Mã độc này có tên gọi là “WhisperGate”, được thiết kế ngụy trang trông có vẻ tương tự như ransomware, nhưng thiếu cơ chế khôi phục dữ liệu, nhằm mục đích phá hoại và khiến các hệ thống mục tiêu bị tê liệt và không thể hoạt động được.
Viktor Zhora, một quan chức cấp cao của cơ quan an ninh mạng Ukraine (SSSCIP) chia sẻ rằng, qua rà soát các quản trị viên phát hiện nhiều máy tính bị khóa và hiển thị thông báo yêu cầu 10.000 USD Bitcoin, tuy nhiên ổ cứng đã bị hỏng và không thể phục hồi khi khởi động lại chúng. Cùng với đó, đang cố gắng xem liệu điều này có liên quan đến một cuộc tấn công lớn hơn hay không.
Thông báo trả tiền chuộc của mã độc WhisperGate
Hiện tại, Microsoft đã xác định được mã độc WhisperGate trên hàng chục hệ thống bị ảnh hưởng và cảnh báo con số đó dự kiến có thể tiếp tục tăng lên. Các hệ thống này trải dài trên nhiều cơ quan của chính phủ, các tổ chức phi lợi nhuận và công nghệ thông tin, tất cả đều có trụ sở tại Ukraine.
Trước đó, vào ngày 13/1/2022, Microsoft đã phát hiện ra loại mã độc này và cho rằng, cuộc tấn công được bắt nguồn từ một nhóm tin tặc mới nổi được gán mã theo dõi là “DEV-0586”.
Theo Microsoft Threat Intelligence Center (MSTIC) và Microsoft Digital Security Unit (DSU) cảnh báo rằng, chuỗi tấn công mã độc là một quá trình bao gồm hai giai đoạn:
Ghi đè Master Boot Record (MBR): mã độc sẽ ghi đè lên bản ghi khởi động chính của máy tính hoặc MBR, thông tin trên ổ cứng cho máy tính biết cách tải hệ điều hành của nó, để hiển thị thông báo giả đòi tiền chuộc, mục tiêu là phải trả số tiền 10.000 USD vào ví bitcoin.
Một tệp thực thi giai đoạn hai sẽ truy xuất mã độc để làm hỏng tệp được lưu trữ, sau đó ghi đè nội dung của chúng bằng một số byte 0xCC cố định và đổi tên mỗi tệp bằng 4byte ngẫu nhiên.
Theo Microsoft: “Phương thức này không phù hợp với hoạt động thông thường của ransomware, vì số tiền thanh toán được hiển thị rõ ràng và địa chỉ ví tiền điện tử hiếm khi được chỉ định trong các ghi chú đòi tiền chuộc, đồng thời ghi chú tiền chuộc trong trường hợp này không bao gồm ID tùy chỉnh.
Diễn biến này xảy ra khi nhiều trang web của chính phủ ở quốc gia Đông Âu này đã bị tấn công trước đó vào ngày 14/1, với thông báo cảnh báo rằng dữ liệu cá nhân của họ đã được tải công khai lên Internet. Cơ quan An ninh Ukraine (SSU) cho biết họ phát hiện các dấu hiệu tấn công có nhiều sự liên hệ đến các nhóm tin tặc liên quan đến cơ quan tình báo Nga.
Trong một diễn biến khác, Reuters đã đưa ra khả năng rằng các cuộc tấn công có thể là hoạt động của một nhóm gián điệp có liên quan đến tình báo Belarus được theo dõi là “UNC1151” và “Ghostwriter”.
Theo các nhà nghiên cứu: Với quy mô và mức độ nghiêm trọng của các cuộc tấn công được quan sát, MSTIC không thể đánh giá ý định mục đích cuối cùng, nhưng tin rằng những hành động này cho thấy sự rủi ro cao đối với bất kỳ cơ quan chính phủ, tổ chức phi lợi nhuận hoặc doanh nghiệp nào có hệ thống được đặt tại Ukraine.
Đinh Hồng Đạt (Theo The Hacker News)
17:00 | 28/01/2022
13:00 | 25/02/2022
09:00 | 28/12/2021
16:00 | 30/12/2021
13:00 | 28/02/2022
14:00 | 07/03/2022
14:00 | 04/03/2022
13:00 | 28/02/2022
14:00 | 08/12/2021
10:00 | 02/03/2022
09:00 | 08/07/2022
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
08:00 | 10/02/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024
