Trong tháng 8, nhóm mã độc ransomware Qilin tiếp tục thể hiện sự vượt trội trên toàn cầu, ghi nhận 104 nạn nhân và gần như gấp đôi tổng số nạn nhân của Akira (56 cuộc tấn công ransomware). Đây là lần thứ tư trong năm tháng Qilin dẫn đầu danh sách, nhấn mạnh sự mở rộng không ngừng và chiến lược tuyển dụng đối tác tinh vi của nhóm.

Qilin Thống Trị Thị Trường Mã Độc Ransomware

Qilin đã tấn công 398 nạn nhân kể từ tháng 4, chiếm 18.4% trong tổng số sự cố mã độc ransomware được ghi nhận trong năm tháng qua. Con số này cao hơn 70% so với Akira, nhóm đứng thứ hai với 10.7% tổng số cuộc tấn công ransomware.

Sự phát triển nhanh chóng của Qilin được cho là nhờ chương trình đối tác mạnh mẽ. Chương trình này cung cấp các ưu đãi hấp dẫn và mô hình ransomware-as-a-service (RaaS) hiệu quả cho việc phân phối mã độc ransomware.

Các đối tác rời bỏ RansomHub hoặc các hoạt động khác đặc biệt bị thu hút bởi các tính năng kỹ thuật của Qilin. Bao gồm chuỗi mã hóa đa tầng, xử lý thanh toán ẩn danh và các trang rò rỉ dữ liệu tùy chỉnh.

Qilin đã dẫn đầu sự gia tăng các cuộc tấn công, như phân tích chi tiết tại Cyble. Đây là một mối đe dọa mạng đáng kể cần được theo dõi.

Akira: Đối Thủ Bền Bỉ Trong Cuộc Chiến Mã Độc

Mặc dù Qilin chiếm ưu thế, Akira duy trì tốc độ ổn định. Nhóm này tận dụng một mạng lưới đối tác hẹp hơn nhưng nhất quán, tập trung chủ yếu vào các doanh nghiệp tầm trung.

Akira cũng đã được ghi nhận trong các báo cáo bảo mật, ví dụ như thông tin về việc khai thác Cisco AnyConnect được chia sẻ bởi GBHackers.

Việc các nhóm mới tăng cường chiến dịch mã độc ransomware sẽ thay đổi động lực này như thế nào vẫn là một câu hỏi quan trọng đối với các nhà bảo vệ.

Sự Trỗi Dậy Của Các Nhóm Mã Độc Ransomware Mới

Một trong những diễn biến đáng chú ý nhất trong tháng 8 là sự nổi lên của Sinobi. Nhóm này đã vươn lên vị trí thứ ba chỉ sau hai tháng hoạt động với các cuộc tấn công ransomware.

Sinobi đã tuyên bố 41 nạn nhân cho đến nay, với 39 nạn nhân có trụ sở tại Hoa Kỳ. Các nạn nhân còn lại ở Úc và Đài Loan.

Ban đầu có suy đoán Sinobi liên quan đến nhóm Lynx do trùng lặp mã và tương đồng trong thiết kế trang rò rỉ dữ liệu.

Tuy nhiên, Lynx tiếp tục công bố các nạn nhân mới (34 nạn nhân kể từ khi Sinobi xuất hiện), cho thấy các nhóm này hoạt động riêng biệt, có thể dưới sự chia sẻ đối tác hoặc thỏa thuận hợp tác trong hệ sinh thái mã độc ransomware.

Lynx cũng có liên hệ với INC Ransom, nhóm đã tấn công hơn 80 nạn nhân kể từ khi Sinobi xuất hiện. Điều này cho thấy một hệ sinh thái các nhà cung cấp RaaS liên kết chặt chẽ.

Đà tăng trưởng nhanh chóng của Sinobi chậm lại một chút sau ngày 24 tháng 8, chỉ có một nạn nhân mới được công bố trong phần còn lại của tháng. Mặc dù vậy, việc nhắm mục tiêu đa dạng của Sinobi (hơn mười lĩnh vực, bao gồm một tổ chức tài chính lớn của Hoa Kỳ) cho thấy một hoạt động đầy tham vọng và được đầu tư tốt trong lĩnh vực mã độc ransomware.

Các Đối Thủ Khác Xuất Hiện Trong Tháng 9

• The Gentlemen: Nhóm này được quan sát lần đầu vào đầu tháng 9 và đã công bố hơn 30 nạn nhân. Điều này báo hiệu một sự thay đổi khác trong bảng xếp hạng các cuộc tấn công ransomware.
• BlackNevas (“Trial Recovery”): Xuất hiện vào tháng 11 năm 2024 và hiện liệt kê 12 nạn nhân tại chín quốc gia. BlackNevas khai thác các biến thể mã thuộc họ Trigona, được GBHackers đề cập.
• Charon:Mã độc ransomware này sử dụng các chiến thuật kiểu APT, gợi nhớ đến các hoạt động liên quan đến Trung Quốc. Chúng nhắm vào các mục tiêu trong khu vực công và hàng không ở Trung Đông.
• Cephalus: Lần đầu tiên được thấy vào đầu tháng 8, sử dụng phần mở rộng mã hóa .sss và đã liệt kê mười nạn nhân trên trang rò rỉ dữ liệu onion của mình.

Hai nạn nhân của Cephalus trùng lặp với Qilin và Kawa4096. Điều này gợi ý về các mạng lưới liên minh nhằm khuếch đại áp lực tống tiền.

Thống Kê Tổng Quan Và Mục Tiêu Tấn Công Ransomware

Hoạt động của mã độc ransomware đã tăng lên 467 sự cố trong tháng 8, đánh dấu tháng tăng thứ tư liên tiếp. Tuy nhiên, con số này vẫn thấp hơn mức cao kỷ lục của tháng 2.

Các Ngành Bị Nhắm Mục Tiêu Hàng Đầu Bởi Mã Độc Ransomware

• Xây dựng
• Dịch vụ chuyên nghiệp
• Sản xuất
• Chăm sóc sức khỏe
• IT và Công nghệ
• Ô tô
• Tài chính

Phân Bố Địa Lý Các Cuộc Tấn Công

• Hoa Kỳ: Chịu phần lớn các cuộc tấn công ransomware.
• Châu Âu và Canada: Đặc biệt là Đức và Vương quốc Anh, tiếp tục chịu hoạt động đáng kể.
• APAC (Châu Á – Thái Bình Dương): BlackNevas và Dire Wolf là các mối đe dọa mạng đáng kể. Hàn Quốc, Nhật Bản, Thái Lan, Singapore và Đài Loan mỗi nước chịu bốn cuộc tấn công trở lên.
• META (Trung Đông, Thổ Nhĩ Kỳ và Châu Phi): Qilin, Warlock và INC chiếm ưu thế.
• Nam Mỹ: Brazil dẫn đầu với tám cuộc tấn công, chủ yếu do Qilin thực hiện.

LockBit 5.0 Và Các Chiến Lược Phòng Thủ Chống Mã Độc Ransomware

Trong bối cảnh này, LockBit đã ra mắt phiên bản 5.0. Phiên bản này nhằm phục hồi sau các gián đoạn từ cơ quan thực thi pháp luật vào năm 2024. Phiên bản mới này giới thiệu các kỹ thuật né tránh mới và cổng đàm phán được cải thiện. Các chi tiết về LockBit và các lỗ hổng mà chúng khai thác có thể được tìm thấy tại GBHackers.

Để đối phó với mối đe dọa mạng ngày càng phức tạp này, các nhóm an ninh mạng cần tăng cường khả năng phục hồi an ninh mạng. Điều này thông qua việc phân đoạn mạng nghiêm ngặt, chính sách Zero Trust, sao lưu bất biến, củng cố điểm cuối và quản lý lỗ hổng chủ động.

Một kế hoạch ứng phó sự cố được diễn tập kỹ lưỡng, kết hợp với giám sát thông tin mối đe dọa liên tục và quản lý bề mặt tấn công, là điều cần thiết để giảm thiểu mối đe dọa ransomware đang phát triển.