Với một lượng lớn thông tin từ các nguồn tình báo lợi khuẩn gửi về, thay vì đổ tất cả vào một đống hỗn loạn vào bồn. Bạn sẽ đóng vai cô tấm để sắp xếp dữ liệu theo từng chủ đề hoặc các giai đoạn. Sau tất cả, chỉ nhằm mục đích nội dung được trình bày theo một hình khối DỄ QUAN SÁT, DỄ NHẬN DẠNG.

Có rất nhiều mô hình để sắp xếp dữ liệu, tuỳ vào nhu cầu và mục đích khác nhau:

• Kill Chain (Lockheed Martin Cyber Kill Chain): Dùng để mô tả các giai đoạn trong một cuộc tấn công theo một chuỗi từ đầu tới cuối.
• Diamond Model: Để phân tích mối liên hệ giữa các yếu tố có mặt trong một sự kiện tấn công.
• MITRE ATT&CK: Dùng để xác định các chiến thuật tactic & technique được sử dụng trong tấn công
• VERIS: Dùng để ghi nhận, báo cáo và chia sẻ sự cố bảo mật

Diamond Model

Mô hình phân tích tấn công mạng do Cục An ninh Quốc gia Hoa Kỳ (NSA) phát triển. Mô hình này có 4 đỉnh và 6 cạnh, bài trí như một viên kim cương mộc mạc.

• Adversary để nói về tác nhân tấn công (ở đây là Crypto24)
• Capability nói về năng lực, hành vi của chúng khi thực hiện tấn công
• Infrastructure sẽ thể hiện hạ tầng, tài nguyên mà tụi này đang sở hữu là gì
• Victim sẽ nói về nạn nhân của cuộc tấn công này là ai, đặc điểm của họ là gì
• Còn mỗi cạnh nối giữa các đỉnh là mối quan hệ nhân quả, tương tác, mối quan hệ logic. Nó sẽ giúp ích rất nhiều trong việc suy luận, mở rộng phân tích từ đó mở ra bức tranh rộng hơn về nhóm tấn công này.

Adversary (Tác nhân tấn công)

Threat Actor

• Tên nhóm: Crypto24
• Quốc gia: Chưa có đánh giá
• Tổ chức: Chưa có đánh giá

Đặc điểm nhận dạng

• Sử dụng phần mở rộng .crypto24 cho file bị mã hóa
• Đặt file đòi tiền chuộc tên Decryption.txt
• Giao tiếp trao đổi qua email: [email protected], [email protected]
• Trang thông báo dữ liệu .onion: j5o5y2feotmhvr7cbcp2j2ewayv5mn5zenl3joqwx67gtfchhezjznad.onion

Hành vi đặc trưng (Expertise)

• Áp dụng mô hình kinh doanh Double Extortion (tống tiền kép)
• Sử dụng dữ liệu rò rỉ của nạn nhân trên dark web
• Có thể là nhóm mới hoặc lập thương hiệu mới từ nhóm cũ
• Phân loại kỹ năng:
  • Mức độ trung bình và cao
  • Xâm nhập được nhiều hệ thống cloud và on-premise
  • có khả năng lateral movement
  • Có khả năng trích xuất dữ liệu quy mô lớn

Động cơ (Motivation)

Hoạt động vì mục đích kiếm tiền qua mô hình Double Extortion Ransomware – vừa mã hóa dữ liệu, vừa đe dọa công khai dữ liệu nếu nạn nhân không trả tiền chuộc

• Tống tiền trực tiếp: Gửi thông điệp đòi tiền chuộc (file Decryption.txt), hướng nạn nhân liên hệ qua email để “mua” key giải mã.
• Tống tiền gián tiếp: Nếu không trả, nhóm công bố dữ liệu trên dark web, gây thiệt hại uy tín, vi phạm luật bảo vệ dữ liệu (GDPR, PDPA…).
• Tấn công mục tiêu giàu tiềm năng chi trả: Ưu tiên doanh nghiệp có danh tiếng, tài sản dữ liệu lớn, và khả năng tài chính để trả tiền chuộc.

Tổ chức đứng sau (Organisation)

Chưa có phân tích rõ ràng

Ý định (Intent)

Crypto24 có đăc điểm điển hình của các nhóm ransomware chuyên nghiệp, có chủ đích, động cơ Financially Motivated Threat Actor (FIN) rõ ràng.

Mức độ che dấu hành vi (Visibility)

Chưa có phân tích rõ ràng

Tài nguyên (Resources)

• Thời gian: Chưa có phân tích rõ ràng
• Tài chính: Chưa có phân tích rõ ràng

Chiến dịch

Thời gian tấn công các mục tiêu đầu tiên rất gần nhau (đều được phát hiện trong khoảng 8–12/4/2025). Có thể đây là đợt chiến dịch đầu tiên của Crypto24. Theo một số nhận định, trong giai đoạn đầu của các nhóm ransomware, việc công bố nhiều dữ liệu giá trị cao từ nhiều nạn nhân trong thời gian ngắn thường là chiến lược để:

• Tạo tiếng vang trong giới cybercrime và trên các forum dark web. Crypto24 là nhóm mới “ra mắt” trên dark web.
• Thu hút “khách hàng” tiềm năng, chứng minh rằng chúng có khả năng phá hoại thực sự. Tạo ra các cuộc tấn công khác trong tương lai
• Khẳng định danh tính riêng biệt với nhóm tiền nhiệm (nếu là tái thương hiệu thì nghi ngờ khá giống với APT Medusa!? )

Capability (Năng lực tấn công)

Dựa vào bảng danh sách các file database mà Crypto24 cung cấp, chúng ta thấy nhóm tấn công này đã truy cập được rất nhiều hệ thống khác

• Muốn vào bên trong để rò quét tìm các hệ thống thì cần thực hiện Network Service Discovery.
• Muốn truy cập các hệ thống khác thì cần có Credential (có thể là kết quả việc Credential Dumping)
• Muốn Dump được Credential, Hash thì phải thực hiện Privilege Escalation
• Vì Crypto áp dụng mô hình kiếm tiền tống tiền kép Double Extortion
  • Tìm kiếm data nhạy cảm sau đó thực hiện việc nén và chuyển ra ngoài (exfiltration)
  • Muốn chuyển ra ngoài để bảo mật thì cần dùng các giao thức an toàn (SSH, SFTP), hoặc các phần mềm Cloud Drive Sync (Megaz hoặc Drive) vì lượng data lớn hàng Terabyte
  • Sau đó thực hiện hành vi mã hoá dữ liệu, để lại thông báo đòi tiền chuộc

Infrastructure (Hạ tầng sử dụng)

Hạ tầng điều khiển

Chưa có phân tích chi tiết

Hạ tầng mã hóa

• Phần mềm mã hóa ransomware chưa được phân tích chi tiết
• File đuôi .crypto24 là IOC đặc trưng

Truyền dữ liệu

• Chưa có phân tích chi tiết
• Có khả năng trích xuất dữ liệu thông qua cloud hoặc giao thức bảo mật (SFTP, HTTPS)

Hạ tầng truyền thông

• Email ProtonMail (proton.me) để liên hệ
• Trang .onion để rò rỉ dữ liệu và điều phối thông điệp
• Chưa xác định được kênh Telegram
• Chris Duggan trên X đã tìm ra server chứa trang web thông báo danh sách nạn nhân của nhóm này ở địa chỉ 45[.63.9[.192 từ ngày 9/4/2025

Victim (Nạn nhân)

• Không cố định một quốc gia/ngành
• Ưu tiên doanh nghiệp vừa và lớn có:
  • Nhiều dữ liệu nhạy cảm
  • Khả năng chi trả tiền chuộc
  • Danh tiếng dễ bị ảnh hưởng
• Một số dữ liệu nạn nhân của Crypto24 từng xuất hiện trong các vụ rò rỉ khác, điều này gợi ý:
  • Có thể nhóm này tận dụng lại dữ liệu rò rỉ để dựng thương hiệu, tỏ ra “lớn mạnh” hơn thực tế
  • Hoặc thu mua/cộng tác với các nhóm khác để tái sử dụng dữ liệu và dọa tống tiền lại