Farnetwork – ví dụ điển hình của phương thức mã độc dịch vụ

Các chuyên gia của công ty an ninh mạng quốc tế Group-IB đã theo dõi hoạt động của tổ chức tội phạm mạng Farnetwork và thu được những thông tin hết sức đáng chú ý về xu hướng sử dụng các mã độc dịch vụ của giới tội phạm mạng thời gian gần đây. 

Thông tin cho thấy, trong 4 năm qua, Farnetwork có liên quan đến ít nhất 5 chương trình mã độc khác nhau, hoạt động trên mô hình “mã độc dịch vụ” (Ransomware-as-a-Service/RaaS), tức là thuê ngoài nhiều chức năng và giai đoạn của một cuộc tấn công mã độc điển hình, chỉ trao một phần nhỏ tiền chuộc cho các nhà thiết kế mã độc ban đầu.

Với phương thức này, nhà phát triển phần mềm sẽ cung cấp mã độc hoàn chỉnh cho tin tặc, sau đó tin tặc sẽ tùy chỉnh theo nhu cầu riêng của mình và sử dụng nó trong các cuộc tấn công mạng.

Nhà phân tích mối đe dọa an ninh mạng của Group-IB Nikolay Kichatov cho biết, Farnetwork bắt đầu tham gia hoạt động tội phạm mạng vào năm 2019. Trong thời gian này, Farnetwork đã tham gia vào một số dự án liên quan đến các mã độc Jsworm, Nefilim, Karma và Nemty, bao gồm cả việc phát triển và quản lý chúng.

Farnetwork có nhiều tên gọi khác, bao gồm Farnetworkit, Farnetworkl, Jingo, Jsworm, Piparkuka và Razvrat. Vào năm 2022, Farnetwork bắt đầu phát triển và phân phối mã độc Nokoyawa.

Cùng lúc đó, tin tặc đã tung ra dịch vụ botnet (mạng máy tính ma) của riêng chúng với cùng tên Farnetwork để cung cấp cho các khách hàng quyền truy cập vào hệ thống mạng của các tổ chức bị xâm nhập.

Kể từ đầu năm 2023, Farnetwork đã tuyển dụng hàng loạt ứng viên tham gia phát tán mã độc Nokoyawa, yêu cầu họ sử dụng thông tin đăng nhập bị đánh cắp để nâng cấp đặc quyền và phát tán mã độc mã hóa dữ liệu của nạn nhân.

Bằng cách phát tán mã độc thông qua các chiến dịch lừa đảo và quảng cáo, thông tin đánh cắp sẽ được tin tặc bán trên thị trường ngầm, nơi các tin tặc khác có thể mua được quyền truy cập ban đầu vào các địa chỉ được nhắm trước.

Theo công bố của các chuyên gia Group-IB, trong mô hình RaaS của Farnetwork, thông thường các tin tặc trực tiếp thực hiện các cuộc tấn công mạng sẽ nhận được 65% số tiền thu được, chủ sở hữu botnet - 20% và nhà phát triển mã độc - 15%.

Kể từ tháng 10/2023, mã độc Nokoyawa đã ngừng hoạt động, nhưng Group-IB tin rằng Farnetwork sẽ lại xuất hiện dưới một cái tên khác và với chương trình RaaS mới.

Sự hình thành của “hệ sinh thái mã độc” cực kỳ nguy hiểm

Trên thực tế, botnet Farnetwork nêu trên chỉ đóng vai trò là nhà môi giới truy cập ban đầu (IAB). Mô hình này cho phép ngay cả các tin tặc thiếu kinh nghiệm cũng có thể sử dụng quyền truy cập đã được cấp để dễ dàng xâm nhập vào hệ thống mạng của các tổ chức nhắm đến, gia tăng hiệu quả và tốc độ lây lan của mã độc.

Điều này đang thay đổi bản chất của hoạt động tội phạm mạng. Thực tế là các tổ chức tội phạm mạng đang có xu hướng thu gọn cơ cấu và tạo ra mạng lưới các đối tác chuyên môn khiến chúng trở nên ít bộc lộ hơn trước các hoạt động triệt phá của cơ quan thực thi pháp luật.

Điều đó tạo ra một thị trường gồm các nhóm nhỏ hơn, thậm chí cả các nhà thầu riêng lẻ, có thể phát triển các bộ công cụ chuyên sâu để nâng cao hiệu quả của cuộc tấn công bằng mã độc, tương tự như cách một chuyên gia về bẻ khóa két sắt góp phần giúp một vụ cướp ngân hàng thành công.

Như vậy, thay vì thực hiện một cuộc tấn công từ đầu đến cuối, tin tặc có thể nhắm mục tiêu vào nạn nhân cụ thể và sau đó thuê một loạt nhà thầu để thực hiện chuỗi nhiệm vụ liên quan (thiết kế, phát tán, điều khiển mã độc và khai thác dữ liệu, thương lượng với nạn nhân, chuyển tiền…). Mỗi nhiệm vụ này đều yêu cầu các kỹ năng chuyên biệt. 

Xu hướng này đang tạo ra một “hệ sinh thái mã độc” vô cùng nguy hiểm và có khả năng thích ứng cực kỳ cao trong bối cảnh các cơ quan chức năng đang ráo riết áp dụng các biện pháp ngày càng cứng rắn để chống lại tội phạm mạng.

(theo SIW)

Ngày 'Thứ Hai đen tối' ở Đức: Mã độc làm gián đoạn dịch vụ công ở 70 địa phương

'Địa ngục trần gian' bên trong nghĩa địa tàu Bangladesh

Được ví là bẫy tử thần, những công nhân bên trong nghĩa địa tàu Bangladesh đang làm một trong những công việc nguy hiểm nhất thế giới.

Hồi tháng 7/2023, Bộ TT&TT đã nhóm họp 5 nhà sản xuất TV lớn và đề nghị các đơn vị này chủ động tích hợp nền tảng truyền hình số Quốc gia VTVGo trên các TV thông minh được sản xuất, nhập khẩu và phân phối tại Việt Nam. 

4 nhà sản xuất TV lớn là LG, Sony, TCL và Casper đã đồng ý tích hợp VTVGo trên các TV thông minh được sản xuất, nhập khẩu và phân phối tại thị trường Việt Nam. Samsung Vina cũng đang phối hợp cùng VTVGo để tích hợp sẵn ứng dụng này lên màn hình và phím tắt điều khiển từ xa TV của mình.

Với những thay đổi trên mẫu điều khiển Magic Remote 2024, LG là một trong những nhà sản xuất TV đầu tiên tích hợp phím tắt lên điều khiển theo đề xuất của Bộ TT&TT.

Với hơn 45 triệu người dùng, VTVGo hiện đã được Bộ TT&TT công nhận là nền tảng số phục vụ người dân. Tính đến hết năm 2023, nền tảng này đã tích hợp 7 kênh truyền hình thiết yếu quốc gia và 50 kênh truyền hình của các địa phương trên cả nước. 

Hiện có khoảng 12 triệu TV thông minh đang cài đặt ứng dụng VTVGo. Thời gian xem trung bình trên ứng dụng đạt khoảng 1 giờ 30 phút, tương đương với thời gian xem truyền hình thông thường. 

Việc đưa ứng dụng VTVGo lên TV và tích hợp phím tắt vào điều khiển là động thái thể hiện sự hợp tác của các nhà sản xuất TV nhằm thúc đẩy nền tảng truyền hình số quốc gia phát triển. Điều này cũng phù hợp với xu hướng xem truyền hình mới của người dùng trên Internet. Trong đó, các nền tảng số như VTVGo sẽ là hình thức truyền thông tiếp cận nhanh nhất tới mọi người dân Việt Nam.

Theo ông Phạm Anh Chiến, Phó Giám đốc Trung tâm Sản xuất và Phát triển Nội dung số (VTV Digital), đơn vị phát triển ứng dụng VTVGo, đây là nền tảng hoàn toàn do người Việt Nam phát triển. Đó cũng là một trong các tiêu chí khiến VTVGo được công nhận là nền tảng số quốc gia.

Khi các nhà sản xuất TV tích hợp ứng dụng VTVGo, sẽ có lợi cho người sử dụng bởi trên thiết bị đã có sẵn các nội dung chất lượng miễn phí. Sức hút đối với các dòng sản phẩm TV bán ra thị trường vì vậy cũng tăng lên.