Cảnh báo chiến dịch phát tán mã độc mã hóa dữ liệu tống tiền W32.WeakPass nhắm vào các Server tại Việt Nam

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi sunny, 14/02/19, 08:02 PM.

  1. sunny

    sunny VIP Members

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,834
    Đã được thích: 860
    Điểm thành tích:
    113
    Chiều 14/2, Hệ thống giám sát virus của Bkav vừa phát đi cảnh báo đang có một chiến dịch tấn công có chủ đích của các hacker nước ngoài nhằm vào các Server Public của Việt Nam. Đặc biệt, trong chiến dịch này, hacker chỉ tấn công các máy chủ, khác với các mã độc mã hóa dữ liệu trước đây thường nhắm vào các máy trạm.

    Các địa chỉ phát động tấn công của hacker xuất phát từ Nga, châu Âu và châu Mỹ. Rất nhiều cơ quan, tổ chức tại Việt Nam đã bị hacker tấn công, xâm nhập máy chủ, sau đó thực hiện mã hóa toàn bộ dữ liệu trên server. Hiện chưa có con số thống kê đầy đủ, nhưng theo ước tính của Bkav, đến cuối buổi chiều 14/2 số nạn nhân có thể đã lên đến hàng trăm cơ quan, tổ chức.

    W32.WeakPass Malware.png

    Cách thức tấn công của hacker là rà quét các Server cài hệ điều hành Windows của các cơ quan, tổ chức tại Việt Nam, dò mật khẩu của những server này bằng cách sử dụng từ điển để thử từng mật khẩu (brute force). Nếu dò thành công, hacker sẽ thực hiện đăng nhập từ xa qua dịch vụ remote desktop, cài mã độc mã hóa tống tiền lên máy của nạn nhân.

    Các dữ liệu sẽ bị mã hóa bao gồm các file văn bản, file tài liệu, file cơ sở dữ liệu, file thực thi… Nạn nhân muốn lấy lại dữ liệu phải trả tiền chuộc cho hacker. Hacker không công bố số tiền nạn nhân phải trả như các mã độc mã hóa tống tiền thông thường, mà yêu cầu nạn nhân phải liên lạc qua email để trao đổi, thỏa thuận cụ thể. Theo ghi nhận của Bkav thì mỗi máy chủ bị mã hóa dữ liệu, hacker đang để lại một email khác nhau để liên hệ.

    Hiện tại Bkav đã cập nhật mẫu nhận diện mã độc mã hóa dữ liệu W32.WeakPass vào các phiên bản phần mềm diệt virus Bkav, bao gồm cả bản miễn phí, các quản trị có thể tải Bkav để quét và kiểm tra cho các máy chủ. Tuy nhiên, để phòng chống triệt để loại tấn công này, Bkav khuyến cáo quản trị viên cần lên kế hoạch rà soát ngay toàn bộ các máy chủ đang quản lý, đặc biệt là các máy chủ thuộc dạng public ra ngoài Internet, cần đặt mật khẩu mạnh cho máy chủ, đồng thời tắt dịch vụ remote desktop cho máy chủ nếu không thực sự cần thiết. Trong trường hợp vẫn cần phải duy trì remote desktop, cần giới hạn quyền truy cập, cấu hình chỉ cho các IP cố định, biết trước được phép remote vào.

    Bkav
     
    Chỉnh sửa cuối: 15/02/19, 12:02 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Dao Son, hminhduy and whf like this.
  2. hminhduy

    hminhduy New Member

    Tham gia: 08/10/18, 02:10 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Có mã MD5 trên Hybird Analysis không bạn?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. DiepNV88

    DiepNV88 Super Moderator Thành viên BQT

    Tham gia: 24/09/13, 03:09 AM
    Bài viết: 1,538
    Đã được thích: 342
    Điểm thành tích:
    83
    Máy chủ Linux hay Window từ trước tới giờ luôn bị tấn công brute force (dò mật khẩu) nên việc nâng cao an ninh máy chủ lúc nào cũng cần thiết ngay từ khi đưa máy chủ online trên mạng internet.
    Ngoài việc thiết lập an ninh cho dịch vụ RPD chúng ta cũng cần cập nhật đầy đủ các bản vá mới phát hành + rà soát an ninh các dịch vụ chạy trên máy chủ ( như web, database...) vì một máy chủ an toàn nhưng chạy các dịch vụ bảo mật kém thì vẫn có ngách cho hacker chui vào. Ví dụ: Ransomware Wannacry phát tán thông qua lỗ hổng EternalBlue của dịch vụ SMB.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf and sunny like this.
  4. nguyen hiep

    nguyen hiep New Member

    Tham gia: 07/06/18, 07:06 AM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    Có mã HASH không bạn ơi
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 474
    Đã được thích: 217
    Điểm thành tích:
    43
    Hiện tại mẫu này chưa có trên Virustotal và hybrid nhé các bạn!
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. Testthuthoi
  2. WhiteHat News #ID:2018
  3. WhiteHat News #ID:2018
  4. sunny
  5. sunny