McAfee Labs: Oan cho Triều Tiên, Nga mới là kẻ chủ mưu trong các vụ hack Bitcoin

Một loạt các cuộc tấn công ransomware gần đây của hacker ước tính đã kiếm được 705,08 Bitcoin (BTC) (2,5 triệu đô la), các hacker có khả năng đến từ tội phạm mạng của Nga, chứ không phải các hacker được nhà nước bảo trợ như Triều Tiên nghĩ ban đầu.

Theo trang tin The Next Web trích dẫn bằng chứng từ các nhóm nghiên cứu an ninh mạng McAfee Labs và Crowdstrike, đã phân tích các chiến lược được sử dụng trong việc phát triển và phổ biến chủng ransomware Ryuk, và kết luận rằng danh tính và động lực của những kẻ chủ mưu của nó rất khó dự đoán. Chiến dịch Ryuk đáng chú ý đã thu hút sự chú ý rộng rãi sau khi nhắm vào nhóm truyền thông lớn của Hoa Kỳ Tribune Publishing trong dịp Giáng sinh.

Như McAfee lưu ý, Ryuk là một nhân vật truyện tranh giả tưởng, phát tán những tờ giấy báo tử gây chết người như một sự xao lãng xấu xa khỏi sự nhàm chán của chính anh ta – một sự tương tự cho các ghi chú tiền chuộc được báo cáo đã đi cùng với Ryuk khi các ransomware đã mã hóa nạn nhân.

Ryuk ban đầu được phát tán thông qua một Trojan ngân hàng có tên TrickBot, được che giấu trong thư rác gửi đến hàng chục ngàn nạn nhân, sau đó những kẻ tấn công đã sử dụng chúng để nhắm mục tiêu vào các doanh nghiệp lớn hơn.

Sự quy kết bị cho là sai lầm đối với Triều Tiên dường như đã được thúc đẩy bởi sự tương đồng về mã giữa Ryuk và Hermes – một phần mềm ransomware trước đây được các hacker nhà nước Triều Tiên sử dụng như một mưu đồ để đánh lạc hướng sự thỏa hiệp của mạng lưới SWift của Ngân hàng Quốc tế Viễn Đông (FEIB) tại Đài Loan.

Tuy nhiên, như McAfee, Crowdstrike và những người khác tranh luận, Ryuk có khả năng là phiên bản sửa đổi của Hermes 2.1., Được bán dưới dạng một bộ phần mềm độc hại hàng hóa để bán trên các diễn đàn ngầm. Người ta tin rằng – với độ tin cậy từ trung bình đến cao – được quy cho nhóm hacker đe dọa có trụ sở ở Nga GRIM SPIDER, một phần vì quảng cáo ban đầu cho Hermes tuyên bố nó sẽ không hoạt động trên các hệ thống tiếng Nga, tiếng Ukraina hoặc tiếng Bêlarut.

Tính đến tháng 8 năm ngoái, vụ cướp Ryuk được ước tính đã kiếm được 705 BTC. Trong phân tích về các cuộc tấn công Ryuk, Crowdstrike đã báo cáo rằng hơn 52 giao dịch trên địa chỉ 37 BTC, GRIM SPIDER đã thực hiện 705,80 BTC (2,5 triệu đô la). Nghiên cứu bổ sung:

Với sự sụt giảm gần đây về giá trị BTC sang USD, có khả năng GRIM SPIDER đã kiếm được nhiều tiền hơn.

Crowdstrike tuyên bố thêm rằng GRIM SPIDER là một tế bào của tội phạm điện tử tạo thành một phần của nhóm mối đe dọa lớn hơn WIZARD SPIDER, được xác định là nhà điều hành phần mềm độc hại ngân hàng TrickBot có trụ sở tại Nga.

Trong một báo cáo được công bố vào tháng 10 năm ngoái, công ty tội phạm mạng Group-IB đã xác định nhóm hacker được cho là của nhà nước Bắc Triều Tiên Lazarus chịu trách nhiệm cho 571 triệu đô la trong tổng số 882 triệu đô la tiền điện tử bị đánh cắp từ các sàn giao dịch trực tuyến từ năm 2017 đến 18.

Theo: TapchiBitcoin.vn/Cointelegraph

Xem thêm: Bất chấp đàn áp Bitcoin, Ngân hàng Ấn độ vẫn đang sử dụng blockchain vào thanh toán và lưu trữ hồ sơ