Nhóm tống tiền Silent Ransom lợi dụng kỹ thuật DNS Fast Flux để ẩn hạ tầng tấn công

Nhóm tống tiền khét tiếng Silent Ransom Group (SRG) đang dựa vào một mạng lưới "fast flux" gồm các thiết bị bị nhiễm phần mềm độc hại để che giấu hạ tầng của mình, theo cảnh báo mới nhất từ Resecurity.

Còn được theo dõi dưới các tên gọi như Chatty Spider, Luna Moth và UNC3753, SRG nổi tiếng với việc sử dụng lừa đảo qua giọng nói (vishing) và kỹ thuật xã hội học để xâm nhập từ xa vào môi trường của nạn nhân.

Kỹ thuật DNS Fast Flux giúp tin tặc ẩn danh

Chiến thuật tấn công từ xa và vật lý

Nhóm tống tiền này thường gửi các email lừa đảo với chủ đề liên quan đến di chuyển dữ liệu hoặc hóa đơn, sau đó khuyến khích người nhận thực hiện cuộc gọi thoại với các thành viên của nhóm đang mạo danh chuyên gia IT. Những kẻ tấn công sẽ thuyết phục nạn nhân tạo phiên chia sẻ màn hình và cài đặt phần mềm truy cập từ xa.

SRG chủ yếu được biết đến với việc nhắm mục tiêu vào các công ty luật tại Mỹ. Một cảnh báo gần đây của FBI tiết lộ rằng nhóm này thậm chí cử người đến trực tiếp cắm USB vào máy tính của nạn nhân nhằm mục đích đánh cắp dữ liệu hoặc triển khai mã độc.

Ngoài công ty luật, nhóm tống tiền này còn được phát hiện đang nhắm vào các công ty trong lĩnh vực tài chính, y tế, bảo hiểm và khách sạn — tất cả đều là những đơn vị xử lý thông tin nhạy cảm.

Sử dụng mạng lưới DNS Fast Flux

Sau khi xâm nhập thành công vào môi trường của tổ chức mục tiêu, SRG thường tập trung vào việc di chuyển ngang (lateral movement) và đánh cắp dữ liệu thay vì triển khai mã độc mã hóa tệp.

Ngay sau khi đánh cắp dữ liệu, thường trong vòng 30 phút, tin tặc sẽ gửi email tống tiền cho tổ chức nạn nhân, đe dọa công bố dữ liệu bị đánh cắp trên trang web rò rỉ dữ liệu của chúng. Nếu nạn nhân không phản hồi, nhóm này sẽ liên hệ với nhân viên và đối tác của nạn nhân để tăng áp lực.

Hạ tầng bảo mật

Báo cáo mới của Resecurity cho thấy SRG đang sử dụng mạng lưới fast flux gồm các bộ định tuyến (router), modem, cổng và các thiết bị IoT khác (thiết bị lắp đặt trong cơ sở khách hàng - CPE) bị xâm phạm.

Fast Flux là một kỹ thuật dựa trên tên miền, dựa vào việc thay đổi nhanh chóng các bản ghi DNS của một tên miền hợp pháp. Kỹ thuật này cho phép các tác nhân đe dọa ẩn vị trí máy chủ của mình bằng cách xoay vòng hàng loạt địa chỉ IP và máy chủ tên miền DNS cho cùng một tên miền.

Để thực hiện điều này, tin tặc cần một lượng lớn máy chủ bị xâm phạm. Resecurity đã xác định các nút fast flux của SRG tại 18 quốc gia trên khắp Châu Mỹ Latinh, Đông Âu, Trung Á, Trung Đông, Châu Phi, Đông Á và Caribbean.

Phân bổ trên 22 nhà cung cấp dịch vụ internet (ISP), mạng botnet fast flux này đã được sử dụng để xoay vòng bản ghi DNS cho hai tên miền ep6pheij[.]com và business-data-leaks[.]com — hai tên miền được biết là đã được nhóm tống tiền sử dụng.

Tác động đến ngành pháp lý

Resecurity lưu ý rằng các cuộc tấn công của SRG đã có tác động đáng kể đến ngành pháp lý.

"Các công ty luật chiếm gần một phần tư tất cả các sự cố liên quan đến ransomware được theo dõi trong quý đầu năm 2026, khiến đây trở thành ngành bị nhắm mục tiêu nhiều thứ tư. Sự tập trung của SRG vào việc đánh cắp dữ liệu và tống tiền đã góp phần vào sự gia tăng này," báo cáo chỉ rõ.

Theo một báo cáo mới của Google, SRG đã hoạt động từ ít nhất là năm 2022, với một số hoạt động của chúng trùng lặp với UNC2686 — nhóm được biết đến với các chiến dịch BazarCall và việc sử dụng các phần mềm độc hại TrickBot, Ursnif và BazarLoader.