Cảnh báo hacker Trung Quốc sử dụng ransomware trong các cuộc tấn công nhằm đánh lạc hướng điều tra

Các nhóm gián điệp mạng đã sử dụng ransomware như một chiến thuật để làm cho việc điều tra tấn công trở nên khó khăn hơn, đánh lạc hướng chuyên gia bảo mật, hoặc để đạt được phần thưởng tài chính như một mục tiêu phụ sau việc đánh cắp dữ liệu. Báo cáo chung từ các nhà phân tích của SentinelLabs và Recorded Future trình bày trường hợp của ChamelGang, một mối đe dọa (APT) nghi ngờ có nguồn gốc từ Trung Quốc, đã sử dụng ransomware CatB trong các cuộc tấn công nhằm vào các tổ chức nổi tiếng trên toàn thế giới.

Một cụm hoạt động riêng biệt sử dụng BestCrypt và Microsoft BitLocker để đạt được các mục tiêu tương tự, mặc dù việc điều tra không có kết quả rõ ràng.

Nhóm ChamelGang

Còn được biết đến với tên gọi CamoFei, ChamelGang đã nhắm mục tiêu vào các tổ chức chính phủ và các cơ sở hạ tầng quan trọng từ năm 2021 đến 2023. Nhóm này sử dụng các kỹ thuật tinh vi để xâm nhập ban đầu, tiến hành trinh sát và di chuyển ngang, và để xuất khẩu dữ liệu nhạy cảm.

Các Cuộc Tấn Công Cụ thể

Tháng 11 năm 2022:

ChamelGang tấn công Phủ Tổng thống Brazil và xâm nhập vào 192 máy tính. Chúng sử dụng các công cụ trinh sát tiêu chuẩn để lập bản đồ mạng và thu thập thông tin về các hệ thống quan trọng. Trong giai đoạn cuối của cuộc tấn công, ChamelGang triển khai ransomware CatB, để lại các thông báo đòi tiền chuộc đầu mỗi tệp tin bị mã hóa và cung cấp địa chỉ ProtonMail và địa chỉ Bitcoin để liên lạc và thanh toán. 

Cuối năm 2022:

ChamelGang xâm nhập vào Viện Khoa học Y tế Toàn Ấn Độ (AIIMS), gây ra sự gián đoạn lớn trong các dịch vụ y tế bằng cách sử dụng ransomware CatB.

Các tấn công khác:

Các nhà nghiên cứu tin rằng hai cuộc tấn công khác, nhắm vào một tổ chức chính phủ ở Đông Á và một tổ chức hàng không ở tiểu lục địa Ấn Độ, cũng là do ChamelGang thực hiện, dựa trên việc sử dụng các kỹ thuật, công cụ công khai, và phần mềm độc hại tùy chỉnh BeaconLoader.

Sử dụng BestCrypt và BitLocker

Một cụm hoạt động riêng biệt do SentinelLabs và Recorded Future phát hiện đã mã hóa tệp tin bằng Jetico BestCrypt và Microsoft BitLocker thay vì ransomware CatB. Những vụ xâm nhập này đã ảnh hưởng đến 37 tổ chức, hầu hết ở Bắc Mỹ. Các nạn nhân khác ở Nam Mỹ và Châu Âu.

Phương pháp tấn công

Thông qua việc so sánh bằng chứng trong các báo cáo từ các công ty an ninh mạng khác, các nhà nghiên cứu đã phát hiện ra sự chồng chéo với các cuộc tấn công trước đây liên quan đến các APT nghi ngờ từ Trung Quốc và Triều Tiên. BestCrypt thường được sử dụng để nhắm mục tiêu vào các điểm cuối của máy chủ theo cách tự động, trong khi BitLocker được triển khai chống lại các máy trạm với mật khẩu khôi phục duy nhất cho mỗi trường hợp.

Tổng kết

Việc sử dụng ransomware trong các cuộc tấn công gián điệp mạng có thể mang lại lợi ích chiến lược và vận hành, làm mờ ranh giới giữa APT và hoạt động tội phạm mạng, dẫn đến việc quy kết sai hoặc che giấu bản chất của việc thu thập dữ liệu. Việc quy kết các sự cố ransomware trong quá khứ cho một tác nhân đe dọa gián điệp mạng như ChamelGang là điều mới và cho thấy rằng các kẻ thù đang thay đổi chiến thuật để che giấu dấu vết của họ trong khi vẫn đạt được mục tiêu.