Trong tháng này, nhiều chủ doanh nghiệp và giám đốc điều hành (CEO) tại Hoa Kỳ đã bất ngờ nhận được các thư đe dọa cá nhân hóa liên quan đến ransomware một hình thức đe dọa hiếm gặp được gửi trực tiếp qua đường bưu điện.
Theo các nhà nghiên cứu an ninh mạng, những bức thư này được cho là đến từ một nhóm ransomware có tên BianLian. Tuy nhiên, kể từ khi Malwarebytes bắt đầu theo dõi nhóm BianLian gần một năm trước, các chuyên gia phân tích tình báo tại đây chưa từng ghi nhận việc nhóm này sử dụng thư tay để đưa ra yêu cầu tiền chuộc. Điều này làm dấy lên nghi ngờ rằng chiến dịch “thư vật lý” lần này có thể là hành động của các đối tượng giả mạo.
Tuy nhiên, mối đe dọa vẫn là có thật, đặc biệt đối với các doanh nghiệp nhỏ – nơi chủ doanh nghiệp thường tự mình quản lý hệ thống hoặc thuê ngoài các dịch vụ CNTT để xử lý sự cố kỹ thuật.
Theo nhiều mẫu thư được các nhà nghiên cứu thu thập, những bức thư trong chiến dịch đe dọa này được gửi thông qua Bưu điện Hoa Kỳ (USPS). Phong bì có in dòng chữ cảnh báo: “TIME SENSITIVE READ IMMEDIATELY” (Khẩn cấp – Đọc ngay lập tức), kèm theo địa chỉ người gửi như sau:
Nội dung thư bao gồm các cảnh báo nghiêm trọng như: hệ thống mạng của doanh nghiệp đã bị xâm nhập, dữ liệu khách hàng và nhân viên đã bị đánh cắp, và doanh nghiệp chỉ có 10 ngày để thanh toán tiền chuộc bằng tiền mã hóa (cryptocurrency), nếu không dữ liệu sẽ bị công khai trên Internet.
Đây là một chiến thuật phổ biến của các nhóm ransomware hiện đại, đặc biệt là những nhóm đã chuyển sang mô hình tấn công kép (double extortion) không chỉ mã hóa dữ liệu, mà còn đánh cắp dữ liệu trong quá trình tấn công để tăng áp lực tống tiền. Thực tế, vào năm ngoái, Malwarebytes từng ghi nhận nhóm BianLian lạm dụng một công cụ hợp pháp của Microsoft để né tránh phát hiện từ các phần mềm bảo mật trong khi lén lưu trữ một lượng lớn dữ liệu bị đánh cắp.
Tuy nhiên, sự tương đồng giữa nội dung các bức thư và hành vi đã xác thực của nhóm BianLian chỉ dừng lại ở đó. Đáng chú ý, các thư tuyên bố rằng họ “không còn đàm phán với nạn nhân” – điều rất hiếm thấy trong giới tội phạm ransomware. Trên thực tế, hoạt động đàm phán đã trở nên phổ biến đến mức một ngành nghề phụ mới xuất hiện các chuyên gia đàm phán ransomware để hỗ trợ nạn nhân trong các vụ tấn công.
Ngoài ra, các nhà nghiên cứu cho biết những bức thư này sử dụng ngữ pháp và câu chữ chuẩn mực hơn bình thường, ít lỗi hơn đáng kể so với các thông điệp thường thấy từ nhóm BianLian.
Một trong các bức thư, trích nguyên văn như sau:
Một điểm đặc biệt là các bức thư này được tùy biến theo từng người nhận. Ví dụ, nếu gửi đến giám đốc một tổ chức y tế, nội dung sẽ tập trung cảnh báo về việc rò rỉ dữ liệu bệnh nhân; còn nếu gửi đến doanh nghiệp sản xuất, nội dung sẽ đề cập đến đơn hàng bị lộ và dữ liệu nhân viên.
Khoản tiền chuộc được yêu cầu trong các thư này dao động từ 250.000 USD đến 350.000 USD.
Dù nghe có vẻ lạ lùng khi một mối đe dọa mạng lại được gửi qua thư tay, nhưng các bức thư này có thể gây ra tác động nghiêm trọng đối với các doanh nghiệp nhỏ và đang phát triển.
Những nội dung đe dọa được viết khá thuyết phục, đề cập đến việc xâm nhập hệ thống mạng, lạm dụng mật khẩu, khai thác nhân viên, và đánh cắp dữ liệu những vấn đề mà các tổ chức có nguồn lực hạn chế khó có thể tự xác minh. Hãy thử nghĩ theo cách này: nếu một người dùng cá nhân cũng gặp khó khăn trong việc kiểm tra liệu router tại nhà của họ có bị xâm nhập hay không, thì các chủ doanh nghiệp nhỏ cũng dễ gặp khó khăn tương tự với hạ tầng công nghệ của họ và điều đó không phải lỗi của họ.
