Thành phố Florida sa thải nhân viên IT sau khi phải trả tiền chuộc ransomware

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi nktung, 05/07/19, 09:07 PM.

  1. nktung

    nktung Super Moderator Thành viên BQT

    Tham gia: 08/10/13, 04:10 AM
    Bài viết: 821
    Đã được thích: 314
    Điểm thành tích:
    83
    Nhân viên IT bị sa thải sau khi một thành phố của Florida phải trả tiền chuộc

    Ít nhất một người đứng đầu đã bị buộc thôi việc sau khi thành phố thứ hai của bang Florida phải trả một tiền chuộc lớn cho nhóm tạo mã độc ransomware.

    Các nhà chức trách của thành phố Lake City, bang Florida, đã sa thải một nhân viên IT vào tuần trước sau khi thành phố buộc phải phê duyệt khoản thanh toán khổng lồ trị giá gần 500.000 đô la cho nhóm tạo mã độc “bắt cóc tống tiền” - ransomware, vào thứ Hai tuần trước.

    Theo các báo cáo của truyền thông địa phương, danh tính của nhân viên IT bị sa thải không được công bố.

    Người phụ trách CNTT của thành phố cũng đang lên kế hoạch rà soát lại toàn bộ phòng CNTT để ngăn chặn những vụ việc tương tự xảy ra trong tương lai.

    Hậu quả của “bộ ba tấn công”

    Hệ thống thông tin của Lake City đã bị nhiễm phần mềm độc hại vào ngày 10 tháng 6 năm 2019. Thành phố đã mô tả vụ việc này là loại mã độc “bộ ba tấn công”.

    Một nhân viên IT đã mở tài liệu nhận được qua email, có kèm mã độc Trojan Emotet. Sau đó, Emotet lây nhiễm trên hệ thống của Lake City và tiến hành tải xuống trojan TrickBot. TrickBot lại tiếp tục tải về Ryuk ransomware.

    Mã độc Ryuk lây lan đến toàn bộ mạng của thành phố và mã hóa các tệp tin. Kẻ tấn công đã yêu cầu một khoản tiền chuộc nếu thành phố muốn lấy lại quyền truy cập vào hệ thống (các file).

    Các nhà chức trách thành phố đã phải phê duyệt khoản thanh toán tiền chuộc và chuyển cho kẻ tấn công vào ngày hôm sau.

    Sau khi nhận lại khóa giải mã từ kẻ tấn công, nhân viên IT của thành phố ngay lập tức thực hiện giải mã các tập tin. Đáng chú ý, Lake City không phải là thành phố đầu tiên của bang Florida phải trả khoản tiền chuộc cho kẻ tấn công. Ngay tuần trước thành phố Riviera đã phải trả cho tin tặc 65 bitcoin (600.000 đô la) để lấy lại dữ liệu.

    Phân tích nhanh “bộ ba tấn công”

    Emotet là loại trojan ẩn nấp trong các file đính kèm email lừa đảo liên quan đến tài chính ngân hàng. Email được viết với các từ khóa như Payment (thanh toán), Invoice (hóa đơn) hoặc mạo danh từ các công ty gửi hàng hóa uy tín. Loại email này thường được gửi tới các bộ phận làm về kế toán tài chính của các tổ chức chính phủ, ngân hàng...vì có thể dễ đánh lừa. Khi họ mở file đính kèm, sẽ kích hoạt mã độc macro chạy trên file office, và tải về TrickBot

    TrickBot là loại trojan có khả năng quét địa chỉ email và thông tin truy cập. Dựa vào thông tin này nó có thể lây lan tiếp đến các nạn nhân. Trickbot sau khi lây đến máy nào thì tải về Ryuk ransomware.

    Ryuk là loại phần mềm độc hại mã hóa tống tiền, sử dụng thuật toán mã hóa mạnh (AES-256; RSA-4096). Ngoài việc mã hóa các file thông thường, nó còn tìm cả file backup để mã hóa, gỡ luôn cả tính năng shadow copy (tính năng lấy lại các phiên bản tài liệu trên windows). Sau đó nó để lại một tệp tin kèm email liên hệ cho nạn nhân để thương lượng việc trả tiền.

    upload_2019-7-5_21-15-10.png

    Thông tin Ryuk ransomware để lại - Nguồn ảnh: 2-spyware.com

    Thành phố thứ 3 của Florida bị tấn công

    Đô thị thứ ba của Florida cũng đã bị tấn công, đó là làng Key Biscayne. Các quan chức đã báo cáo về việc nhiễm ransomware Ryuk vào tuần trước, nhưng họ vẫn chưa quyết định liệu có trả tiền chuộc không.

    Các phương tiện truyền thông đang rất quan tâm đến vụ việc này. Trả tiền cho kẻ tấn công được xem là dấu hiệu của sự thất bại và yếu kém của chính quyền thành phố. Những dữ liệu mà chính quyền đang quản lý có liên quan đến thông tin của người dân là rất quan trọng, cần nhanh chóng được lấy lại. Đó có thể là lý do tại sao các quan chức của Lake City sa thải một nhân viên CNTT của họ để cho mọi người hiểu rằng rằng thành phố đang rất nghiêm túc trong việc cải thiện vấn đề bảo mật CNTT.

    Bang Geogia liệu có là nạn nhân tiếp theo phải trả tiền?

    Theo cảnh báo từ Cơ quan an ninh mạng của Anh, các cuộc tấn công mã độc từ các băng đảng đòi tiền chuộc, và đặc biệt là Ryuk hiện đang ở mức rất cao và chắc chắn còn tiếp diễn.

    Theo một nguồn tin, vụ việc mới được báo cáo là tại bang Georgia, khi hệ thống tòa án của bang này bị ransomware tấn công và thủ phạm dường như lại là Ryuk.

    Trường hợp này rất đáng lo ngại, bởi năm ngoái ransomware cũng đã làm tê liệt hệ thống mạng CNTT của thành phố Atlanta, khiến giới chức tốn kém hàng triệu đô la trong nỗ lực phục hồi. Hay như đầu năm nay hạt Jackson của Georgia đã phải thanh toán khoản tiền chuộc 400.000 đô la cho tin tặc. Dường như chính quyền Geogia vẫn không có cách nào khác ngoài cách rút hầu bao trả tiền chuộc hoặc sau khi sự cố xảy ra mới gia cố lại hệ thống, theo kiểu "mất bò mới lo làm chuồng"?

    Tham khảo

    https://www.malwarebytes.com/emotet/

    https://blog.malwarebytes.com/detections/trojan-trickbot/

    https://www.2-spyware.com/remove-ryuk-ransomware.html
     

    Các file đính kèm:

    Chỉnh sửa cuối: 05/07/19, 09:07 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    unincuhanh thích bài này.