Cảnh sát Đức công khai danh tính thật của thủ lĩnh người Nga đứng sau các nhóm ransomware GandCrab và REvil

 (krebsonsecurity.com)
1 điểm bởi GN⁺ 14 ngày trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Cơ quan Cảnh sát Hình sự Liên bang Đức đã công khai danh tính thật của Daniil Maksimovich Shchukin, công dân Nga bị xác định là thủ lĩnh của các nhóm ransomware GandCrab và REvil
  • Shchukin hoạt động dưới biệt danh UNKN (UNKNOWN) và được cho là nhân vật chủ chốt đã đưa vào sử dụng mô hình tống tiền kép, buộc nạn nhân phải trả tiền hai lần
  • GandCrab xuất hiện vào năm 2018, vận hành theo mô hình liên kết và đã tống tiền khoảng 2 tỷ USD trước khi chấm dứt hoạt động; sau đó REvil xuất hiện và nhắm vào các doanh nghiệp lớn
  • Bộ Tư pháp Mỹ đã yêu cầu tịch thu các tài khoản tiền mã hóa mang tên Shchukin, trong khi giới chức Đức cho biết nhiều khả năng hắn đang sinh sống tại Krasnodar, Nga
  • REvil đã phát triển thành một cấu trúc tội phạm công nghiệp với mô hình thuê ngoài và hệ sinh thái phụ trợ, nhưng sụp đổ sau khi FBI can thiệp בעקבות vụ tấn công Kaseya năm 2021

Đức công khai danh tính thật của ‘UNKN’, thủ lĩnh các nhóm ransomware Nga GandCrab và REvil

  • Cơ quan Cảnh sát Hình sự Liên bang Đức (BKA) xác định Daniil Maksimovich Shchukin là thủ lĩnh của các nhóm ransomware GandCrab và REvil
    • Shchukin bị cáo buộc đã cầm đầu ít nhất 130 vụ phá hoại hệ thống máy tính và tống tiền tại Đức trong giai đoạn 2019–2021
    • Cùng với một công dân Nga khác là Anatoly Sergeevitsch Kravchuk, hắn bị điều tra vì đã tống tiền khoảng 2 triệu euro và gây ra tổng thiệt hại kinh tế vượt quá 35 triệu euro
  • BKA cho biết Shchukin hoạt động dưới biệt danh ‘UNKN’ (hoặc UNKNOWN) và là nhân vật then chốt đã đưa mô hình tống tiền kép (double extortion) vào sử dụng
    • Nạn nhân phải trả tiền một lần để nhận khóa giải mã, và thêm một lần nữa để dữ liệu bị đánh cắp không bị công khai
    • GandCrab và REvil được đánh giá là các mạng lưới ransomware quy mô lớn hoạt động trên phạm vi toàn cầu

Sự hình thành và tiến hóa của GandCrab và REvil

  • Ransomware GandCrab xuất hiện vào tháng 1/2018, vận hành theo mô hình liên kết (affiliate), trong đó hacker chỉ cần xâm nhập vào tài khoản doanh nghiệp cũng có thể được chia lợi nhuận
    • Nhóm phát triển đã phát hành năm phiên bản lớn để liên tục cải tiến tính năng và né tránh phản ứng từ các công ty bảo mật
    • Tháng 5/2019, sau khi tống tiền khoảng 2 tỷ USD, nhóm tuyên bố chấm dứt hoạt động và để lại thông điệp rằng “ngay cả làm điều ác cũng có thể trở nên giàu có một cách an toàn”
  • Ngay sau khi GandCrab kết thúc, ransomware REvil xuất hiện
    • Một người dùng tên ‘UNKNOWN’ đã ký quỹ 1 triệu USD trên diễn đàn tội phạm Nga để tạo dựng uy tín, và động thái này được xem là sự tái tổ chức của GandCrab
    • REvil phát triển theo chiến lược ‘big game hunting’, nhắm vào các doanh nghiệp lớn và các tổ chức có bảo hiểm để đòi tiền chuộc ở mức rất cao

Danh tính của Shchukin và cuộc điều tra quốc tế

  • Vào tháng 2/2023, Bộ Tư pháp Mỹ đã nêu đích danh Shchukin khi yêu cầu tịch thu các tài khoản tiền mã hóa chứa lợi nhuận từ hoạt động của REvil
    • Ví liên quan chứa khoảng 317.000 USD giá trị tiền mã hóa
  • BKA cho biết Shchukin đến từ Krasnodar, Nga và nhiều khả năng hiện vẫn đang sinh sống tại đó
    • Cơ quan này cũng lưu ý rằng “không thể loại trừ khả năng hắn đang ở nước ngoài hoặc có hoạt động đi lại”

Cách REvil vận hành và cấu trúc tội phạm công nghiệp hóa

  • Theo cuốn sách The Ransomware Hunting Team của Renee DudleyDaniel Golden, REvil tối đa hóa hiệu quả giống như một doanh nghiệp hợp pháp thông qua thuê ngoài công việc và tái đầu tư (reinvestment)
    • Nhóm phát triển tập trung vào việc nâng cao chất lượng, trong khi các đơn vị bên ngoài phụ trách thiết kế web, logistics, dịch vụ mã hóa và nhiều khâu khác
    • Một hệ sinh thái phụ trợ đa dạng đã hình thành, bao gồm nhà cung cấp ‘crypter’, ‘initial access broker’, và dịch vụ rửa Bitcoin, qua đó mở rộng ngành công nghiệp tội phạm

Các vụ việc lớn và sự sụp đổ

  • Vào cuối tuần ngày 4/7/2021, REvil đã tấn công công ty quản lý CNTT của Mỹ Kaseya, gây ảnh hưởng đến hơn 1.500 khách hàng
    • FBI cho biết họ đã xâm nhập vào máy chủ của REvil từ trước nhưng không thể can thiệp ngay để tránh làm lộ chiến dịch
    • Sau đó, khi FBI công bố khóa giải mã miễn phí, REvil trên thực tế đã sụp đổ

Các manh mối bổ sung và xác minh danh tính

  • Theo phân tích diễn đàn của công ty tình báo mạng Intel 471, Shchukin từng hoạt động dưới tên ‘Ger0in’ và có lịch sử vận hành botnet cũng như bán dịch vụ cài đặt mã độc
    • Ger0in hoạt động trong giai đoạn 2010–2011, nhưng chưa xác nhận được mối liên hệ trực tiếp với UNKNOWN
  • Qua trang so sánh hình ảnh Pimeyes, người trong ảnh do BKA công bố được xác định đeo cùng một mẫu đồng hồ với người xuất hiện trong ảnh tiệc sinh nhật tại Krasnodar năm 2023
  • Tại hội nghị CCC (Chaos Communication Congress) ở Đức năm 2023, một bản ghi âm lồng tiếng Anh cũng đã được công bố, trong đó Shchukin được nhắc đến là lãnh đạo của REvil

Bài viết liên quan

1 bình luận

 
GN⁺ 14 ngày trước
Ý kiến trên Hacker News

  • Tôi nhớ là đã từng nghe chuyện các hacker thuộc CCC đã xác định danh tính của một trong những người này từ vài năm trước
    Như nội dung được nhắc trong phần cập nhật, việc này cũng đã được đề cập trong video thuyết trình của CCC
    Tự nhiên tôi thấy tò mò không biết cơ quan điều tra tự lần ra được điều này, hay họ đã nhờ hỗ trợ từ các hacker từng tham gia phòng thủ trước đó

    • Tôi không quá am hiểu sâu về chủ đề này, nhưng nhìn chung CCC và BND (cơ quan tình báo Đức) không có quan hệ tốt đẹp gì
      Đặc biệt là sau vụ BND giám sát công dân Đức, và về mặt lịch sử cũng từng có nhiều xung đột
      Vì vậy nếu một hacker hợp tác với BND thì có nguy cơ mất lòng tin từ các hacker đồng nghiệp
    • Linus Neumann gần đây cũng tỏ ra thắc mắc vì sao chuyện này lại xảy ra vào lúc này trong tập podcast Logbuch Netzpolitik
      Họ cũng nói rằng chưa từng được liên hệ chính thức

  • Gần đây Spiegel đã đăng một video phóng sự về vụ việc này

  • Tôi tự hỏi việc đưa ai đó vào danh sách truy nã gắt gao nhất có được xem là doxing hay không
    Phần mô tả chính thức ghi rằng “Daniil Maksimovich Shchukin đang bị truy nã quốc tế vì cáo buộc tống tiền bằng ransomware nhắm vào doanh nghiệp và cơ quan công”

    • Tôi thấy cách dùng từ này không ổn. ‘Doxing’ vốn mang sắc thái tiêu cực, dùng khi công khai thông tin cá nhân của người không có lỗi
      Trong trường hợp này, tôi nghĩ ‘accuse’ hoặc ‘unmask’ sẽ chính xác hơn
    • Cùng với sự thay đổi của ngôn ngữ, có vẻ giờ đây ‘doxing’ được dùng theo nghĩa đơn giản là công khai thông tin cá nhân mà không có sự đồng ý
    • Cũng có ý kiến nói rằng Mỹ đã xác định được hắn từ 3 năm trước
    • Tôi thấy khó hiểu với logic này. Có vẻ như đang coi GDPR quá nghiêm trọng (đùa thôi)
    • Nếu chỉ đơn thuần đưa ‘UNKN’ vào danh sách truy nã thì không phải doxing, nhưng vì đã liên kết ‘UNKN’ với danh tính thật nên có thể xem là doxing

  • Tôi không hiểu tại sao câu “đã công khai tên của một kẻ tống tiền ẩn danh” lại bị xem là doxing
    Bài báo đâu có chứa địa chỉ, thông tin gia đình hay số liên lạc, chỉ đơn giản là nêu rõ “người bị truy bắt” là ai thôi

    • Có vẻ gần đây nghĩa của ‘doxing’ đã được mở rộng thành ‘công khai thông tin mà không có sự đồng ý của đương sự’
      Vấn đề là việc công khai như vậy có thể khiến những người xung quanh nhìn nhận hắn như tội phạm hoặc hàng xóm giàu có, từ đó dẫn tới các vụ trộm cắp hay tống tiền nhắm vào hắn
      Thực tế đã từng có trường hợp người ta còn giả danh cơ quan tình báo để đe dọa một tội phạm mạng bị dox
    • Với lại, câu “Đức muốn bắt người này” bản thân nó cũng chẳng có vẻ gì là quá có sức nặng

  • Có vẻ mọi người đang quá bám vào ý nghĩa của từ ‘doxing’
    Trong cộng đồng hacking ẩn danh, việc phơi bày OPSEC (an ninh tác nghiệp) của ai đó tự thân đã được xem là doxing
    Một số người còn theo kiểu ‘full disclosure’, tức là công khai ngay mọi thất bại về OPSEC
    Vì nếu không, ai đó có thể âm thầm tích lũy thông tin đó rồi sau này dùng để tống tiền

  • Tôi nghĩ ‘doxxes’ mới là cách viết đúng. ‘doxes’ khi phát âm nghe như ‘đốc-xi-z’ nên khá kỳ
    Nếu là vài chục năm trước thì riêng kiểu tiêu đề này thôi cũng đã nghe như một trò chơi chữ khó hiểu rồi

  • Tôi không rõ từ khi nào việc đưa ai đó vào danh sách truy nã chính thức lại trở thành doxing
    Nếu họ muốn thông tin bị gỡ xuống thì chỉ cần ra tòa thôi