Phần mềm “robot mạng” của Storm-1152 đã đánh bại các công cụ bảo mật của Microsoft như CAPTCHA.

 AFP

Microsoft bắt được những trang chủ của một nhóm đặt trụ sở tại Việt Nam bị cho đã bán hàng triệu tài khoản giả cho bọn tội phạm mạng. Bọn này dùng các tài khoản đó để tấn công bằng mã độc tống tiền ransomware, ăn cắp thông tin cá nhân và những trò lừa đảo khác trên khắp thế giới.

AFP loan tin ngày 15/12 dẫn xác nhận của Microsoft tin vừa nêu. Đó là nhóm có tên Storm-1152. Nhóm này phát triển ra những công cụ tinh vi nhằm đánh bại những chức năng an toàn của Microsoft tạo nên vô số tài khoản thư điện tử Outlook và Hotmail.

Theo thông cáo của Microsoft đưa ra hôm thứ tư 13/12 thủ lĩnh của nhóm được cho biết là ba cá nhân đặt cơ sở ở Việt Nam: (tên viết không có dấu) Duong Dinh Tu, Linh Van Nguyen, và Tai Van Nguyen. Không rõ ngoài ba người này còn có thêm ai khác nữa không.

AFP đã gửi câu hỏi đến ba người theo địa chỉ thư điện tử mà Microsoft đăng trong đơn gửi cho một tòa án Liên bang ở Hoa Kỳ vào tuần trước; cũng như liên lạc giới chức Việt Nam để hỏi về tin vừa nêu. AFP không nói rõ có nhận được phản hồi nào chưa.

Storm-1152 lần đầu tiên bị phát hiện vào năm 2021. Arkose Labs, một công ty an ninh mạng làm việc với Microsoft chống lại nhóm này, đã truy được dấu vết của Storm-1152 từ Việt Nam.

Storm-1152 phát triển phần mềm tự động hay “robot mạng” (ứng dụng phần mềm tự động chạy các tác vụ lặp đi lặp lại trên mạng) nhằm tạo ra những tài khoản giả mạo. Phần mềm này của Storm-1152 đã đánh bại các công cụ bảo mật của Microsoft như CAPTCHA.

Storm-1152 bị cho đã kiếm được hàng triệu USD từ hoạt động của nhóm này.

Tòa án Liên bang Mỹ đã cho phép Microsoft dùng quyền kiểm soát đối với các trang chủ của nhóm Storm-1152 theo đơn của tập đoàn công nghệ khổng lồ này.

Trên các trang chủ đó nay hiện dòng chữ “tên miền này đã bị nắm giữ bởi Microsoft”.

Một chuyên gia công nghệ thông tin đứng cạnh một màn hình máy tính bị nhiễm mã độc (minh hoạ)

 AFP

Một báo cáo mới của các chuyên gia nghiên cứu về an ninh mạng tại Cisco Talos đầu tuần này cho biết họ vừa phát hiện một băng nhóm phát tán mã độc tống tiền đang hoạt động tại Việt Nam.

Báo cáo cho biết nhóm này nhắm đến các nạn nhân là người ở các nước nói tiếng Anh, Bulgaria, Trung Quốc và Việt Nam.

Các chuyên gia an ninh mạng phát hiện băng nhóm này sử dụng loại mã độc tải về một bản ghi mã độc từ một tài khoản có tên giống tiếng Việt là “nguyenvietphat” trên trang lưu trữ mã nguồn mở phổ biến Github.

Nhóm không có tên này đã bắt đầu hoạt động ít nhất là từ ngày 4/6 vừa qua, theo báo cáo, và nằm trong số các băng nhóm tội phạm mạng và tấn công mạng hoạt động từ Việt Nam hoặc nhắm đến Việt Nam.

Các chuyên gia của Cisco Talos nói rằng họ khá chắc chắn là nhóm này có nguồn gốc Việt Nam vì tên tài khoản trên Github, địa chỉ email và bản ghi mã độc giống như một tổ chức có thật tại Việt Nam trong khi thời gian khi những kẻ hoạt động trong nhóm liên hệ tống tiền lại trùng với giờ Việt Nam.

Bản ghi mã độc cũng được cấu tạo tương tự như mã độc do nhóm WannaCry đã thực hiện. Chúng yêu cầu thanh toán tiền bằng Bitcoin hoặc nếu không sẽ gấp đôi số tiền nếu nạn nhân không trả tiền trong vòng ba ngày. Bản ghi tống tiền cũng cho biết nếu việc thanh toán không được thực hiện trong vòng bảy ngày thì nạn nhân sẽ không thể khôi phục lại bất kỳ File (tệp hồ sơ) nào của mình.