Theo Bloomberg, Google mới đây phát hiện một nhóm tin tặc ransomware đã sử dụng nhiều kỹ thuật khác nhau để cố gắng xâm nhập hàng trăm công ty trong năm ngoái, khai thác lỗ hổng Windows của Microsoft Corp và sử dụng công nghệ trí tuệ nhân tạo (AI) để tạo hồ sơ giả mạo trên LinkedIn.
Nhóm tin tặc Exotic Lily đã gửi hơn 5.000 email độc hại mỗi ngày tới 650 tổ chức trên khắp thế giới |
Reuters |
Nhóm tin tặc được Google nêu ra trong công bố nghiên cứu hôm 17.3 có tên gọi là Exotic Lily, thường được biết đến như một nhà môi giới truy cập. Những nhóm như vậy chuyên đột nhập vào mạng máy tính của công ty, sau đó cung cấp quyền truy cập cho các tổ chức tội phạm mạng khác triển khai phần mềm độc hại khóa máy tính và đòi tiền chuộc.
Phát hiện trên giúp làm sáng tỏ mô hình “Ransomware-as-a-Service” (RaaS), chiến lược kinh doanh cho thuê ransomeware của tội phạm mạng, trong đó các nhóm tin tặc khác nhau tập hợp tài nguyên để tống tiền nạn nhân, sau đó chia số tiền thu được. Theo quan sát của Google, Exotic Lily đã gửi hơn 5.000 email độc hại mỗi ngày tới 650 tổ chức trên khắp thế giới. Nhóm này thường khai thác lỗ hổng trong MSHTML, công cụ trình duyệt độc quyền dành cho Windows. Microsoft đã phát hành bản sửa lỗi bảo mật cho lỗ hổng Windows vào cuối năm 2021.
“Cho đến tháng 11.2021, Exotic Lily dường như đang nhắm mục tiêu vào các ngành cụ thể như công nghệ thông tin, an ninh mạng và chăm sóc sức khỏe. Nhưng đến tháng cuối năm, chúng tôi đã thấy họ tấn công nhiều tổ chức và ngành khác nhau, với trọng tâm ít cụ thể hơn”, Google cho biết.
Google cũng quan sát thấy Exotic Lily có liên quan đến nhóm ransomware nổi tiếng nói tiếng Nga Conti, vốn bị cáo buộc sử dụng ransomware kỹ thuật số để thu về 200 triệu USD vào năm ngoái. Conti hiện rơi vào tình trạng hỗn loạn sau khi một loạt nội dung trò chuyện nội bộ bị rò rỉ, trong đó bao gồm cả chiến thuật tấn công mạng mà nhóm này sử dụng.
Theo Google, điều làm cho Exotic Lily trở nên khác biệt là mức độ tương tác con người đằng sau mỗi cuộc tấn công của nhóm. Việc tạo hồ sơ LinkedIn giả để thêm tính hợp pháp cho các email độc hại đòi hỏi Exotic Lily phải nỗ lực thêm rất nhiều. Một trong những hồ sơ giả mạo trên LinkedIn được Google trích dẫn là về một nhân viên hư cấu của Amazon, lấy địa chỉ ở Vương quốc Anh.
Các nhóm tin tặc đôi khi sẽ sử dụng một dịch vụ công khai để tạo ảnh đại diện hồ sơ giả dựa vào AI. “Phân tích hoạt động giao tiếp của các hồ sơ giả cho thấy họ thường thực hiện công việc văn phòng khá điển hình. Biểu hiện phân phối giờ làm việc gợi ý rằng họ có thể đang làm việc theo múi giờ Trung hoặc Đông Âu”, trích báo cáo của Google.
Bình luận (0)