Trên mạng đang xuất hiện một nhóm ransomware mới, Red CryptoApp (còn được gọi là Red Ransomware Group). Khác với những nhóm khác, nhóm Red CryptoApp đã tiến hành "làm nhục" các nạn nhân bằng cách công bố tên của họ trên một bức tường xấu hổ ( Wall of Shame) .
Trong hình ảnh trên, đã có dữ liệu của tất cả 11 nạn nhân bị công bố trong cùng một ngày 5 tháng 3 năm 2024. Điều này cho thấy nhóm ransomware này có thể đã bắt đầu hoạt động từ lâu nhưng chúng đợi thời điểm tốt nhất mới công bố tất cả dữ liệu nạn nhân cùng một lúc nhằm tạo tiếng vang lớn hơn và thu hút nhiều sự chú ý hơn trong cộng đồng ransomware.Ảnh Netenrich
Các nhà nghiên cứu an ninh mạng tại Netenrich đã phát hiện ra một nhóm ransomware mới có tên Red Ransomware Group (Red CryptoApp). Nhóm này hoạt động khác với các tổ chức ransomware thông thường, nhóm này đạt được thêm một bước đột phá cho chiến thuật tống tiền của chúng.
Nhữ đã nói ở trên, khác với hầu hết các nhóm ransomware thông thường đều bí mật hoạt động, nhóm Red CryptoApp lại xuất hiện một cách rất quyết liệt. Theo Netenrich, nhóm này đã thiết lập một " bức tường xấu hổ" ( tường nhục) và công bố tên của các công ty, nạn nhân đã bị nhóm này tấn công. Chiến lược này nhằm làm nhục nạn nhân và gây áp lực để họ trả tiền chuộc mới được loại bỏ tên của mình khỏi danh sách.
Mặc dù vẫn chưa xác định được nguồn gốc của nhóm ransomware Red CryptoApp ngay cả dựa trên danh sách trên trang web rò rỉ web đen của nhóm, người ta tin rằng nhóm này bắt đầu hoạt động vào tháng 2 năm 2024.
Các chuyên gia an ninh mạng nhận thấy một số điểm tương đồng giữa một trong các thông báo ransomware được viết bởi nhóm này và nhóm Maze ransomware vào năm 2020. Điều này có thể là một sự trùng hợp; do đó, không rõ liệu Nhóm Ransomware Red có phải là một phân nhánh của nhóm Maze đã ngừng hoạt động vào tháng 11 năm 2020 hay không .
Các chuyên gia trên Netenrich đã cung cấp nội dung phân tích kỹ thuật của nhóm ransomware Red CryptoApp. Mặc dù các chi tiết cụ thể chưa được chia sẻ rộng rãi để tránh đánh động nhóm ransomeware. Theo Netenrich cho biết Red CryptoApp sử dụng các kỹ thuật mã hóa tập tin làm cho dữ liệu của nạn nhân không thể truy cập được. Trong trường hợp, một hệ thống được mục tiêu bị xâm nhập thành công, các tập tin của nó sẽ được thêm vào một phần mở rộng .REDCryptoApp.
Ảnh Neterich
Nhìn vào bức tường xấu hổ của nhóm ransomware Red CryptoApp có thể thấy Hoa Kỳ là quốc gia mục tiêu chính với tổng cộng 5 nạn nhân, tiếp theo là nhiều quốc gia khác bao gồm Đan Mạch, Ấn Độ, Tây Ban Nha, Ý, Singapore và Canada. Lĩnh vực phần mềm và sản xuất là những ngành được nhóm này nhắm mục tiêu thường xuyên nhất, tập trung nhiều hơn vào các lĩnh vực giáo dục, xây dựng, khách sạn và CNTT.
Nội dung lời nhắn của nhóm Red CryptoApp
Với sự xuất hiện của nhóm ransomware Red CryptoApp đã cho thấy mối đe dọa từ các cuộc tấn công ransomeware phát triển như thế nào trong những năm qua. Vì vậy các công ty, tổ chức phải chuẩn bị sẵn sàng để tự bảo vệ mình trước các phương thức tấn công khác nhau.
Netenrich nhấn mạnh tầm quan trọng của việc sao lưu dữ liệu thường xuyên, các biện pháp bảo mật phù hợp và giáo dục người dùng về các nỗ lực lừa đảo, vốn là phương pháp rất phổ biến cho các cuộc tấn công bằng ransomware.
Trong hình ảnh trên, đã có dữ liệu của tất cả 11 nạn nhân bị công bố trong cùng một ngày 5 tháng 3 năm 2024. Điều này cho thấy nhóm ransomware này có thể đã bắt đầu hoạt động từ lâu nhưng chúng đợi thời điểm tốt nhất mới công bố tất cả dữ liệu nạn nhân cùng một lúc nhằm tạo tiếng vang lớn hơn và thu hút nhiều sự chú ý hơn trong cộng đồng ransomware.Ảnh Netenrich
Nhữ đã nói ở trên, khác với hầu hết các nhóm ransomware thông thường đều bí mật hoạt động, nhóm Red CryptoApp lại xuất hiện một cách rất quyết liệt. Theo Netenrich, nhóm này đã thiết lập một " bức tường xấu hổ" ( tường nhục) và công bố tên của các công ty, nạn nhân đã bị nhóm này tấn công. Chiến lược này nhằm làm nhục nạn nhân và gây áp lực để họ trả tiền chuộc mới được loại bỏ tên của mình khỏi danh sách.
Mặc dù vẫn chưa xác định được nguồn gốc của nhóm ransomware Red CryptoApp ngay cả dựa trên danh sách trên trang web rò rỉ web đen của nhóm, người ta tin rằng nhóm này bắt đầu hoạt động vào tháng 2 năm 2024.
Các chuyên gia an ninh mạng nhận thấy một số điểm tương đồng giữa một trong các thông báo ransomware được viết bởi nhóm này và nhóm Maze ransomware vào năm 2020. Điều này có thể là một sự trùng hợp; do đó, không rõ liệu Nhóm Ransomware Red có phải là một phân nhánh của nhóm Maze đã ngừng hoạt động vào tháng 11 năm 2020 hay không .
Các chuyên gia trên Netenrich đã cung cấp nội dung phân tích kỹ thuật của nhóm ransomware Red CryptoApp. Mặc dù các chi tiết cụ thể chưa được chia sẻ rộng rãi để tránh đánh động nhóm ransomeware. Theo Netenrich cho biết Red CryptoApp sử dụng các kỹ thuật mã hóa tập tin làm cho dữ liệu của nạn nhân không thể truy cập được. Trong trường hợp, một hệ thống được mục tiêu bị xâm nhập thành công, các tập tin của nó sẽ được thêm vào một phần mở rộng .REDCryptoApp.
Ảnh Neterich
Nội dung lời nhắn của nhóm Red CryptoApp
Với sự xuất hiện của nhóm ransomware Red CryptoApp đã cho thấy mối đe dọa từ các cuộc tấn công ransomeware phát triển như thế nào trong những năm qua. Vì vậy các công ty, tổ chức phải chuẩn bị sẵn sàng để tự bảo vệ mình trước các phương thức tấn công khác nhau.
Netenrich nhấn mạnh tầm quan trọng của việc sao lưu dữ liệu thường xuyên, các biện pháp bảo mật phù hợp và giáo dục người dùng về các nỗ lực lừa đảo, vốn là phương pháp rất phổ biến cho các cuộc tấn công bằng ransomware.
