WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Kiếm 100.000 USD từ việc bắt chước Armada Collective
Các copycat (kẻ bắt chước) bắt chước nhóm hacker Armada Collective kiếm hơn 100.000 USD từ các lời đe doạn tấn công DDoS nhắm vào các doanh nghiệp trên khắp thế giới.
Armada Collective được cho là tên gọi khác của DD4BC, một nhóm tội phạm nổi lên năm ngoái. Hoạt động của DD4BC là tiếp cận các công ty qua email có kèm đe dọa tấn công DDoS nếu như các doanh nghiệp này không trả tiền chuộc Bitcoin cho chúng.
Nhóm này hoạt động cho đến tháng 9 năm ngoái khi bị Akamai vạch mặt. Cùng thời điểm đó, một nhóm mới có tên Armada Collective xuất hiện, cũng sử dụng chiến thuật tương tự và hoạt động cho đến cuối tháng 11 đầu tháng 12.
Cũng trong khoảng thời gian đó, Europol bắt đầu điều tra. Vào đầu tháng 1/2015, họ bắt giữ các nghi phạm chủ chốt tại Bosnia và Herzegovina, và từ đó hoạt động của nhóm hacker này lắng xuống.
Nhóm hacker mới chỉ là một copycat
Theo tiết lộ ngày 26/4 của CloudFlare, từ tháng 3, ai đó đã sử dụng tên Armada Collective trong email tống tiền đe dọa tấn công DDoS.
CloudFlare cho hay các công ty không trả tiền chuộc cũng không bị bất kỳ cuộc tấn công DDoS nào. Trong khi đó DD4BC và Armada Collective luôn nói là làm, nếu doanh nghiệp không trả tiền chuộc, chúng sẽ tiến hành tấn công DDoS lên đến 60 Gbps. Điều này khiến CloudFlare đưa ra kết luận rằng nhóm mới xuất hiện chỉ là một kiểu copycat rẻ mạt.
Nhóm copycat hoạt động bằng cách gửi thông báo đòi tiền qua email, với mục đích khiến người dùng tìm kiếm tên nhóm trên Google, để thấy "khả năng", "uy tín" và "sự nổi tiếng" của chúng.
Ngoài ra, nhóm hacker chỉ đang sử dụng một địa chỉ ví Bitcoin để nhận thanh toán. Vì Bitcoin là một loại tiền tệ kỹ thuật số ảo, điều này có nghĩa rằng nếu một doanh nghiệp trả tiền chuộc, nhóm này cũng không biết đó là tiền của bên nào.
Nhóm copycat của Armada Collective không làm gì cũng có tiền
Nhóm này kiếm được tiền chỉ bằng cách gửi các đe dọa vô hại qua email. Sau khi phân tích lịch sử địa chỉ ví Bitcoin của nhóm, hãng phân tích Bitcoin Chainalysis cho biết các nhóm đã nhận được một lượng Bitcoin trị giá hơn 100.000 USD.
Một email thông thường không nêu khoản tiền chuộc cố định, và nhóm đòi khoản tiền chuộc ngẫu nhiên từ 10 đến 50 Bitcoin (4.500 - 23.400 USD). Các khoản tiền không liên quan đến quy mô cũng như nguồn lực tài chính của doanh nghiệp.
CloudFlare cảnh báo về hoạt động của nhóm copycat sau khi hơn 100 doanh nghiệp liên lạc với họ hỏi về dịch vụ bảo vệ DDoS của hãng này. CloudFlare cho hay hãng và các dịch vụ bảo vệ DDoS khác chưa bao giờ quan sát thấy bất kỳ cuộc tấn công nào nhắm vào các công ty đã nhận được thông báo đòi tiền chuộc nói trên.
Trường hợp gần đây nhất của thông báo đòi tiền chuộc của Armada Collective là từ các dịch vụ BlackVPN, ghi nhận một tuần trước. Ngoài ra, dịch vụ Cloak VPN cũng nhận được đe dọa tương tự, nhưng không liên quan Armada Collective. Tuy nhiên, các dịch vụ này từng bị downtime bởi các cuộc tấn công DDoS, không giống như báo cáo của CloudFlare, vì vậy có thể có nhiều hơn một nhóm copycat đang hoạt động trên thị trường.
Nguồn: Softpedia
Armada Collective được cho là tên gọi khác của DD4BC, một nhóm tội phạm nổi lên năm ngoái. Hoạt động của DD4BC là tiếp cận các công ty qua email có kèm đe dọa tấn công DDoS nếu như các doanh nghiệp này không trả tiền chuộc Bitcoin cho chúng.
Nhóm này hoạt động cho đến tháng 9 năm ngoái khi bị Akamai vạch mặt. Cùng thời điểm đó, một nhóm mới có tên Armada Collective xuất hiện, cũng sử dụng chiến thuật tương tự và hoạt động cho đến cuối tháng 11 đầu tháng 12.
Cũng trong khoảng thời gian đó, Europol bắt đầu điều tra. Vào đầu tháng 1/2015, họ bắt giữ các nghi phạm chủ chốt tại Bosnia và Herzegovina, và từ đó hoạt động của nhóm hacker này lắng xuống.
Nhóm hacker mới chỉ là một copycat
Theo tiết lộ ngày 26/4 của CloudFlare, từ tháng 3, ai đó đã sử dụng tên Armada Collective trong email tống tiền đe dọa tấn công DDoS.
CloudFlare cho hay các công ty không trả tiền chuộc cũng không bị bất kỳ cuộc tấn công DDoS nào. Trong khi đó DD4BC và Armada Collective luôn nói là làm, nếu doanh nghiệp không trả tiền chuộc, chúng sẽ tiến hành tấn công DDoS lên đến 60 Gbps. Điều này khiến CloudFlare đưa ra kết luận rằng nhóm mới xuất hiện chỉ là một kiểu copycat rẻ mạt.
Nhóm copycat hoạt động bằng cách gửi thông báo đòi tiền qua email, với mục đích khiến người dùng tìm kiếm tên nhóm trên Google, để thấy "khả năng", "uy tín" và "sự nổi tiếng" của chúng.
Ngoài ra, nhóm hacker chỉ đang sử dụng một địa chỉ ví Bitcoin để nhận thanh toán. Vì Bitcoin là một loại tiền tệ kỹ thuật số ảo, điều này có nghĩa rằng nếu một doanh nghiệp trả tiền chuộc, nhóm này cũng không biết đó là tiền của bên nào.
Nhóm copycat của Armada Collective không làm gì cũng có tiền
Nhóm này kiếm được tiền chỉ bằng cách gửi các đe dọa vô hại qua email. Sau khi phân tích lịch sử địa chỉ ví Bitcoin của nhóm, hãng phân tích Bitcoin Chainalysis cho biết các nhóm đã nhận được một lượng Bitcoin trị giá hơn 100.000 USD.
Một email thông thường không nêu khoản tiền chuộc cố định, và nhóm đòi khoản tiền chuộc ngẫu nhiên từ 10 đến 50 Bitcoin (4.500 - 23.400 USD). Các khoản tiền không liên quan đến quy mô cũng như nguồn lực tài chính của doanh nghiệp.
CloudFlare cảnh báo về hoạt động của nhóm copycat sau khi hơn 100 doanh nghiệp liên lạc với họ hỏi về dịch vụ bảo vệ DDoS của hãng này. CloudFlare cho hay hãng và các dịch vụ bảo vệ DDoS khác chưa bao giờ quan sát thấy bất kỳ cuộc tấn công nào nhắm vào các công ty đã nhận được thông báo đòi tiền chuộc nói trên.
Trường hợp gần đây nhất của thông báo đòi tiền chuộc của Armada Collective là từ các dịch vụ BlackVPN, ghi nhận một tuần trước. Ngoài ra, dịch vụ Cloak VPN cũng nhận được đe dọa tương tự, nhưng không liên quan Armada Collective. Tuy nhiên, các dịch vụ này từng bị downtime bởi các cuộc tấn công DDoS, không giống như báo cáo của CloudFlare, vì vậy có thể có nhiều hơn một nhóm copycat đang hoạt động trên thị trường.
Nguồn: Softpedia