Các chuyên gia phân tích các cuộc trò chuyện của các nhóm ransomware Conti và Hive với nạn nhân của chúng

Một phân tích kéo dài bốn tháng của hơn 40 cuộc trò chuyện giữa những kẻ điều hành ransomware Conti và Hive với nạn nhân của họ đã cung cấp một cái nhìn sâu sắc về hoạt động bên trong của các nhóm này, và kỹ thuật đàm phán của chúng.



Trong một cuộc trao đổi, Conti Team được cho là đã giảm đáng kể nhu cầu tiền chuộc từ 50 triệu đô la xuống 1 triệu đô la, mức giảm tới 98%. Điều này cho thấy họ sẵn sàng giải quyết với số tiền thấp hơn rất nhiều.



Cisco Talos cho biết trong một báo cáo được chia sẻ với The Hacker News rằng: “Cả Conti và Hive đều nhanh chóng giảm yêu cầu tiền chuộc, thường xuyên đưa ra mức giảm đáng kể nhiều lần trong suốt các cuộc đàm phán. Điều này cho thấy rằng bất chấp niềm tin phổ biến, nạn nhân của một cuộc tấn công ransomware thực sự có sức mạnh đàm phán đáng kể”.



Conti và Hive là một trong những chủng ransomware phổ biến nhất trong các mối đe dọa, chiếm 29,1% các cuộc tấn công được phát hiện trong khoảng thời gian ba tháng từ tháng 10 đến tháng 12/2021.



Điểm mấu chốt rút ra từ việc phân tích nhật ký trò chuyện là sự tương phản trong phong cách giao tiếp giữa hai nhóm. Trong khi các cuộc trò chuyện của Conti với nạn nhân là chuyên nghiệp và được đánh dấu bằng việc sử dụng các chiến thuật thuyết phục khác nhau để thuyết phục nạn nhân trả tiền chuộc, Hive sử dụng một cách tiếp cận “ngắn hơn, trực tiếp hơn nhiều”.



Bên cạnh việc cung cấp các kỳ nghỉ và giảm giá đặc biệt, Conti còn được biết đến là cung cấp “hỗ trợ IT” để ngăn chặn các cuộc tấn công trong tương lai. Chúng gửi cho nạn nhân một báo cáo bảo mật liệt kê một loạt các bước mà họ có thể thực hiện để gia tăng bảo mật.



Ngoài ra, nhóm này đã sử dụng các chiến thuật hù dọa, cảnh báo nạn nhân về thiệt hại danh tiếng và các vấn đề pháp lý bắt nguồn từ hậu quả của việc bị rò rỉ dữ liệu và đe dọa chia sẻ thông tin bị đánh cắp với đối thủ cạnh tranh và các bên liên quan khác.



CISA cho biết trong một khuyến cáo vào đầu năm nay rằng: ” Sau khi mã hóa mạng của nạn nhân, tin tặc tăng cường sử dụng phương pháp ‘ba bước tống tiền’ bằng cách đe dọa (1) tiết lộ công khai thông tin nhạy cảm bị đánh cắp, (2) làm gián đoạn quyền truy cập internet của nạn nhân và / hoặc (3) thông báo cho các đối tác, cổ đông của nạn nhân, hoặc các nhà cung cấp về vụ việc”.



Một điểm khác biệt nữa là tính linh hoạt của Conti về thời hạn thanh toán. Chuyên gia Kendall McKay của Talos cho biết: “Những hành vi này cho thấy những kẻ điều hành Conti là những tội phạm mạng rất cơ hội, những kẻ cuối cùng sẽ thích một khoản thanh toán hơn là không có”.



Mặt khác, Hive được nhận xét là sẽ nhanh chóng nâng cao yêu cầu về tiền chuộc nếu nạn nhân không thực hiện thanh toán trước ngày quy định.



Điều đáng chú ý nữa là Hive nhấn mạnh vào tốc độ so với độ chính xác trong quá trình mã hóa, khiến nó dễ bị sai lầm trong việc mã hóa và qua đó cho phép khôi phục.



McKay cho biết: “Giống như nhiều tội phạm mạng khác, Conti và Hive là những kẻ cơ hội tìm cách tấn công nạn nhân thông qua các phương tiện dễ dàng và nhanh chóng nhất có thể, thường bao gồm khai thác qua các lỗ hổng đã biết. Đây là một lời nhắc nhở cho tất cả các tổ chức để triển khai một hệ thống quản lý bản vá mạnh mẽ và giữ cho tất cả các hệ thống được cập nhật đầy đủ”.



Theo Thehackernews
The post Các chuyên gia phân tích các cuộc trò chuyện của các nhóm ransomware Conti và Hive với nạn nhân của chúng appeared first on SecurityDaily .