Trên mạng đang xuất hiện một nhóm ransomware mới, Red CryptoApp (còn được gọi là Red Ransomware Group). Khác với những nhóm khác, nhóm Red CryptoApp đã tiến hành "làm nhục" các nạn nhân bằng cách công bố tên của họ trên một bức tường xấu hổ ( Wall of Shame) .
Trong hình ảnh trên, đã có dữ liệu của tất cả 11 nạn nhân bị công bố trong cùng một ngày 5 tháng 3 năm 2024. Điều này cho thấy nhóm ransomware này có thể đã bắt đầu hoạt động từ lâu nhưng chúng đợi thời điểm tốt nhất mới công bố tất cả dữ liệu nạn nhân cùng một lúc nhằm tạo tiếng vang lớn hơn và thu hút nhiều sự chú ý hơn trong cộng đồng ransomware.Ảnh Netenrich
Các nhà nghiên cứu an ninh mạng tại Netenrich đã phát hiện ra một nhóm ransomware mới có tên Red Ransomware Group (Red CryptoApp). Nhóm này hoạt động khác với các tổ chức ransomware thông thường, nhóm này đạt được thêm một bước đột phá cho chiến thuật tống tiền của chúng.
Nhữ đã nói ở trên, khác với hầu hết các nhóm ransomware thông thường đều bí mật hoạt động, nhóm Red CryptoApp lại xuất hiện một cách rất quyết liệt. Theo Netenrich, nhóm này đã thiết lập một " bức tường xấu hổ" ( tường nhục) và công bố tên của các công ty, nạn nhân đã bị nhóm này tấn công. Chiến lược này nhằm làm nhục nạn nhân và gây áp lực để họ trả tiền chuộc mới được loại bỏ tên của mình khỏi danh sách.
Mặc dù vẫn chưa xác định được nguồn gốc của nhóm ransomware Red CryptoApp ngay cả dựa trên danh sách trên trang web rò rỉ web đen của nhóm, người ta tin rằng nhóm này bắt đầu hoạt động vào tháng 2 năm 2024.
Các chuyên gia an ninh mạng nhận thấy một số điểm tương đồng giữa một trong các thông báo ransomware được viết bởi nhóm này và nhóm Maze ransomware vào năm 2020. Điều này có thể là một sự trùng hợp; do đó, không rõ liệu Nhóm Ransomware Red có phải là một phân nhánh của nhóm Maze đã ngừng hoạt động vào tháng 11 năm 2020 hay không .
Các chuyên gia trên Netenrich đã cung cấp nội dung phân tích kỹ thuật của nhóm ransomware Red CryptoApp. Mặc dù các chi tiết cụ thể chưa được chia sẻ rộng rãi để tránh đánh động nhóm ransomeware. Theo Netenrich cho biết Red CryptoApp sử dụng các kỹ thuật mã hóa tập tin làm cho dữ liệu của nạn nhân không thể truy cập được. Trong trường hợp, một hệ thống được mục tiêu bị xâm nhập thành công, các tập tin của nó sẽ được thêm vào một phần mở rộng .REDCryptoApp.
Ảnh Neterich
Nhìn vào bức tường xấu hổ của nhóm ransomware Red CryptoApp có thể thấy Hoa Kỳ là quốc gia mục tiêu chính với tổng cộng 5 nạn nhân, tiếp theo là nhiều quốc gia khác bao gồm Đan Mạch, Ấn Độ, Tây Ban Nha, Ý, Singapore và Canada. Lĩnh vực phần mềm và sản xuất là những ngành được nhóm này nhắm mục tiêu thường xuyên nhất, tập trung nhiều hơn vào các lĩnh vực giáo dục, xây dựng, khách sạn và CNTT.
Nội dung lời nhắn của nhóm Red CryptoApp
Với sự xuất hiện của nhóm ransomware Red CryptoApp đã cho thấy mối đe dọa từ các cuộc tấn công ransomeware phát triển như thế nào trong những năm qua. Vì vậy các công ty, tổ chức phải chuẩn bị sẵn sàng để tự bảo vệ mình trước các phương thức tấn công khác nhau.
Netenrich nhấn mạnh tầm quan trọng của việc sao lưu dữ liệu thường xuyên, các biện pháp bảo mật phù hợp và giáo dục người dùng về các nỗ lực lừa đảo, vốn là phương pháp rất phổ biến cho các cuộc tấn công bằng ransomware.
Trong hình ảnh trên, đã có dữ liệu của tất cả 11 nạn nhân bị công bố trong cùng một ngày 5 tháng 3 năm 2024. Điều này cho thấy nhóm ransomware này có thể đã bắt đầu hoạt động từ lâu nhưng chúng đợi thời điểm tốt nhất mới công bố tất cả dữ liệu nạn nhân cùng một lúc nhằm tạo tiếng vang lớn hơn và thu hút nhiều sự chú ý hơn trong cộng đồng ransomware.Ảnh Netenrich
Nhữ đã nói ở trên, khác với hầu hết các nhóm ransomware thông thường đều bí mật hoạt động, nhóm Red CryptoApp lại xuất hiện một cách rất quyết liệt. Theo Netenrich, nhóm này đã thiết lập một " bức tường xấu hổ" ( tường nhục) và công bố tên của các công ty, nạn nhân đã bị nhóm này tấn công. Chiến lược này nhằm làm nhục nạn nhân và gây áp lực để họ trả tiền chuộc mới được loại bỏ tên của mình khỏi danh sách.
Mặc dù vẫn chưa xác định được nguồn gốc của nhóm ransomware Red CryptoApp ngay cả dựa trên danh sách trên trang web rò rỉ web đen của nhóm, người ta tin rằng nhóm này bắt đầu hoạt động vào tháng 2 năm 2024.
Các chuyên gia an ninh mạng nhận thấy một số điểm tương đồng giữa một trong các thông báo ransomware được viết bởi nhóm này và nhóm Maze ransomware vào năm 2020. Điều này có thể là một sự trùng hợp; do đó, không rõ liệu Nhóm Ransomware Red có phải là một phân nhánh của nhóm Maze đã ngừng hoạt động vào tháng 11 năm 2020 hay không .
Các chuyên gia trên Netenrich đã cung cấp nội dung phân tích kỹ thuật của nhóm ransomware Red CryptoApp. Mặc dù các chi tiết cụ thể chưa được chia sẻ rộng rãi để tránh đánh động nhóm ransomeware. Theo Netenrich cho biết Red CryptoApp sử dụng các kỹ thuật mã hóa tập tin làm cho dữ liệu của nạn nhân không thể truy cập được. Trong trường hợp, một hệ thống được mục tiêu bị xâm nhập thành công, các tập tin của nó sẽ được thêm vào một phần mở rộng .REDCryptoApp.
Ảnh Neterich
Nội dung lời nhắn của nhóm Red CryptoApp
Attention!
----------------------------
| What happened?
----------------------------
We hacked your network and safely encrypted all of your files, documents, photos, databases, and other important data with reliable algorithms.
You cannot access your files right now, But do not worry You can get it back! It is easy to recover in a few steps.
We have also downloaded a lot of your private data from your network, so in case of not contacting us these data will be release publicly.
Everyone has a job and we have our jobs too, there is nothing personal issue here so just follow our instruction and you will be ok.
Right now the key of your network is in our hand now and you have to pay for that.
Plus, by paying us, you will get your key and your data will be earse from our storages and if you want you can get advise from us too, in order to make your network more than secure before.
----------------------------
| How to contact us and get my files back?
----------------------------
The only method to decrypt your files and be safe from data leakage is to purchase a unique private key which is securely stored in our servers.
To contact us and purchase the key you have to get to the link below :
Onion Link :
http://33zo6hifw4usofzdnz74fm2zmhd3....onion/XXXXXXXXXXXXXXXX/XXXXXXXXXXXXXXX/login
Hash ID : XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
!Important! : This is a unique link and hash for your network so don't share these with anyone and keep it safe.
----------------------------
| How to get access to the Onion link ?
----------------------------
Simple :
1- Download Tor Browser and install it. (Official Tor Website : torproject.org)
2- Open Tor Browser and connect to it.
3- After the Connection, Enter the Onion Link and use your Hash ID to login to your panel.
----------------------------
| What about guarantees?
----------------------------
We understand your stress and worry.
So you have a FREE opportunity to test a service by instantly decrypting for free some small files from your network.
after the payment we will help you until you get your network back to normal and be satesfy.
Dear System Administrators,
Do not think that you can handle it by yourself.
By hiding the fact of the breach you will be eventually fired and sometimes even sued.
Just trust us we've seen that a lot before.
----------------------------
| Follow the guidelines below to avoid losing your data:
----------------------------
!Important!
-Do not modify or rename encrypted files. You will lose them.
-Do not report to the Police, FBI, EDR, AV's, etc. They don't care about your business. They simply won't allow you to pay. As a result you will lose everything.
-Do not hire a recovery company. They can't decrypt without the key. They also don't care about your business. They believe that they are smarter than us and they can trick us, but it is not. They usually fail. So speak for yourself.
-Do not reject to purchase, Exfiltrated files will be publicly disclosed.
Với sự xuất hiện của nhóm ransomware Red CryptoApp đã cho thấy mối đe dọa từ các cuộc tấn công ransomeware phát triển như thế nào trong những năm qua. Vì vậy các công ty, tổ chức phải chuẩn bị sẵn sàng để tự bảo vệ mình trước các phương thức tấn công khác nhau.
Netenrich nhấn mạnh tầm quan trọng của việc sao lưu dữ liệu thường xuyên, các biện pháp bảo mật phù hợp và giáo dục người dùng về các nỗ lực lừa đảo, vốn là phương pháp rất phổ biến cho các cuộc tấn công bằng ransomware.
BÀI MỚI ĐANG THẢO LUẬN