Hàng chục ngàn máy tính nhiễm ransomware
Theo thông tin từ Bkav, vào đầu tháng 5/2023, một doanh nghiệp lớn, có đội ngũ quản trị viên dày kinh nghiệm, nắm rõ hệ thống của mình bị mã độc mã hóa tống tiền – ransomware tấn công, với toàn bộ hơn 10TB dữ liệu bị mã hóa. Hacker đã yêu cầu hơn 4 tỷ đồng đổi lấy chìa khóa giải mã. Vấn đề là, hệ thống của đơn vị này không được bảo vệ bởi một phần mềm diệt virus đủ mạnh.
Tiếp đó, vào giữa tháng 5/2023, một doanh nghiệp khác bị hacker tấn công và mã hóa dữ liệu hàng loạt máy chủ, máy cá nhân lúc nửa đêm. Hacker đòi 9 nghìn USD tiền chuộc dữ liệu cho mỗi máy bị mã hóa. Các chuyên gia của Bkav phát hiện, hệ thống đã bị tấn công bởi virus mã hóa Jianliang, chưa từng xuất hiện trước đây.
Hệ thống giám sát virus của Bkav còn phát hiện, dòng mã độc mã hóa dữ liệu “STOP/DJVU” hoặc “FARGO3” chuyên nhắm tới các doanh nghiệp, đơn vị sử dụng các phần mềm quản lý dữ liệu kế toán. Theo thống kê, có tổng cộng 261 máy chủ bị xâm nhập từ hơn 6.000 địa chỉ IP khác nhau.
Đáng chú ý, trong 6 tháng từ tháng 12/2022 đến hết tháng 5/2023, Trung tâm hỗ trợ kỹ thuật của Bkav đã tiếp nhận hàng trăm cuộc gọi, đề nghị xử lý mã độc mã hóa tống tiền. Hệ thống giám sát virus của Bkav cũng ghi nhận hơn 77.000 máy tính tại Việt Nam bị mã hóa dữ liệu.
Ông Nguyễn Tiến Đạt, Tổng giám đốc Trung tâm nghiên cứu mã độc của Bkav cho biết, trong số hàng trăm trường hợp liên hệ Bkav yêu cầu trợ giúp, có tới hơn 50% tổ chức, cá nhân không sử dụng phần mềm diệt virus hoặc cài đặt những ứng dụng bảo vệ không đủ mạnh.
Các loại mã độc mã hóa dữ liệu sử dụng rất nhiều cách thức để tấn công như khai thác lỗ hổng dịch vụ web, dò quét mật khẩu (Brute force) vào các dịch vụ SQL, lỗ hổng hệ điều hành, để tấn công trực tiếp vào máy chủ. Cách khác là tấn công vào một máy cá nhân, từ đó âm thầm rà quét, thọc sâu vào các server và các máy tính khác trong mạng…
Để tránh bị tấn công mã hóa dữ liệu, các chuyên gia khuyến nghị người dùng và quản trị hệ thống cần thường xuyên backup dữ liệu quan trọng; không mở cổng dịch vụ nội bộ ra Internet khi không cần thiết. Đồng thời, cần đánh giá an ninh các dịch vụ trước khi mở ra Internet và cài đặt phần mềm diệt virus đủ mạnh để được bảo vệ thường trực.
Xuất hiện loại ransomware “gian xảo” có thể tự mã hóa để tránh phần mềm diệt virus
Theo TechRadar, các nhà nghiên cứu an ninh mạng từ công ty Kroll gần đây đã phát hiện ra một biến thể ransomware có tên gọi là Cactus. Loại ransomware này có khả năng trốn tránh được sự phát hiện của các chương trình bảo mật bằng cách tự mã hóa chính nó.
Theo báo cáo của BleepingComputer, loại ransomware này có ba chế độ thực thi chính, một trong số đó là cơ chế tự mã hóa. Sau khi được triển khai, những kẻ tấn công sẽ cung cấp cho phần mềm độc hại một mã khóa AES duy nhất mà chỉ có chúng biết được.
Mã khóa này được sử dụng để giải mã tệp cấu hình của ransomware và mã khóa RSA để mã hóa mọi thứ trên hệ thống của nạn nhân. Mã này có dạng chuỗi HEX được mã hóa cứng trong tệp nhị phân của công cụ mã hóa. Bằng cách giải mã chuỗi HEX, kẻ tấn công sẽ có được dữ liệu bị mã hóa nếu có khóa AES.
“Cactus về cơ bản sẽ tự mã hóa, khiến nó khó bị phát hiện bởi các công cụ giám sát mạng và chống virus”, Laurie Iacono, phó giám đốc an ninh mạng tại Kroll, nói với Bleeping Computer.
Điểm đặc biệt của Cactus là nó có nhiều chế độ mã hóa, trong đó có cả chế độ mã hóa nhanh. Nếu kẻ tấn công quyết định chạy cả hai chế độ lần lượt, các tệp trên thiết bị của nạn nhân sẽ bị mã hóa hai lần và sẽ có hai kiểu đuôi định dạng.
Có rất ít thông tin về hoạt động của ransomware Cactus. Hiện vẫn chưa rõ rằng liệu đã có doanh nghiệp nào đã và đang bị nó tấn công hay chưa. Mặc dù chưa được xác nhận, nhưng một số báo cáo cho rằng các tin tặc điều hành Cactus thường đòi tiền chuộc lên đến hàng triệu USD.
Theo Nhóm tình báo về mối đe dọa toàn cầu của Tập đoàn NCC (Mỹ), các cuộc tấn công ransomware đã tăng đột biến. Trong báo cáo về mối đe dọa hàng tháng của mình, NCC Group đã báo cáo mức tăng 91% trong các cuộc tấn công ransomware vào tháng 3 so với tháng 2/2023 và tăng 62% so với số lượng các cuộc tấn công ransomware tháng cao nhất năm 2022 mà nhóm đã đo được.
Tập đoàn NCC (Mỹ)