băng đảng ransomware hoạt động như một công công ty thực thụ: Chúng có người quản lý, chia thành các nhóm, có trang web và blog riêng, thậm chí chúng còn trả lời phỏng vấn. Tuy vậy, chúng vẫn là những băng đảng tống tiền với nhiều hoạt động kinh doanh bất hợp pháp. Một chi nhánh của phần mềm tống tiền Netwalker, Sebastien Vachon-Desjardins đã bị kết án 20 năm tù bởi tòa án Florida vì tội tấn công một công ty không xác định ở thành phố Tampa của bang. Trong vụ án này, hơn 21,5 triệu đô la đã bị tịch thu. Đây chắc chắn rằng bản án 20 năm là một lời cảnh báo đanh thép tới các băng nhóm tội phạm mạng.

Mặc dù ransomware Sodinokibi/REvil đã chết gần một năm, nhưng các nhà nghiên cứu từ Palo Alto Networks cho rằng nó có thể tái sinh thành một băng đảng khác, được gọi là Ransom Cartel. Giả định này dựa trên sự tương đồng giữa mã Ransom Cartel và Sodinokibi. Ngoài ra, một số liên kết chia sẻ tệp của Ransom Cartel giống với những liên kết được sử dụng trước đây bởi băng nhóm Sodinokibi. Vì mã nguồn của Sodinokibi không bao giờ bị rò rỉ, Ransom Cartel đã cố gắng bắt chước phần mềm tống tiền Sodinokibi hoặc chính họ sở hữu mã nguồn.

Mã độc tống tiền LockBit tiếp tục có những hoạt động đáng chú ý trong Q4/2022. Băng nhóm này đứng đằng sau nhiều vụ tấn công: Tập đoàn Tái bảo hiểm Châu Á, Porto de Lisboa (Cảng vụ Lisbon), Royal Mail của Anh, tập đoàn ô tô đa quốc gia của Đức Continental, tập đoàn đường sắt khổng lồ Wabtec của Hoa Kỳ và đại lý ô tô Pendragon của Anh. Yêu cầu tiền chuộc trải dài từ hàng chục nghìn đô la (Tập đoàn Tái bảo hiểm Châu Á) đến 1,5 triệu đô la (Porto de Lisboa) cho đến tận 60 triệu đô la (trong trường hợp của Pendragon).

 

threatreport2
Các cuộc tấn công đáng chú ý của LockBit vào các công ty lớn trong Q4/2022

 

Băng LockBit thường sử dụng dữ liệu nội bộ của các công ty bị tấn công để tống tiền và đe dọa sẽ công bố chúng nếu tiền chuộc không được trả. Chúng thậm chí còn rao bán công khai những dữ liệu này trên blog của mình cho bấn kỳ ai sẵn sàng trả số tiền được yêu cầu.

 

threatreport3
Dữ liệu đánh cắp được từ các cuộc tấn công ransomware bị rao bán công khai

 

Có một cuộc tấn công khác với những cuộc tấn công thông thường. Vào ngày 18 tháng 12 năm 2022, bệnh viện SickKids đã bị ransomware xâm nhập vào hệ thống và dữ liệu của họ bị mã hóa. Tuy nhiên, hai ngày sau, nhóm ransomware đã xin lỗi vì đã tấn công bệnh viện. Như một phần của lời xin lỗi, họ đã sa thải thành viên băng đảng chịu trách nhiệm về vụ tấn công và phát hành bộ giải mã miễn phí. Bệnh viện sau đó xác nhận rằng họ đã khôi phục gần 50% dữ liệu được mã hóa.

 

threatreport4
LockBit công khai xin lỗi và phát hành bộ giải mã miễn phí

 

Mặc dù đây có thể là một cử chỉ chu đáo trong mùa Giáng sinh, nhưng hy vọng rằng một ngày nào đó, các thành viên LockBit sẽ phải chịu trách nhiệm cho những cuộc tấn công của chúng.

Ngoài bản thân LockBit, còn có các bản sao xuất hiện từ trình tạo LockBit bị rò rỉ. Một trong số đó là một cặp băng đảng tên là TommyLeaks và SchoolBoys. Hai nhóm đó thực chất là một nhóm ransomware, vì chúng sử dụng cùng một kiểu trang web đàm phán (lý do vẫn chưa rõ ràng).

Theo Avast Q4/2022 Threat Report – Avast Threat Labs

Từ khóa:

Chia sẻ:

Bài viết liên quan

malware
30Oct

Malware không thể hủy diệt đang tồn tại???

Một phần mềm độc hại không thể xóa khỏi ổ cứng của nạn nhân là có tồn tại. Tuy... read more

ổ cứng cắm không nhận 3
15Oct

Tổng hợp các lỗi ổ cứng cắm không nhận và cách xử lý

Ổ cứng là một phần quan trọng trong hệ thống máy tính, giúp lưu trữ dữ liệu và đảm... read more

phân tích mã PIN iPhone
09Oct

Phân tích mã PIN trong giám định thiết bị iOS

Vai trò của mã PIN/mật mã trong giám định thiết bị di động Mã PIN hoặc mật mã là “chìa... read more

chứng cứ kỹ thuật số
04Oct

Bảo vệ chứng cứ kỹ thuật số: Đừng tắt máy tính!

Trong kỷ nguyên số, nơi thông tin được coi là một loại hàng hóa quý giá và hầu hết... read more

VR-TABLE for JTAG EMMC FBUS
26Sep

Trích xuất dữ liệu bằng phương pháp JTAG

Giám định pháp y JTAG là gì? JTAG (Joint Test Action Group) là quy trình thu thập, trích xuất... read more

pháp y thiết bị iOS
26Sep

Ý nghĩa của việc đặt lại mật khẩu màn hình trong pháp y thiết bị iOS

Trong lĩnh vực điều tra pháp y thiết bị iOS, việc sử dụng lỗ hổng checkm8 để trích xuất... read more

Hotline
092 876 5688