Trong bối cảnh các mối đe dọa mạng ngày càng phát triển, việc nắm bắt bản chất thực sự của các chiến dịch mã độc ransomware trở nên phức tạp hơn bao giờ hết. Đã qua rồi thời kỳ các đội ngũ an ninh mạng có thể coi mỗi nhóm ransomware là một thực thể riêng biệt và thống nhất.

“Kỷ nguyên hậu Conti” đã mở ra một thị trường phân mảnh với nhiều biến thể, nơi các liên minh thay đổi, danh tính bị lu mờ và những kết nối ẩn giấu làm nền tảng cho toàn bộ hệ sinh thái.

Nghiên cứu Tiết lộ Liên minh Ransomware

Một nỗ lực nghiên cứu hợp tác mới, được dẫn dắt bởi Jon DiMaggio tại Analyst1, cùng với Scylla Intel và DomainTools Investigations Team, đã đúc kết thành một biểu đồ thông tin (infographic) mang tên “A Visual and Analytical Map of Russian-affiliated Ransomware Groups”.

Thay vì chỉ đơn thuần liệt kê các nhóm riêng lẻ, dự án này đã tiết lộ một mạng lưới quan hệ phức tạp. Mạng lưới này bao gồm việc chia sẻ mã nguồn, sự chồng chéo về hạ tầng và sự di chuyển của các nhà vận hành, thúc đẩy các hoạt động mã độc ransomware hiện đại.

Mục tiêu và Phương pháp Điều tra

Mục tiêu cốt lõi của nghiên cứu là vượt ra ngoài việc gán quyền tác giả cho các “gia đình” mã độc ransomware riêng lẻ. Thay vào đó, nghiên cứu tập trung vào việc lập bản đồ các kết nối ẩn giấu, liên kết các phe phái tội phạm với nhau.

Sử dụng phương pháp điều tra gia tăng “spider-out”, các nhà phân tích bắt đầu với các nhóm đã được thiết lập như Conti, LockBit và Evil Corp. Sau đó, họ lần theo các dấu vết tương đồng để tìm ra những đối tượng ít được biết đến hơn.

Nguồn Dữ liệu và Phân tích Kỹ thuật

Các nguồn dữ liệu đa dạng đã được sử dụng, bao gồm:

• Thông tin tình báo nguồn mở (OSINT).
• Các bản ghi hạ tầng lịch sử.
• Nguồn cấp dữ liệu mối đe dọa độc quyền.
• Thông tin tình báo con người (HUMINT).

Bằng cách đối chiếu các địa chỉ IP trùng lặp, bản ghi DNS thụ động, chứng chỉ TLS được chia sẻ và các vector lây nhiễm chung, nhóm nghiên cứu đã xác định các trường hợp chia sẻ tài nguyên và tái sử dụng ở cấp độ đối tác (affiliate).

Phân tích mã nguồn còn tiết lộ các đoạn mã được chia sẻ giữa Black Basta và Qakbot, cùng với việc tiếp tục sử dụng hạ tầng cũ của Trickbot.

Sự phổ biến của các công cụ như AnyDesk(lỗ hổng AnyDesk) và Quick Assist cho thấy sự đào tạo chung hoặc các sách hướng dẫn vận hành tương tự. Điều này gợi ý một mức độ tiêu chuẩn hóa giữa các nhóm dường như khác biệt.

Sự Di chuyển của Con người và Các Cuộc Tấn công Ransomware

Một khía cạnh nổi bật nhất của nghiên cứu là việc trực quan hóa sự chồng chéo và di chuyển của con người. Các chuyên gia bảo mật thường cho rằng các chủng phần mềm độc hại xác định danh tính của một nhóm. Tuy nhiên, biểu đồ thông tin đã bác bỏ quan niệm này bằng cách nêu bật các cá nhân di chuyển giữa các hệ sinh thái mã độc ransomware.

Ví dụ, đối tượng được biết đến với biệt danh “Wazawaka” có liên hệ với REvil, Babuk, LockBit, Hive và Conti. Trong khi đó, “Bassterlord” đã chuyển từ REvil sang Avaddon, sau đó là LockBit, và cuối cùng là Hive.

Những sự di chuyển này cho thấy vốn con người – các kỹ năng và mối quan hệ của từng nhà vận hành – là tài sản chính trong các chiến dịch cuộc tấn công ransomware(Maze ransomware shuts down).

Lòng trung thành thương hiệu tỏ ra lỏng lẻo: các nhà vận hành thích nghi với điều kiện thị trường, tổ chức lại để đối phó với áp lực từ cơ quan thực thi pháp luật và dựa vào các liên hệ đáng tin cậy thay vì tên nhóm.

Trong bối cảnh này, việc thay đổi thương hiệu (rebranding) không phải là một sự ngụy trang mà là một bước chuyển đổi chiến lược. Điều này được thúc đẩy bởi sự linh hoạt của các nhà vận hành, những người mang theo chuyên môn và năng lực qua nhiều tổ chức khác nhau.

Ý nghĩa đối với Phòng thủ và Threat Intelligence

Những tiết lộ từ biểu đồ thông tin có ý nghĩa sâu sắc đối với cả các nhà phòng thủ và các nhà hoạch định chính sách.

Thứ nhất, việc tái sử dụng mã nguồn hoặc chia sẻ hạ tầng không đồng nghĩa với danh tính nhóm rõ ràng. Các giả định về việc gán quyền tác giả đơn lẻ có nguy cơ bỏ qua sự hợp tác và hội tụ giữa các tác nhân.

Bằng cách làm sáng tỏ các liên minh và sự chồng chéo ẩn giấu làm nền tảng cho mã độc ransomware có liên quan đến Nga, nghiên cứu này cung cấp một khuôn khổ mới cho threat intelligence(phân tích Threat Intelligence với Sandbox).

Thứ hai, việc gắn nhãn nhóm đang ngày càng trở nên lỗi thời. Một góc nhìn hiệu quả hơn tập trung vào các cụm hoạt động – các TTP (chiến thuật, kỹ thuật và quy trình) được chia sẻ, dấu vân tay hạ tầng và mạng lưới con người – thay vì các tên nhóm nguyên khối.

Cuối cùng, việc hiểu bản chất mô-đun của các hoạt động mã độc ransomware là rất quan trọng để xây dựng các chiến lược phá vỡ.

Khi các phe phái chuyên môn hóa vào các vai trò như đàm phán, phát triển hoặc quản lý hạ tầng, chúng hoạt động như các thành phần trong một thị trường, tái cấu trúc thành các cấu hình mới khi điều kiện thay đổi.

Các chiến thuật né tránh lệnh trừng phạt, như việc Evil Corp liên tục thay đổi thương hiệu kết hợp với việc tái sử dụng hạ tầng dai dẳng, nhấn mạnh khả năng bền bỉ của chúng bất chấp những thay đổi về tên gọi.

Các đội ngũ an ninh cần phát triển các phương pháp theo dõi của mình, ưu tiên các dấu hiệu hạ tầng ổn định và phân tích mạng lưới con người hơn là các tên thương hiệu tạm thời.

Biểu đồ thông tin đầy đủ, có sẵn thông qua DomainTools Investigations, đóng vai trò như một hướng dẫn trực quan và lộ trình chiến lược để hiểu và chống lại các hệ sinh thái tội phạm năng động này.