Dòng ransomware mới CACTUS khai thác lỗ hổng VPN để xâm nhập mạng

14:00 | 16/05/2023 | HACKER / MALWARE

Các nhà nghiên cứu an ninh mạng đã làm sáng tỏ một chủng ransomware mới có tên CACTUS được phát hiện đã tận dụng các lỗ hổng trong các thiết bị VPN để có được quyền truy cập ban đầu vào các mạng được nhắm mục tiêu. Mã độc tống tiền này thường nhắm mục tiêu vào các tổ chức thương mại lớn kể từ tháng 3/2023, với các cuộc tấn công đánh cắp dữ liệu nhạy cảm của nạn nhân trước khi mã hóa.

Dòng ransomware mới CACTUS khai thác lỗ hổng VPN để xâm nhập mạng

Các nhà nghiên cứu của công ty tư vấn rủi ro và điều tra doanh nghiệp Kroll (Mỹ) cho biết: "Khi ở trong mạng, CACTUS cố gắng liệt kê các tài khoản người dùng và thiết bị mạng đầu cuối có thể truy cập trước khi tạo tài khoản người dùng mới, sau đó tận dụng các tập lệnh tùy chỉnh để tự động triển khai và kích hoạt bộ mã hóa ransomware thông qua các tác vụ theo lịch trình". Sau khi khai thác thành công các thiết bị VPN dễ bị tổn thương, một cửa hậu SSH được thiết lập để duy trì quyền truy cập liên tục và một loạt các lệnh PowerShell được thực thi để tiến hành quét mạng và xác định danh sách các máy để mã hóa.

Các cuộc tấn công CACTUS cũng sử dụng Cobalt Strike và một công cụ có tên là Chisel để ra lệnh và kiểm soát, cùng với phần mềm quản lý và giám sát từ xa (RMM) như AnyDesk để đẩy các tệp đến máy chủ bị nhiễm mã độc. Sau đó tin tặc thực hiện các bước để vô hiệu hóa và gỡ cài đặt các giải pháp bảo mật cũng như trích xuất thông tin đăng nhập từ trình duyệt web và dịch vụ hệ thống để leo thang đặc quyền. Việc leo thang đặc quyền được thực hiện thành công nhờ chuyển động ngang, lọc dữ liệu và triển khai phần mềm tống tiền, bước cuối cùng đạt được bằng tập lệnh PowerShell cũng đã được Black Basta sử dụng.

Một khía cạnh mới của CACTUS là việc sử dụng tập lệnh để trích xuất mã nhị phân ransomware bằng 7-Zip, sau đó xóa tệp lưu trữ .7z trước khi thực thi. CACTUS có thể tự mã hóa, khiến nó khó bị phát hiện hơn và giúp trốn tránh các công cụ giám sát mạng và chống virus.

Công ty phần mềm an ninh mạng Trend Micro (Nhật Bản) nhận định: "Biến thể ransomware mới có tên CACTUS tận dụng lỗ hổng trong thiết bị VPN, cho thấy các tác nhân đe dọa tiếp tục nhắm mục tiêu vào các dịch vụ truy cập từ xa và các lỗ hổng chưa được vá để tiến hành truy cập". Nhận định này được đưa ra vài ngày sau khi Trend Micro làm sáng tỏ một loại ransomware khác có tên là Rapture có một số điểm tương đồng. CACTUS và Rapture là những cái tên mới nhất bổ sung vào danh sách dài các họ ransomware mới được đưa ra ánh sáng trong thời gian gần đây, bao gồm Gazprom , BlackBit , UNIZA , Akira và một biến thể ransomware NoCry có tên là Kadavro Vector.

Trường An

(Theo The Hacker News)

‹ › ×

Tin liên quan

Các cuộc tấn công ransomware đã tăng 91% trong tháng 3/2023 từ khi các lỗ hổng mới bị phát hiện

13:00 | 09/05/2023

Theo báo cáo an ninh mạng hàng tháng mới của NCC Group thì các cuộc tấn công ransomware đã tăng vọt vào tháng 3/2023. Nhóm mối đe dọa mới có tên là CLOp đứng đằng sau sự gia tăng khi chúng khai thác các lỗ hổng trong trình quản lý truyền tệp GoAnywhere.

Cảng biển quốc tế lớn nhất của Nhật Bản bị tấn công ransomware

10:00 | 07/07/2023

Ngày 04/7, một vụ tấn công bằng ransomware đã xảy ra tại cảng Nagoya thuộc tỉnh Aichi, Nhật Bản. Vụ tấn công đã khiến cho hoạt động của cảng này bị đình trệ hoàn toàn trong hai ngày, hàng trăm xe container xếp hàng dài để chờ khắc phục sự cố

Công ty máy tính, laptop gaming MSI bị tấn công ransomware

14:00 | 14/04/2023

Công ty công nghệ MSI có trụ sở tại Đài Loan chính thức xác nhận họ là nạn nhân của một cuộc tấn công ransomware. Tuy nhiên, MSI không tiết lộ bất kỳ thông tin cụ thể nào về thời điểm diễn ra cuộc tấn công cũng như là các dữ liệu thông tin bị rò rỉ bao gồm cả mã nguồn hay không.

Bí quyết kiểm tra an toàn không gian mạng và chống lại các cuộc tấn công ransomware cho các doanh nghiệp

13:00 | 04/08/2023

Dựa trên thông tin thực tế thống kê từ các cuộc tấn công bằng mã độc tống tiền điển hình, Fortinet - một trong những công ty hàng đầu thế giới về các giải pháp an ninh mạng đã đưa ra gợi ý các biện pháp tốt nhất giúp đảm bảo an toàn trên không gian mạng cho cá nhân và doanh nghiệp.

Microsoft sẽ mất gần một năm để vá lỗ hổng Secure Boot mới

09:00 | 05/06/2023

Đầu tháng 5, Microsoft đã phát hành một bản vá cho lỗ hổng bỏ qua Khởi động an toàn (Secure Boot) được sử dụng bởi bộ khởi động BlackLotus được báo cáo vào tháng 3. Lỗ hổng ban đầu định danh CVE-2022-21894, đã được vá vào tháng 1, nhưng bản vá mới cho CVE-2023-24932 đã xử lý một giải pháp thay thế được khai thác tích cực khác cho các hệ thống chạy Windows 10 và 11 và các phiên bản Windows Server cho tới tận phiên bản 2008.

Tấn công các ứng dụng VPN sử dụng lỗ hổng TunnelCrack

09:00 | 04/04/2024

Mạng riêng ảo (VPN) xác thực và mã hóa lưu lượng truy cập mạng để bảo vệ tính bí mật và quyền riêng tư của người dùng ngày càng được sử dụng phổ biến trong cả môi trường cá nhân và doanh nghiệp. Do đó, tính bảo mật của VPN luôn là chủ đề nghiên cứu nhận được nhiều sự quan tâm. Bài báo sẽ trình bày hai tấn công mới khiến máy khách VPN rò rỉ lưu lượng truy cập bên ngoài đường hầm VPN được bảo vệ thông qua khai thác lỗ hổng TunnelCrack. Hai tấn công này đã được xác nhận là có khả năng ảnh hưởng đến hầu hết các VPN của người dùng. Ngoài ra, nhóm tác giả cũng đưa ra các biện pháp đối phó để giảm thiểu các cuộc tấn công lợi dụng lỗ hổng này trong thực tế.

Đối phó với những cuộc tấn công ransomeware: Những người ra quyết định có những lựa chọn nào?

13:00 | 19/05/2021

Những người ra quyết định về công nghệ thông tin (CNTT) thường thấy mình bị mắc kẹt giữa những quyết định khó khăn khi phải đối phó với các cuộc tấn công ransomeware. Họ có thể trả một số tiền lớn cho tội phạm mạng với hi vọng lấy lại quyền truy cập vào hệ thống và dữ liệu nhưng lại có thể đưa doanh nghiệp rơi vào tình thế nguy hiểm về tài chính. Hay họ hi vọng rằng bản sao lưu của họ đủ tốt và tin tặc sẽ không làm rỏ rỉ thông tin trực tuyến. Một số thì lại đang tìm kiếm phương thức khác là đàm phán với tin tặc.

Nhóm tin tặc BlackCat nộp đơn khiếu nại lên Ủy ban chứng khoán và sàn giao dịch Mỹ khi nạn nhân từ chối đàm phán

14:00 | 23/02/2024

Nhóm tin tặc mã độc tống tiền BlackCat đã bắt đầu lạm dụng các quy tắc báo cáo sự cố mạng của Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) để gây áp lực lên các tổ chức từ chối đàm phán thanh toán tiền chuộc. Những kẻ tấn công đã nộp đơn khiếu nại lên SEC đối với một nạn nhân, trong một động thái có thể sẽ trở thành thông lệ sau khi các quy định mới đã có hiệu lực vào giữa tháng 12.

Bài học rút ra từ các cuộc tấn công ransomware

09:00 | 03/05/2024

Ransomware tiếp tục tấn công các tổ chức ở mọi lĩnh vực và các cuộc tấn công thường xuyên gây chú ý trên các phương tiện truyền thông vì tác động mạnh mẽ của chúng đối với các bên bị ảnh hưởng. Ví dụ cuộc tấn công ransomware được ghi nhận từ năm 1989 và nó đã trở thành hình thức tấn công mạng sinh lợi nhất trong thập kỷ vừa qua.

Phòng chống Ransomware hoàn hảo hơn với công nghệ học sâu đầu tiên trên thế giới

12:00 | 18/05/2022

Trong bối cảnh hiện nay, các cuộc tấn công mạng ngày càng trở nên tinh vi, phức tạp với nhiều chiến thuật, kỹ thuật nâng cao, các mã độc mới chưa có mẫu nhận diện. Hầu hết các nền tảng và giải pháp bảo mật nâng cao thường đang tập trung vào phát hiện (Detection), điều tra (Investigate) và xử lý, khắc phục (response) các sự cố an toàn thông tin đã xảy ra. Đây là phương pháp tiếp cận tốt, tuy nhiên vẫn còn thiếu sót trong chiến lược bảo mật hệ thống, đặc biệt là bảo vệ hệ thống trước một trong những mối đe dọa an ninh nâng cao như mã độc tống tiền mới.

Tin cùng chuyên mục

Vụ Công ty chứng khoán VNDIRECT bị tấn công, có thể là do mã độc tống tiền

16:00 | 26/03/2024

Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.

AnyDesk bị tấn công mạng

11:00 | 07/02/2024

Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.

Tin tặc Trung Quốc phân phối mã độc NSPX30 thông qua các bản cập nhật phần mềm

09:00 | 05/02/2024

Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.

Phân tích chiến dịch gián điệp mạng Sea Turtle của tin tặc Thổ Nhĩ Kỳ

13:00 | 23/01/2024

Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).