FBI cảnh báo về mã độc tống tiền BlackCat đã xâm phạm hơn 60 tổ chức trên toàn thế giới

07:00 | 12/05/2022 | HACKER / MALWARE

Cục Điều tra Liên bang Hoa Kỳ (FBI) đã phát đi cảnh báo về mã độc tống tiền BlackCat (còn được gọi là ALPHV và Noberus), xuất hiện từ tháng 11/2021 và tính đến tháng 3/2022 đã xâm phạm ít nhất 60 tổ chức trên toàn thế giới.

FBI cảnh báo về mã độc tống tiền BlackCat đã xâm phạm hơn 60 tổ chức trên toàn thế giới

BlackCat còn được gọi là ALPHV và Noberus, là phần mềm độc hại đầu tiên được viết bằng ngôn ngữ lập trình Rust với độ an toàn về bộ nhớ và cải thiện hiệu suất.

FBI cho biết: "Nhiều nhà phát triển và tội phạm rửa tiền cho BlackCat/ALPHV có liên kết với DarkSide/BlackMatter. Điều này cho thấy chúng có mạng lưới rộng lớn và kinh nghiệm với các hoạt động mã độc tống tiền".

Tiết lộ được đưa ra vài tuần sau khi Cisco Talos và Kasperksy báo cáo phát hiện những liên kết giữa các họ mã độc tống tiền BlackCat và BlackMatter, trong đó có cả việc sử dụng phiên bản sửa đổi của công cụ lọc dữ liệu có tên là Fendr mà trước đây chỉ được quan sát thấy trong hoạt động liên quan đến BlackMatter.

Theo AT&T Alien Labs: "Bên cạnh những lợi thế đang phát triển mà ngôn ngữ lập trình Rust mang lại, những kẻ tấn công còn lợi dụng khả năng phát hiện thấp hơn từ các công cụ phân tích tĩnh, vốn thường không thích ứng với tất cả các ngôn ngữ lập trình".

Giống như các nhóm RaaS khác, phương thức hoạt động của BlackCat liên quan đến việc đánh cắp dữ liệu của nạn nhân trước khi thực thi mã hóa tống tiền. Phần mềm độc hại này thường tận dụng thông tin đăng nhập của người dùng bị xâm phạm để chiếm quyền truy cập ban đầu vào hệ thống mục tiêu.

Nhà nghiên cứu Vedere Labs của Forescout đã phân tích một sự cố ransomware BlackCat và thấy rằng tường lửa SonicWall tiếp xúc với Internet đã bị xâm nhập để chiếm quyền truy cập ban đầu vào mạng. Sau đó, chúng sẽ mã hóa công cụ giám sát máy ảo VMware ESXi. Việc triển khai mã độc tống tiền được cho là đã diễn ra từ ngày 17/3/2022.

Cơ quan thực thi pháp luật khuyến nghị các nạn nhân báo cáo kịp thời các sự cố mã độc tống tiền, đồng thời khuyến cáo họ không nên trả tiền chuộc vì không có gì đảm bảo rằng điều này sẽ giúp họ khôi phục lại được các tệp đã được mã hóa. Tuy nhiên, các nạn nhân có thể buộc phải tuân theo những yêu cầu đó để bảo vệ cổ đông, nhân viên và khách hàng của họ.

FBI đang kêu gọi các tổ chức kiểm tra lại trình điều khiển tên miền, máy chủ, máy trạm và thư mục hoạt động cho các tài khoản người dùng mới hoặc chưa xác thực, thực hiện sao lưu ngoại tuyến, phân đoạn mạng, áp dụng cập nhật phần mềm và bảo mật tài khoản bằng xác thực đa yếu tố.

Nguyễn Chân

‹ › ×

Tin liên quan

FBI đưa ra 5 khuyến nghị về an ninh mạng cho thiết bị y tế

08:00 | 12/10/2022

Các thiết bị y tế thường được sản xuất để sử dụng trong nhiều bệnh viện, cơ sở khám chữa bệnh, nhưng hiện nay tình trạng phần mềm của nhiều thiết bị y tế đã lỗi thời vì không được nhà sản xuất hỗ trợ các bản vá bảo mật, khiến chúng dễ bị tấn công mạng. Đặc biệt trong bối cảnh hiện nay, tin tặc ngày càng đa dạng hóa các hình thức tấn công như khai thác các lỗ hổng bảo mật không được cập nhật thường xuyên, tấn công bằng mã độc tống tiền, tấn công giả mạo,... Điều này dẫn tới việc các thiết bị y tế, chăm sóc sức khỏe có nguy cơ cao bị tấn công, đe dọa trực tiếp tới những người bệnh.

Các ứng dụng của Google Play chứa phần mềm độc hại Facestealer

09:00 | 19/05/2022

Các nhà nghiên cứu vừa phát hiện ra các phần mềm độc hại được thiết kế để đánh cắp thông tin đăng nhập tài khoản Facebook của người dùng trên nền tảng Android. Hiện tại những phần mềm này vẫn tồn tại trên các ứng dụng của Google Play.

Câu chuyện của năm 2021: Ransomware

19:00 | 27/01/2022

Trong năm 2021, từ “ransomware” (mã độc tống tiền) đã xuất hiện tại vô số các trang báo trên thế giới: từ Wall Street Journal, BBC, tới tờ New York Times. Thuật ngữ này không còn bị giới hạn sử dụng bởi các CISO hay các chuyên gia bảo mật, nó đã trở nên quen thuộc với cả các chính trị gia, giám đốc bệnh viện và quản lý trường học. Những từ ngữ như “Babuk” và “Revil” trở nên phổ biến trong cuộc sống thường nhật. Mối đe dọa này không loại trừ một ai, bất kể người làm việc trong lĩnh vực bảo mật hay công nghệ hay không và nó đang có tác động trực tiếp tới cuộc sống của nhiều người.

Hạn chế rủi ro từ các phần mềm ransomware đối với các hệ thống công nghệ thông tin của chính phủ

12:00 | 29/05/2021

Tội phạm phạm thường thực hiện các cuộc tấn công mạng theo chiến lược ngắn gọn và có khả năng áp dụng được với nhiều ngành nghề. Hệ thống công nghệ thông tin của chính phủ đã được chứng minh là đặc biệt quan trọng khi phải đối mặt với một cuộc tấn công mạng. Hệ thống này cần phải có thêm trách nhiệm duy trì cơ sở hạ tầng ngay cả khi cơ sở hạ tầng đó bị xâm phạm. Khi kẻ tấn công vẫn tiếp tục tìm cách gây rối thông qua các cuộc tấn công và tận dụng bất kỳ dữ liệu nào có thể giữ làm con tin, thì tống tiền dữ liệu vẫn là phương thức tốt nhất để chúng đạt điều đó.

FBI vô hiệu hóa mã độc của nhóm tin tặc nổi tiếng ở Nga

14:00 | 19/05/2023

Sau nhiều năm theo dõi đến trung tuần tháng 5 vừa qua, các đặc vụ của FBI (Mỹ) đã phát triển thành công ứng dụng Perseus nhằm vô hiệu hóa phần mềm độc hại tàng hình được một nhóm tin tặc nổi tiếng của Nga cài đặt trên hàng trăm máy tính trên khắp thế giới.

Gia tăng mã độc tấn công ứng dụng ngân hàng tại Việt Nam

17:00 | 20/06/2022

Số vụ tấn công vào ứng dụng ngân hàng tại Việt Nam gần đây gia tăng đáng kể. Một báo cáo của Kaspersky cho thấy số lượng mã độc được các phần mềm của hãng này ngăn chặn đã gia tăng tại Việt Nam trong năm 2021.

Luna và Black Basta: Mã độc tống tiền mới trên các hệ thống Windows, Linux và ESXi

18:00 | 16/08/2022

Hiện nay, các chiến dịch tấn công sử dụng mã độc tống tiền không chỉ nhắm mục tiêu vào hệ điều hành Windows, mà còn cả trên Linux và hệ thống ảo hóa ESXi. Các nhà nghiên cứu bảo mật của Kaspersky cho biết về sự xuất hiện gần đây của hai dòng mã độc tống tiền có khả năng mã hóa các hệ thống trên là Luna và Black Basta.

Phần mềm độc hại Process Manager nghe lén người dùng

10:00 | 08/04/2022

Các nhà nghiên cứu tại Lab52 (Italy) đã phát hiện phần mềm độc hại Process Manager có khả năng ghi lại âm thanh, theo dõi vị trí của người dùng. Ứng dụng độc hại này ẩn giấu bên trong một số ứng dụng trên Google Play.

Tin cùng chuyên mục

Tin tặc Trung Quốc khai thác bộ định tuyến TP-Link để duy trì tấn công liên tục

07:00 | 22/05/2023

Một nhóm tin tặc Trung Quốc có tên “Mustang Panda” được cho là liên quan đến các cuộc tấn công tinh vi và có mục tiêu nhằm vào các cơ quan đối ngoại của châu Âu kể từ tháng 1/2023. Theo các nhà nghiên cứu an ninh mạng phân tích về những vụ xâm nhập đã cho thấy đã có một bộ cấy phần sụn tùy chỉnh được thiết kế rõ ràng để khai thác bộ định tuyến TP-Link nhằm mục đích duy trì tấn công một cách liên tục.

Các cuộc tấn công ransomware đã tăng 91% trong tháng 3/2023 từ khi các lỗ hổng mới bị phát hiện

13:00 | 09/05/2023

Theo báo cáo an ninh mạng hàng tháng mới của NCC Group thì các cuộc tấn công ransomware đã tăng vọt vào tháng 3/2023. Nhóm mối đe dọa mới có tên là CLOp đứng đằng sau sự gia tăng khi chúng khai thác các lỗ hổng trong trình quản lý truyền tệp GoAnywhere.

Giám sát, bảo đảm an toàn thông tin cho hệ thống mạng CNTT Bộ Ngoại giao

18:00 | 05/05/2023

Chiều ngày 05/5/2023, tại Hà Nội, Cục Cơ yếu - Công nghệ thông tin, Bộ Ngoại giao và Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ đã ký thỏa thuận phối hợp trong lĩnh vực giám sát, bảo đảm an toàn thông tin cho hệ thống mạng công nghệ thông tin của Bộ Ngoại giao giai đoạn 2023 - 2025.

AuKill - Phần mềm độc hại mới có thể vô hiệu hóa cả chương trình chống virus để tấn công máy tính cá nhân

09:00 | 04/05/2023

Mới đây, các nhà nghiên cứu bảo mật đã phát cảnh báo về việc tin tặc đang sử dụng một công cụ mới có tên AuKill để vô hiệu hóa các chương trình bảo vệ hệ thống, sau đó chúng sẽ triển khai những thứ độc hại để tấn công máy tính cá nhân người dùng.