Mã độc này có tên gọi là “WhisperGate”, được thiết kế ngụy trang trông có vẻ tương tự như ransomware, nhưng thiếu cơ chế khôi phục dữ liệu, nhằm mục đích phá hoại và khiến các hệ thống mục tiêu bị tê liệt và không thể hoạt động được.
Viktor Zhora, một quan chức cấp cao của cơ quan an ninh mạng Ukraine (SSSCIP) chia sẻ rằng, qua rà soát các quản trị viên phát hiện nhiều máy tính bị khóa và hiển thị thông báo yêu cầu 10.000 USD Bitcoin, tuy nhiên ổ cứng đã bị hỏng và không thể phục hồi khi khởi động lại chúng. Cùng với đó, đang cố gắng xem liệu điều này có liên quan đến một cuộc tấn công lớn hơn hay không.
Thông báo trả tiền chuộc của mã độc WhisperGate
Hiện tại, Microsoft đã xác định được mã độc WhisperGate trên hàng chục hệ thống bị ảnh hưởng và cảnh báo con số đó dự kiến có thể tiếp tục tăng lên. Các hệ thống này trải dài trên nhiều cơ quan của chính phủ, các tổ chức phi lợi nhuận và công nghệ thông tin, tất cả đều có trụ sở tại Ukraine.
Trước đó, vào ngày 13/1/2022, Microsoft đã phát hiện ra loại mã độc này và cho rằng, cuộc tấn công được bắt nguồn từ một nhóm tin tặc mới nổi được gán mã theo dõi là “DEV-0586”.
Theo Microsoft Threat Intelligence Center (MSTIC) và Microsoft Digital Security Unit (DSU) cảnh báo rằng, chuỗi tấn công mã độc là một quá trình bao gồm hai giai đoạn:
Ghi đè Master Boot Record (MBR): mã độc sẽ ghi đè lên bản ghi khởi động chính của máy tính hoặc MBR, thông tin trên ổ cứng cho máy tính biết cách tải hệ điều hành của nó, để hiển thị thông báo giả đòi tiền chuộc, mục tiêu là phải trả số tiền 10.000 USD vào ví bitcoin.
Một tệp thực thi giai đoạn hai sẽ truy xuất mã độc để làm hỏng tệp được lưu trữ, sau đó ghi đè nội dung của chúng bằng một số byte 0xCC cố định và đổi tên mỗi tệp bằng 4byte ngẫu nhiên.
Theo Microsoft: “Phương thức này không phù hợp với hoạt động thông thường của ransomware, vì số tiền thanh toán được hiển thị rõ ràng và địa chỉ ví tiền điện tử hiếm khi được chỉ định trong các ghi chú đòi tiền chuộc, đồng thời ghi chú tiền chuộc trong trường hợp này không bao gồm ID tùy chỉnh.
Diễn biến này xảy ra khi nhiều trang web của chính phủ ở quốc gia Đông Âu này đã bị tấn công trước đó vào ngày 14/1, với thông báo cảnh báo rằng dữ liệu cá nhân của họ đã được tải công khai lên Internet. Cơ quan An ninh Ukraine (SSU) cho biết họ phát hiện các dấu hiệu tấn công có nhiều sự liên hệ đến các nhóm tin tặc liên quan đến cơ quan tình báo Nga.
Trong một diễn biến khác, Reuters đã đưa ra khả năng rằng các cuộc tấn công có thể là hoạt động của một nhóm gián điệp có liên quan đến tình báo Belarus được theo dõi là “UNC1151” và “Ghostwriter”.
Theo các nhà nghiên cứu: Với quy mô và mức độ nghiêm trọng của các cuộc tấn công được quan sát, MSTIC không thể đánh giá ý định mục đích cuối cùng, nhưng tin rằng những hành động này cho thấy sự rủi ro cao đối với bất kỳ cơ quan chính phủ, tổ chức phi lợi nhuận hoặc doanh nghiệp nào có hệ thống được đặt tại Ukraine.
Đinh Hồng Đạt (Theo The Hacker News)
17:00 | 28/01/2022
13:00 | 25/02/2022
09:00 | 28/12/2021
16:00 | 30/12/2021
13:00 | 28/02/2022
14:00 | 07/03/2022
14:00 | 04/03/2022
13:00 | 28/02/2022
14:00 | 08/12/2021
10:00 | 02/03/2022
09:00 | 08/07/2022
14:00 | 27/11/2024
Công ty an ninh mạng BlackBerry (Canada) cho biết, nhóm tin tặc APT41 của Trung Quốc đứng sau phần mềm độc hại LightSpy iOS đã mở rộng bộ công cụ của chúng bằng DeepData, một framework khai thác mô-đun trên Windows, được sử dụng để thu thập nhiều loại thông tin từ các thiết bị mục tiêu. Bài viết này sẽ tìm hiểu về các plugin DeepData dựa trên báo cáo của BlackBerry.
10:00 | 25/10/2024
Các cơ quan chính phủ tại Mỹ, Úc và Canada đưa ra cảnh báo các tác nhân đe dọa được nhà nước Iran bảo trợ sử dụng kỹ thuật tấn công Brute Force và nhiều phương thức khác để triển khai các chiến dịch tấn công mạng nhắm vào các tổ chức cơ sở hạ tầng quan trọng.
09:00 | 11/10/2024
Một chuỗi các lỗ hổng bảo mật mới đã được phát hiện trong hệ thống in CUPS (Common Unix Printing System) Linux, có thể cho phép các tin tặc thực hiện chèn lệnh từ xa trong một số điều kiện nhất định.
16:00 | 19/09/2024
Hệ thống định vị vệ tinh toàn cầu (Global Navigation Satellite System - GNSS) là hệ thống xác định vị trí dựa trên vị trí của các vệ tinh nhân tạo, do Bộ Quốc phòng Hoa Kỳ thiết kế, xây dựng, vận hành và quản lý. Hệ thống GNSS ban đầu được dùng trong mục đích quân sự nhưng sau những năm 1980, Chính phủ Hoa Kỳ cho phép sử dụng GNSS vào mục đích dân sự ở phạm vi toàn cầu. Chính vì việc mở rộng phạm vi sử dụng nên đã dẫn đến các nguy cơ mất an toàn thông tin (ATTT) cho các hệ thống này. Bài báo sau đây sẽ giới thiệu các kỹ thuật tấn công mạng vào các hệ thống định vị toàn cầu.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025