Cơ quan Điều tra An ninh Nội địa (HSI), đơn vị điều tra chính của DHS, đã triệt phá cơ sở hạ tầng của nhóm Royal và BlackSuit với sự hợp tác của các đối tác thực thi pháp luật quốc tế, cho biết thêm rằng tội phạm mạng cũng đã thu được hơn 370 triệu đô la từ các nạn nhân.

"Kể từ năm 2022, các nhóm ransomware Royal và BlackSuit đã xâm nhập vào hơn 450 công ty nạn nhân được biết đến tại Hoa Kỳ, bao gồm các tổ chức trong lĩnh vực Y tế, Giáo dục, an toàn công cộng, năng lượng và chính phủ", HSI cho biết trong một thông cáo báo chí hôm thứ Năm tuần trước.

"Các nhóm tội phạm này đã nhận được tổng cộng hơn 370 triệu đô la tiền chuộc, dựa trên giá trị định giá hiện tại của tiền điện tử. Các âm mưu ransomware này sử dụng chiến thuật tống tiền kép - mã hóa hệ thống của nạn nhân trong khi đe dọa làm rò rỉ dữ liệu bị đánh cắp để tiếp tục ép buộc họ thanh toán."

Bộ Tư pháp Hoa Kỳ xác nhận vào ngày 24 tháng 7 vừa qua rằng, cơ quan thực thi pháp luật đã tịch thu các tên miền tống tiền trên trang web đen như BlackSuit, thay thế nội dung các trang web rò rỉ của băng đảng bằng các biểu ngữ đã bị “tịch thu”, một phần của chiến dịch quốc tế chung có tên mã là Chiến dịch Checkmate.

Nhóm tội phạm mạng đứng sau hai hoạt động ransomware này nổi lên với tên gọi Quantum vào tháng 1 năm 2022 và được cho là kế thừa của tổ chức tội phạm mạng khét tiếng Conti. Ban đầu, chúng triển khai các bộ mã hóa từ các nhóm khác (như ALPHV/BlackCat), sau đó chúng đã phát triển bộ mã hóa Zeon của riêng mình, đổi tên thành ransomware Royal vào tháng 9/2022.

Vào tháng 6/2023, sau khi nhắm mục tiêu vào Thành phố Dallas, bang Texas, Hoa Kỳ và thử nghiệm một bộ mã hóa mới có tên là BlackSuit, băng đảng ransomware Royal đã chuyển sang sử dụng thương hiệu BlackSuit.

Trong một bản khuyến cáo chung vào tháng 11/2023, Cơ quan An ninh mạng và Cơ sở hạ tầng của Mỹ (CISA) và Cục điều tra liên bang Mỹ (FBI) đã xác nhận rằng, Royal và BlackSuit có chung chiến thuật, liên kết nhóm ransomware Royal với các cuộc tấn công nhắm vào hơn 350 tổ chức trên toàn thế giới kể từ tháng 9/2022, dẫn đến yêu cầu tiền chuộc vượt quá 275 triệu đô la.

Một bản khuyến cáo chung vào tháng 8/2024 từ hai cơ quan nói trên sau đó đã xác nhận rằng, ransomware Royal đã đổi tên thành BlackSuit và đòi hơn 500 triệu đô la từ các nạn nhân kể từ khi xuất hiện hơn hai năm trước đó.

Đổi tên thành nhóm ransomware Chaos

Kể từ khi cơ sở hạ tầng của BlackSuit bị phá hủy, nhóm nghiên cứu tình báo mối đe dọa Cisco Talos đã tìm thấy bằng chứng cho thấy nhóm ransomware BlackSuit có khả năng sẽ đổi tên thành ransomware Chaos.

Hoạt động tấn công bằng mã độc như một dạng dịch vụ (ransomware-as-a-service, được viết tắt là RaaS) mới của tội phạm mạng đã được liên kết với các cuộc tấn công tống tiền kép, trong đó chúng sử dụng kỹ thuật xã hội dựa trên giọng nói để truy cập và triển khai một bộ mã hóa nhắm mục tiêu vào cả bộ nhớ cục bộ và từ xa để gây ra thiệt hại tối đa.

"Talos tin rằng, mã độc tống tiền Chaos mới không liên quan đến các biến thể trước đây do nhóm Chaos tạo ra, vì nhóm này sử dụng cùng một tên để gây nhầm lẫn", các nhà nghiên cứu cho biết.

"Talos đánh giá với mức độ tin cậy vừa phải rằng, nhóm mã độc tống tiền Chaos mới là một phiên bản đổi tên của mã độc tống tiền BlackSuit (Royal) hoặc do một số thành viên cũ của nhóm này điều hành.

"Đánh giá này dựa trên những điểm tương đồng về chiến thuật, kỹ thuật và thủ tục (TTP), bao gồm các lệnh mã hóa, chủ đề và cấu trúc của thông báo đòi tiền chuộc, cũng như việc sử dụng các ứng dụng Windows hợp pháp (LOLbin) và các công cụ giám sát và quản lý từ xa (RMM) trong các cuộc tấn công của chúng".

Hà Linh