Thống kê các vụ tấn công ransomware trong Q4/2022

2023-02-18 An toàn dữ liệu, Điều tra dữ liệu, Tin tức

Các cuộc tấn công Ransomware trên khắp toàn cầu được ghi nhận và thông kê trong quý 4/2022 bởi Avast Threat Labs.

So với quý 3/2022, số vụ tấn công Ransomware hàng ngày được phát hiện đang giảm dần trong quý 4/2022 với mức giảm khoảng 17%.

 

threatreport
Biểu đồ mô tả thống kê số vụ tấn công ransomware được ghi nhận trông Q3-4/2022

 

Nếu bạn thắc mắc tại sao biểu đồ lại có hình răng cưa thì đây chính là sự phản ánh chu kỳ hàng tuần của ransomware: các cuộc tấn công thường được báo cáo ít nhất vào cuối tuần bởi đây là ngày nghỉ của hầu hết mọi người và các thiết bị ít được sử dụng trong thời gian này.

 

Thống kê

Danh sách các quốc gia có tỉ lệ rủi ro cao nhất không thay đổi đáng kể so với quý 3/2022. Ở hầu hết các quốc gia trong danh sách, số vụ tấn công đều được ghi nhận có xu hướng giảm. Afghanistan là ngoại lệ duy nhất, nơi có tỷ lệ rủi ro đang tăng lên.

Afghanistan (+45%)

Papua New Guinea (-18%)

Mozambique (-13%)

Ghana (-11%)

Angola (+6%)

Vietnam (-40%)

Có thể thấy, tuy tỷ lệ rủi ro tấn công ransomware ở Việt Nam đã giảm đáng kể so với quý trước nhưng vẫn nằm trong top đầu các quốc gia có nguy cơ cao.

 

Các chủng ransomware

STOP và WannaCry vẫn là những loại chiếm tỉ lệ vượt trội. Các chủng ransomware khác chia nhau thị phần nhỏ hơn:

STOP (21%)

WannaCry (20%)

Thanatos (2%)

HiddenTear (1%)

Magniber (<1%)

TargetCompany (<1%)

 

Tin tức

Không còn nghi ngờ gì khi gọi ransomware chính là một hình thức kinh doanh. Các băng đảng ransomware hoạt động như một công công ty thực thụ: Chúng có người quản lý, chia thành các nhóm, có trang web và blog riêng, thậm chí chúng còn trả lời phỏng vấn. Tuy vậy, chúng vẫn là những băng đảng tống tiền với nhiều hoạt động kinh doanh bất hợp pháp. Một chi nhánh của phần mềm tống tiền Netwalker, Sebastien Vachon-Desjardins đã bị kết án 20 năm tù bởi tòa án Florida vì tội tấn công một công ty không xác định ở thành phố Tampa của bang. Trong vụ án này, hơn 21,5 triệu đô la đã bị tịch thu. Đây chắc chắn rằng bản án 20 năm là một lời cảnh báo đanh thép tới các băng nhóm tội phạm mạng.

Mặc dù ransomware Sodinokibi/REvil đã chết gần một năm, nhưng các nhà nghiên cứu từ Palo Alto Networks cho rằng nó có thể tái sinh thành một băng đảng khác, được gọi là Ransom Cartel. Giả định này dựa trên sự tương đồng giữa mã Ransom Cartel và Sodinokibi. Ngoài ra, một số liên kết chia sẻ tệp của Ransom Cartel giống với những liên kết được sử dụng trước đây bởi băng nhóm Sodinokibi. Vì mã nguồn của Sodinokibi không bao giờ bị rò rỉ, Ransom Cartel đã cố gắng bắt chước phần mềm tống tiền Sodinokibi hoặc chính họ sở hữu mã nguồn.

Mã độc tống tiền LockBit tiếp tục có những hoạt động đáng chú ý trong Q4/2022. Băng nhóm này đứng đằng sau nhiều vụ tấn công: Tập đoàn Tái bảo hiểm Châu Á, Porto de Lisboa (Cảng vụ Lisbon), Royal Mail của Anh, tập đoàn ô tô đa quốc gia của Đức Continental, tập đoàn đường sắt khổng lồ Wabtec của Hoa Kỳ và đại lý ô tô Pendragon của Anh. Yêu cầu tiền chuộc trải dài từ hàng chục nghìn đô la (Tập đoàn Tái bảo hiểm Châu Á) đến 1,5 triệu đô la (Porto de Lisboa) cho đến tận 60 triệu đô la (trong trường hợp của Pendragon).

 

threatreport2
Các cuộc tấn công đáng chú ý của LockBit vào các công ty lớn trong Q4/2022

 

Băng LockBit thường sử dụng dữ liệu nội bộ của các công ty bị tấn công để tống tiền và đe dọa sẽ công bố chúng nếu tiền chuộc không được trả. Chúng thậm chí còn rao bán công khai những dữ liệu này trên blog của mình cho bấn kỳ ai sẵn sàng trả số tiền được yêu cầu.

 

threatreport3
Dữ liệu đánh cắp được từ các cuộc tấn công ransomware bị rao bán công khai

 

Có một cuộc tấn công khác với những cuộc tấn công thông thường. Vào ngày 18 tháng 12 năm 2022, bệnh viện SickKids đã bị ransomware xâm nhập vào hệ thống và dữ liệu của họ bị mã hóa. Tuy nhiên, hai ngày sau, nhóm ransomware đã xin lỗi vì đã tấn công bệnh viện. Như một phần của lời xin lỗi, họ đã sa thải thành viên băng đảng chịu trách nhiệm về vụ tấn công và phát hành bộ giải mã miễn phí. Bệnh viện sau đó xác nhận rằng họ đã khôi phục gần 50% dữ liệu được mã hóa.

 

threatreport4
LockBit công khai xin lỗi và phát hành bộ giải mã miễn phí

 

Mặc dù đây có thể là một cử chỉ chu đáo trong mùa Giáng sinh, nhưng hy vọng rằng một ngày nào đó, các thành viên LockBit sẽ phải chịu trách nhiệm cho những cuộc tấn công của chúng.

Ngoài bản thân LockBit, còn có các bản sao xuất hiện từ trình tạo LockBit bị rò rỉ. Một trong số đó là một cặp băng đảng tên là TommyLeaks và SchoolBoys. Hai nhóm đó thực chất là một nhóm ransomware, vì chúng sử dụng cùng một kiểu trang web đàm phán (lý do vẫn chưa rõ ràng).

Theo Avast Q4/2022 Threat Report – Avast Threat Labs

Từ khóa:

Chia sẻ:

Bài viết liên quan

file-RSV
18Jun

Tất tần tật về khôi phục file Sony RSV

Trong cộng đồng những người dùng máy ảnh Sony, khái niệm lỗi file định dạng RSV có lẽ không... read more

lockbit
29May

LockBit 2025: Hé lộ mặt tối của một đế chế tội phạm số toàn cầu

Bài viết được thực hiện bởi chuyên gia phân tích từ HTI Services – Một thành viên của HTI... read more

Hệ thống tạo ảnh và lưu trữ dữ liệu - Hermes Forensics
29May

HERMERS FORENSICS – Phòng LAB di động thế hệ mới

Khi thực hiện thu thập chứng cứ là dữ liệu điện tử tại hiện trường, kỹ thuật viên thường... read more

NVIDIA RTX PRO 6000 Blackwell Workstation
27May

Đập hộp VGA “khủng” nhất hiện nay: NVIDIA RTX PRO 6000 Blackwell Workstation

HTI Services đã sở hữu VGA "khủng" nhất hiện nay: NVIDIA RTX PRO 6000 Blackwell Workstation – Một trong... read more

WannaCry
15May

RANSOMWARE – BE AWARE [WannaCry]

Trong lịch sử ngành an ninh mạng, hiếm có cuộc tấn công nào gây chấn động và lan rộng... read more

thiết bị tạo ảnh ổ đĩa
14May

Khôi phục và tạo ảnh dữ liệu hệ thống RAID với Hermers Forensics

RAID – Thách thức lớn trong điều tra và phục hồi dữ liệu Trong môi trường doanh nghiệp, tổ chức... read more

Hotline
092 876 5688