Hoạt động của ransomware tăng mạnh trong vài năm qua và trở thành bộ mặt của tội phạm mạng vào năm 2021.
Theo báo cáo “Ransomware Uncovered 2020-2021” , số lượng các cuộc tấn công ransomware đã tăng hơn 150% vào năm 2020. Các cuộc tấn công đã tăng lên trong không chỉ số lượng mà còn cả quy mô và mức độ tinh vi – yêu cầu tiền chuộc trung bình tăng hơn gấp đôi và lên tới 170.000 USD vào năm 2020. Điển hình như vụ: Colonial Pipeline được cho là đã trả 5 triệu USD để lấy lại hoạt động kinh doanh của mình. Vụ việc đã đẩy câu hỏi về ransomware lên hàng đầu trong chương trình nghị sự chính trị.
Trong khi đó, năm 2021 tiếp tục chứng minh rằng không có công ty nào miễn nhiễm với bệnh dịch ransomware. Kẻ xấu khai thác ransomware không quan tâm đến ngành công nghiệp miễn là nạn nhân có thể trả tiền chuộc. Triển vọng thu được lợi nhuận nhanh chóng thúc đẩy nhiều đối tượng tham gia vào hoạt động phạm pháp này. Hoạt động của ransomware không có dấu hiệu chậm lại. Các băng nhóm phát triển. Họ thay đổi chiến thuật, kỹ thuật phòng thủ và thủ tục để đảm bảo rằng hoạt động kinh doanh bất hợp pháp của họ phát triển mạnh.
Các cuộc tấn công ransomware được thực hiện bởi con người, việc hiểu rõ phương thức hoạt động và bộ công cụ được sử dụng bởi những kẻ tấn công là điều cần thiết đối với các công ty muốn tránh thời gian chết tốn kém. Cuối cùng, biết cách các băng đảng ransomware hoạt động và có thể ngăn chặn các cuộc tấn công của chúng sẽ tiết kiệm chi phí hơn so với việc trả tiền chuộc.
Một trong những xu hướng cơ bản của năm 2021 cần lưu ý là việc sử dụng phần mềm độc hại . Băng đảng ransomware khét tiếng Ryuk, chịu trách nhiệm cho nhiều vụ tấn công mạng nổi tiếng (bao gồm cả vụ tấn công vào hệ thống Trường Công lập Quận Baltimore) cũng vậy. Phần mềm bổ sung gần đây nhất cho kho vũ khí của họ, vẫn chưa được khám phá, là phần mềm độc hại có tên GrimAgent .
Nhóm của chúng tôi đã thực hiện phân tích toàn diện đầu tiên về cửa hậu GrimAgent . Nó chủ yếu dành cho các kỹ sư đảo ngược, các nhà nghiên cứu và các nhóm màu xanh lam để họ có thể tạo và thực hiện các quy tắc giúp giám sát chặt chẽ mối đe dọa mạng này. Nhóm Tình báo Đe doạ của Group-IBđã tạo ra các quy tắc Yara và Suricata cũng như ánh xạ các TTP của GrimAgent theo ma trận MITER ATT & CK®.