Thống kê các vụ tấn công ransomware trong Q4/2022

2023-02-18 An toàn dữ liệu, Điều tra dữ liệu, Tin tức

Các cuộc tấn công Ransomware trên khắp toàn cầu được ghi nhận và thông kê trong quý 4/2022 bởi Avast Threat Labs.

So với quý 3/2022, số vụ tấn công Ransomware hàng ngày được phát hiện đang giảm dần trong quý 4/2022 với mức giảm khoảng 17%.

 

threatreport
Biểu đồ mô tả thống kê số vụ tấn công ransomware được ghi nhận trông Q3-4/2022

 

Nếu bạn thắc mắc tại sao biểu đồ lại có hình răng cưa thì đây chính là sự phản ánh chu kỳ hàng tuần của ransomware: các cuộc tấn công thường được báo cáo ít nhất vào cuối tuần bởi đây là ngày nghỉ của hầu hết mọi người và các thiết bị ít được sử dụng trong thời gian này.

 

Thống kê

Danh sách các quốc gia có tỉ lệ rủi ro cao nhất không thay đổi đáng kể so với quý 3/2022. Ở hầu hết các quốc gia trong danh sách, số vụ tấn công đều được ghi nhận có xu hướng giảm. Afghanistan là ngoại lệ duy nhất, nơi có tỷ lệ rủi ro đang tăng lên.

Afghanistan (+45%)

Papua New Guinea (-18%)

Mozambique (-13%)

Ghana (-11%)

Angola (+6%)

Vietnam (-40%)

Có thể thấy, tuy tỷ lệ rủi ro tấn công ransomware ở Việt Nam đã giảm đáng kể so với quý trước nhưng vẫn nằm trong top đầu các quốc gia có nguy cơ cao.

 

Các chủng ransomware

STOP và WannaCry vẫn là những loại chiếm tỉ lệ vượt trội. Các chủng ransomware khác chia nhau thị phần nhỏ hơn:

STOP (21%)

WannaCry (20%)

Thanatos (2%)

HiddenTear (1%)

Magniber (<1%)

TargetCompany (<1%)

 

Tin tức

Không còn nghi ngờ gì khi gọi ransomware chính là một hình thức kinh doanh. Các băng đảng ransomware hoạt động như một công công ty thực thụ: Chúng có người quản lý, chia thành các nhóm, có trang web và blog riêng, thậm chí chúng còn trả lời phỏng vấn. Tuy vậy, chúng vẫn là những băng đảng tống tiền với nhiều hoạt động kinh doanh bất hợp pháp. Một chi nhánh của phần mềm tống tiền Netwalker, Sebastien Vachon-Desjardins đã bị kết án 20 năm tù bởi tòa án Florida vì tội tấn công một công ty không xác định ở thành phố Tampa của bang. Trong vụ án này, hơn 21,5 triệu đô la đã bị tịch thu. Đây chắc chắn rằng bản án 20 năm là một lời cảnh báo đanh thép tới các băng nhóm tội phạm mạng.

Mặc dù ransomware Sodinokibi/REvil đã chết gần một năm, nhưng các nhà nghiên cứu từ Palo Alto Networks cho rằng nó có thể tái sinh thành một băng đảng khác, được gọi là Ransom Cartel. Giả định này dựa trên sự tương đồng giữa mã Ransom Cartel và Sodinokibi. Ngoài ra, một số liên kết chia sẻ tệp của Ransom Cartel giống với những liên kết được sử dụng trước đây bởi băng nhóm Sodinokibi. Vì mã nguồn của Sodinokibi không bao giờ bị rò rỉ, Ransom Cartel đã cố gắng bắt chước phần mềm tống tiền Sodinokibi hoặc chính họ sở hữu mã nguồn.

Mã độc tống tiền LockBit tiếp tục có những hoạt động đáng chú ý trong Q4/2022. Băng nhóm này đứng đằng sau nhiều vụ tấn công: Tập đoàn Tái bảo hiểm Châu Á, Porto de Lisboa (Cảng vụ Lisbon), Royal Mail của Anh, tập đoàn ô tô đa quốc gia của Đức Continental, tập đoàn đường sắt khổng lồ Wabtec của Hoa Kỳ và đại lý ô tô Pendragon của Anh. Yêu cầu tiền chuộc trải dài từ hàng chục nghìn đô la (Tập đoàn Tái bảo hiểm Châu Á) đến 1,5 triệu đô la (Porto de Lisboa) cho đến tận 60 triệu đô la (trong trường hợp của Pendragon).

 

threatreport2
Các cuộc tấn công đáng chú ý của LockBit vào các công ty lớn trong Q4/2022

 

Băng LockBit thường sử dụng dữ liệu nội bộ của các công ty bị tấn công để tống tiền và đe dọa sẽ công bố chúng nếu tiền chuộc không được trả. Chúng thậm chí còn rao bán công khai những dữ liệu này trên blog của mình cho bấn kỳ ai sẵn sàng trả số tiền được yêu cầu.

 

threatreport3
Dữ liệu đánh cắp được từ các cuộc tấn công ransomware bị rao bán công khai

 

Có một cuộc tấn công khác với những cuộc tấn công thông thường. Vào ngày 18 tháng 12 năm 2022, bệnh viện SickKids đã bị ransomware xâm nhập vào hệ thống và dữ liệu của họ bị mã hóa. Tuy nhiên, hai ngày sau, nhóm ransomware đã xin lỗi vì đã tấn công bệnh viện. Như một phần của lời xin lỗi, họ đã sa thải thành viên băng đảng chịu trách nhiệm về vụ tấn công và phát hành bộ giải mã miễn phí. Bệnh viện sau đó xác nhận rằng họ đã khôi phục gần 50% dữ liệu được mã hóa.

 

threatreport4
LockBit công khai xin lỗi và phát hành bộ giải mã miễn phí

 

Mặc dù đây có thể là một cử chỉ chu đáo trong mùa Giáng sinh, nhưng hy vọng rằng một ngày nào đó, các thành viên LockBit sẽ phải chịu trách nhiệm cho những cuộc tấn công của chúng.

Ngoài bản thân LockBit, còn có các bản sao xuất hiện từ trình tạo LockBit bị rò rỉ. Một trong số đó là một cặp băng đảng tên là TommyLeaks và SchoolBoys. Hai nhóm đó thực chất là một nhóm ransomware, vì chúng sử dụng cùng một kiểu trang web đàm phán (lý do vẫn chưa rõ ràng).

Theo Avast Q4/2022 Threat Report – Avast Threat Labs

Từ khóa:

Chia sẻ:

Bài viết liên quan

data_recovery
12Jul

Khôi phục dữ liệu: Những câu hỏi thường gặp

Tổng hợp những câu hỏi thường gặp nhất mà người dùng đặt ra khi gặp sự cố mất dữ... read more

huy_du_lieu_an_toan
11Jul

Giải pháp hủy dữ liệu an toàn cho các cơ quan chính phủ trong thời đại số

Các cơ quan, tổ chức nhà nước hiện đang quản lý một khối lượng dữ liệu khổng lồ -... read more

be_khoa_mat_khau
10Jul

Bẻ khóa mật khẩu từ A đến Z

Bẻ khóa mật khẩu và truy cập vào dữ liệu bị mã hóa là chủ đề nhận được rất... read more

tao_anh_o_dia
04Jul

Khi tốc độ trở nên quan trọng: Tạo ảnh nhanh cho ổ đĩa NVMe

Ổ đĩa NVMe SSD hiện đại cần các cách tiếp cận chuyên biệt để phân tích pháp y. Mỗi... read more

bao_ve_to_chuc_cua_ban_khoi_moi_nguy_hiem_tu_ransomware
30Jun

Bảo vệ tổ chức của bạn trước mối nguy hiểm từ Ransomware

Làm thế nào kẻ tấn công có thể vượt qua các giải pháp bảo mật của tổ chức bạn? Có... read more

Qilin-Agenda-Ransomware-Threats-Techniques-and-Prevention
24Jun

RANSOMWARE – BE AWARE [Qilin]

Giới thiệu Trong bối cảnh các cuộc tấn công ransomware đang gia tăng nhanh chóng, liệu có bao nhiêu tổ... read more

0928765688