-
09/04/2020
-
85
-
553 bài viết
FBI cảnh báo ransomware của BlackCat lây nhiễm hơn 60 tổ chức trên thế giới
FBI đang gióng hồi chuông cảnh báo về ransomware-as-a-service (RaaS) mà nhóm tin tặc BlackCat đang lây nhiễm cho ít nhất 60 tổ chức trên thế giới tính đến tháng 3/2022, kể từ khi nó xuất hiện vào tháng 11/2021.
Còn được gọi là ALPHV và Noberus, ransomware này là phần mềm độc hại đầu tiên được viết bằng ngôn ngữ lập trình Rust, được cho là an toàn bộ nhớ và cải thiện hiệu suất.
"Những kẻ đứng sau BlackCat/ALPHV có liên hệ với DarkSide/BlackMatter, cho thấy chúng có mạng lưới rộng lớn và kinh nghiệm hoạt động ransomware", FBI cho biết.
Công bố được đưa ra vài tuần sau khi Cisco Talos và Kasperksy báo cáo phát hiện ra liên hệ giữa ransomware BlackCat và BlackMatter, bao gồm việc sử dụng phiên bản sửa đổi công cụ lọc dữ liệu Fendr mà trước đây chỉ được thấy trong hoạt động liên quan đến BlackMatter.
AT&T Alien Labs chỉ ra: “Bên cạnh những lợi thế phát triển mà Rust mang lại, hacker cũng lợi dụng tỷ lệ bị phát hiện thấp hơn của các công cụ phân tích tĩnh, vốn thường không thích ứng với tất cả các ngôn ngữ lập trình”.
Giống như các nhóm RaaS khác, phương thức hoạt động của BlackCat liên quan đến đánh cắp dữ liệu nạn nhân trước khi thực thi ransomware. Phần mềm độc hại này thường lợi dụng thông tin đăng nhập của người dùng để có được quyền truy cập ban đầu vào hệ thống mục tiêu.
Trong một vụ việc, ransomware BlackCat được phân tích bởi Vedere Labs của Forescout, firewall của SonicWall tiếp xúc với Internet đã bị xâm nhập để có quyền truy cập ban đầu vào mạng, trước khi chuyển đến và mã hóa VMware ESXi. Việc triển khai ransomware được cho là đã diễn ra vào 17/03/2022.
Cơ quan thực thi pháp luật, bên cạnh việc khuyến cáo nạn nhân báo cáo kịp thời các sự cố ransomware, cũng khuyến khích không nên trả tiền chuộc vì chưa chắc đã khôi phục các tệp được mã hóa.
FBI đang kêu gọi các tổ chức kiểm tra bộ điều khiển miền, máy chủ, máy trạm và thư mục hoạt động cho các tài khoản người dùng mới hoặc không được công nhận, thực hiện sao lưu ngoại tuyến, phân đoạn mạng, áp dụng cập nhật phần mềm và đảm bảo an ninh tài khoản bằng xác thực đa yếu tố.
Còn được gọi là ALPHV và Noberus, ransomware này là phần mềm độc hại đầu tiên được viết bằng ngôn ngữ lập trình Rust, được cho là an toàn bộ nhớ và cải thiện hiệu suất.
"Những kẻ đứng sau BlackCat/ALPHV có liên hệ với DarkSide/BlackMatter, cho thấy chúng có mạng lưới rộng lớn và kinh nghiệm hoạt động ransomware", FBI cho biết.
Công bố được đưa ra vài tuần sau khi Cisco Talos và Kasperksy báo cáo phát hiện ra liên hệ giữa ransomware BlackCat và BlackMatter, bao gồm việc sử dụng phiên bản sửa đổi công cụ lọc dữ liệu Fendr mà trước đây chỉ được thấy trong hoạt động liên quan đến BlackMatter.
AT&T Alien Labs chỉ ra: “Bên cạnh những lợi thế phát triển mà Rust mang lại, hacker cũng lợi dụng tỷ lệ bị phát hiện thấp hơn của các công cụ phân tích tĩnh, vốn thường không thích ứng với tất cả các ngôn ngữ lập trình”.
Giống như các nhóm RaaS khác, phương thức hoạt động của BlackCat liên quan đến đánh cắp dữ liệu nạn nhân trước khi thực thi ransomware. Phần mềm độc hại này thường lợi dụng thông tin đăng nhập của người dùng để có được quyền truy cập ban đầu vào hệ thống mục tiêu.
Trong một vụ việc, ransomware BlackCat được phân tích bởi Vedere Labs của Forescout, firewall của SonicWall tiếp xúc với Internet đã bị xâm nhập để có quyền truy cập ban đầu vào mạng, trước khi chuyển đến và mã hóa VMware ESXi. Việc triển khai ransomware được cho là đã diễn ra vào 17/03/2022.
Cơ quan thực thi pháp luật, bên cạnh việc khuyến cáo nạn nhân báo cáo kịp thời các sự cố ransomware, cũng khuyến khích không nên trả tiền chuộc vì chưa chắc đã khôi phục các tệp được mã hóa.
FBI đang kêu gọi các tổ chức kiểm tra bộ điều khiển miền, máy chủ, máy trạm và thư mục hoạt động cho các tài khoản người dùng mới hoặc không được công nhận, thực hiện sao lưu ngoại tuyến, phân đoạn mạng, áp dụng cập nhật phần mềm và đảm bảo an ninh tài khoản bằng xác thực đa yếu tố.
Theo Thehackernews