Nhóm tấn công APT RTM Locker sử dụng ransomware nhằm mục tiêu vào các doanh nghiệp

Gần đây, các nhà nghiên cứu bảo mật đã phát hiện nhóm tấn công APT Read The Manual (RTM) đã sử dụng ransomware để cho phép đối tượng tấn công cài cắm RaaS (ransomware as a service) nhằm thực hiện các cuộc tấn công thu lợi nhuận bất hợp pháp.

20230427-ta2.jpg

Ransomware-as-a-Service (RaaS) là thuật ngữ đề cập đến việc một số nhóm tấn công mạng cho các nhóm đối tượng khác nhau thuê ransomware. Bởi vậy, nhóm RTM đã thiết lập ra các chi nhánh thuê ransomeware của mình để tống tiền người dùng.

Nhóm APT Read The Manual bắt đầu hoạt động kể từ năm 2015 và được phát hiện lần đầu vào tháng 2/2017. Nhóm này sử dụng phần mềm độc hại có liên quan đến các ngân hàng, từ đó nhằm mục tiêu tấn công vào các doanh nghiệp ở Nga thông qua việc cài cắm mã độc vào thư rác, email lừa đảo.

Ngoài ra, các đối tượng tấn công này còn có thể thực hiện tấn công Drive-by Download, đây là một kỹ thuật tấn công phổ biến cho phép cài đặt phần mềm độc hại vào máy tính của người dùng một cách âm thầm.

Vào tháng 3/2021, nhóm này đã thực hiện một chiến dịch tấn công tống tiền thông qua ba mối đe dọa gồm: RAT (Remote Access Trojan), mã độc trojan và một ransomware được gọi là Quoter. Tuy nhiên, các nghiên cứu mới nhất cho thấy rằng trong các cuộc tấn công gần đây của RTM Locker không liên quan đến ransomware Quoter.

Mục tiêu của nhóm RTM là hoạt động ngầm và tránh thực hiện các hoạt động gây sự chú ý. Nhóm RTM sẽ tự động khóa các chi nhánh thuê ransomware nếu các chi nhánh này không hoạt động trong 10 ngày. Điều này nhằm thúc đẩy các chi nhánh tích cực hoạt động, đồng thời để tránh các nguy cơ bị phát hiện.

RTM sử dụng các kỹ thuật tấn công tương tự các nhóm RaaS khác, buộc người dùng phải trả tiền để lấy lại những dữ liệu bị đánh cắp. Điều này cho phép đối tượng tấn công thực hiện nâng cao đặc quyền, ngăn chặn các phần mềm chống vi-rút và sao lưu, xóa các bản sao ẩn trước khi bắt đầu quy trình mã hóa.

Ngoài ra, mã độc cũng được thiết kế để dọn sạch Recycle Bin nhằm ngăn việc khôi phục, thay đổi hình nền, xóa nhật ký và thực thi lệnh tự xóa ở bước cuối.

Để giảm thiểu nguy cơ bị tấn công mạng các cá nhân, doanh nghiệp nên kiểm tra trước khi truy cập vào bất kỳ đường link nào, thường xuyên sử dụng công cụ quét virus để sớm phát hiện và loại bỏ các phần mềm độc hại trên thiết bị của mình.