FBI cho biết: Mã độc tống tiền ALPHV đã kiếm được 300 triệu USD từ hơn 1.000 nạn nhân

Theo Cục Điều tra Liên bang (FBI), nhóm ransomware ALPHV/BlackCat đã kiếm được hơn 300 triệu USD tiền chuộc từ hơn 1.000 nạn nhân trên toàn thế giới tính đến tháng 9 năm 2023.

FBI cho biết: “ALPHV Blackcat có mạng lưới rộng khắp và có kinh nghiệm về các hoạt động tống tiền và tống tiền dữ liệu”.

"Theo FBI, tính đến tháng 9 năm 2023, các chi nhánh của ALPHV Blackcat đã xâm phạm hơn 1000 đối tượng—gần 75% trong số đó ở Hoa Kỳ và khoảng 250 bên ngoài Hoa Kỳ—, yêu cầu hơn 500 triệu USD và nhận được gần 300 triệu USD tiền chuộc."

Trong khuyến cáo chung được công bố ngày 19 tháng 12 với sự cộng tác của CISA, FBI cũng chia sẻ các biện pháp giảm thiểu nhằm giúp những người bảo vệ mạng và các tổ chức cơ sở hạ tầng quan trọng giảm thiểu tác động và rủi ro liên quan đến các cuộc tấn công của nhóm ransomware này.

Hai cơ quan này cũng cung cấp ALPHV IOC (các chỉ số về sự thỏa hiệp) và TTP (chiến thuật, kỹ thuật và thủ tục) được FBI xác định gần đây nhất vào ngày 6 tháng 12.

Những đơn vị hoặc cá nhân bảo vệ mạng được khuyến khích ưu tiên vá các lỗ hổng bị khai thác thực tế và thực thi xác thực đa yếu tố (MFA) bằng mật khẩu mạnh trên tất cả các dịch vụ, đặc biệt là đối với webmail, VPN và các tài khoản được liên kết với các hệ thống quan trọng.

Hơn nữa, họ nên thường xuyên cập nhật và vá lỗi phần mềm lên phiên bản mới nhất và tập trung vào đánh giá lỗ hổng bảo mật như một phần không thể thiếu của các giao thức bảo mật tiêu chuẩn.

BlackCat/ALPHV xuất hiện cách đây hơn hai năm, vào tháng 11 năm 2021 và bị nghi ngờ là thương hiệu mới của hoạt động ransomware khét tiếng DarkSide và BlackMatter.

Ban đầu được biết đến với cái tên DarkSide, nhóm này được biết đến nhiều trên toàn thế giới sau cuộc tấn công vào Colonial Pipeline, dẫn đến các cuộc điều tra sâu rộng của các cơ quan thực thi pháp luật.

FBI trước đây đã liên kết việc nhóm ransomware này với hơn 60 vụ vi phạm ảnh hưởng đến các tổ chức trên toàn thế giới trong 4 tháng hoạt động đầu tiên, từ tháng 11 năm 2021 đến tháng 3 năm 2022.

FBI phá vỡ Blackcat và phát triển công cụ giải mã

Vào ngày 7 tháng 12, BleepingComputer lần đầu tiên thông báo các trang web đen ALPHV, bao gồm cả các trang web đàm phán Tor và rò rỉ dữ liệu của băng nhóm này, đột nhiên ngừng hoạt động.

Ngày 19 tháng 12, Bộ Tư pháp đã xác nhận thông báo và cho biết FBI đã xâm nhập vào máy chủ của hoạt động ransomware ALPHV, giám sát thành công các hoạt động của chúng và lấy được khóa giải mã.

Để truy cập bảng liên kết phụ trợ của ALPHV, FBI đã hợp tác với một nguồn nhân lực bí mật (CHS), người được cung cấp thông tin đăng nhập với tư cách là đơn vị liên kết sau cuộc phỏng vấn với những kẻ cầm đầu ransomware.

Banner thu giữ ALPHV BlackCat (BleepingComputer)