Hơn 5.000 lượt tấn công ở 22 quốc gia bởi chiến dịch Ransomware Revil

07:00 | 06/08/2021 | HACKER / MALWARE

Ngày 02/7/2021, băng nhóm Ransomware Revil đã gây ra một cuộc tấn công lớn nhắm vào các nhà cung cấp dịch vụ (Managed Service Providers - MSPs) và các khách hàng của họ trên toàn cầu. Điều này dẫn đến hàng nghìn công ty có thể trở thành nạn nhân tiềm năng của loại ransomware này.

Revil (hay còn gọi là Sodinokibi) là một trong các nhóm mã độc tống tiền dạng dịch vụ (Ransomware as a Service - RaaS), hoạt động tích cực kể từ lần đầu xuất hiện vào năm 2019. Trong cuộc tấn công mới này, Revil đã lây nhiễm vào một nhà cung cấp phần mềm quản lý công nghệ thông tin cho MSP, gây ảnh hưởng đến nhiều công ty trên toàn thế giới. Những kẻ tấn công đã triển khai một tệp tin độc hại qua tệp lệnh PowerShell, để thực thi lệnh từ xa qua phần mềm của nhà cung cấp MSP.

Tệp lệnh này đã vô hiệu hóa các tính năng bảo vệ cho thiết bị đầu cuối của Microsoft Defender và sau đó giải mã một tệp tin thực thi nguy hại, bao gồm một tệp hợp pháp khác của Microsoft - phiên bản cũ hơn của Microsoft Defender cùng một thư viện độc hại chứa ransomware Revil. Sử dụng kết hợp các thành phần này trong payload, những kẻ tấn công có thể khai thác kỹ thuật DLL Side-loading và tấn công nhiều tổ chức khác.

Hơn 5.000 lượt tấn công ở 22 quốc gia bởi chiến dịch Ransomware Revil

Bản đồ các vị trí mà ransomware Revil nỗ lực tấn công

Dựa trên dịch vụ Threat Intelligence, Kaspersky quan sát được hơn 5.000 lượt nỗ lực tấn công tại 22 quốc gia. Trong đó ảnh hưởng lớn nhất là Ý (45,2%), Mỹ (25,91%), Comlombia (14,83$), Đức (3,21%) và Mexia (2,21%).

Các băng nhóm ransomware và hệ thống bán hàng tiếp thị liên kết (Affiliate) của chúng tiếp tục phát triển sau các cuộc tấn công nổi tiếng nhắm vào Colonial Pipeline và JBS, cũng như nhiều tổ chức khác. Lần này Revil đã thực hiện một cuộc tấn công quy mô lớn nhắm vào các MSP và khiến lây nhiễm mở rộng đến hàng nghìn doanh nghiệp trên khắp thế giới. Một lần nữa tầm quan trọng của việc triển khai các biện pháp và giải pháp an ninh mạng phù hợp ở tất cả giai đoạn của các nhà cung cấp và đối tác trở thành vấn đề rất quan trọng.

Để giúp các tổ chức có thể bảo vệ khỏi các cuộc tấn công bởi ransomware tiên tiến, Kaspersky khuyến nghị:

- Sử dụng giải pháp bảo vệ thiết bị đầu cuối tin cậy với các tính năng ngăn chặn khai thác, phân tích hành vi và bộ engine khôi phục sẽ cho phép hoàn tác các hành vi nguy hại.

- Không cho phép các dịch vụ điều khiển máy tính từ xa (như Remote Desktop) hoạt động trong các vùng mạng công cộng, trừ khi thật sự cần thiết và luôn sử dụng mật khẩu mạnh.

- Nhanh chóng cài đặt các bản vá bảo mật trên tất cả thiết bị sử dụng để ngăn chặn ransomware khai thác các lỗ hổng.

- Tập trung vào chiến lược phòng thủ trong việc phát hiện xâm nhập, mở rộng tấn công và đánh cắp dữ liệu đưa lên Internet. Đặc biệt, cần chú ý đến lưu lượng mạng gửi đi (outgoing) để phát hiện các kết nối độc hại.

- Luôn sao chép dữ liệu định kỳ, đảm bảo có thể truy cập nhanh chóng khi cần thiết.

- Sử dụng dịch vụ Threat Intelligence uy tín để được cập nhật và nắm rõ các kỹ thuật, chiến thuật tấn công mới.

- Luôn đào tạo nhận thức an toàn thông tin cho nhân viên.

Trọng Huấn

‹ › ×

Tin liên quan

Nhóm tin tặc Revil tấn công nhà thầu vũ khí hạt nhân Sol Oriens của Mỹ

15:00 | 23/06/2021

Băng đảng ransomware REvil lại tiếp tục gây xôn xao dư luận khi vừa thực hiện cuộc tấn công vào nhà thầu vũ khí hạt nhân Sol Oriens của Mỹ và đánh cắp dữ liệu của họ.

Gia tăng tấn công bằng mã độc tống tiền vào các nhà sản xuất máy tính

16:00 | 16/08/2021

Đầu tháng 8/2021, Gigabyte trở thành cái tên mới nhất phải hứng chịu các cuộc tấn công bằng mã độc tống tiền.

Tấn công bằng mã độc tống tiền vào hệ thống thông tin y tế

10:00 | 14/09/2021

Năm 2020 đã chứng kiến các cuộc tấn công sử dụng mã độc ransomware liên tục diễn ra với quy mô và cách thức ngày càng phức tạp. Thông qua 3 hình thức chính để tấn công vào các hệ thống: lây nhiễm mã độc từ các máy tính sử dụng dịch vụ đăng nhập từ xa; tấn công thông qua hình thức “drive-by” và tấn công thông qua các Email lừa đảo. Hậu quả mà các cuộc tấn công này để lại đối với các tổ chức, doanh nghiệp bị tấn công là rất lớn, do những kẻ tấn công sau khi tiến hành cài đặt thành công ransomware trên máy tính sẽ mã hóa tất cả dữ liệu và đòi tiền chuộc.

Các cuộc tấn công mạng nguy hiểm lan mạnh toàn cầu

17:00 | 12/07/2021

Một trong những cuộc tấn công mạng bằng mã độc tống tiền lớn nhất trong lịch sử đã lan rộng toàn cầu vào ngày 2/7 buộc chuỗi siêu thị Thuỵ Điển Coop đóng tất cả 800 cửa hàng vì không thể vận hành các máy tính tiền.

5 điều quan trọng cần thực hiện khi bị tấn công ransomware

10:00 | 12/11/2021

Tin tặc đang ngày càng sử dụng ransomware như một công cụ hiệu quả để tấn công vào các tổ chức/doanh nghiệp (TC/DN) nhằm mục đích tống tiền và tài trợ cho các hoạt động độc hại khác. Theo báo cáo hoạt động về mã độc tống tiền do VirusTotal và Google phối hợp thực hiện được công bố vào tháng 10/2021 cho thấy, các cuộc tấn công ransomware tại Việt Nam đã tăng 200% so với thời điểm ban đầu. Thậm chí, trong năm 2021 ước tính cứ 11 giây trên thế giới lại xảy ra một cuộc tấn công ransomware. Tuy nhiên, nếu bị tấn công thì các TC/ DN phải làm gì? Dưới đây là 5 điều quan trọng cần làm để giảm thiểu thiệt hại khi bị tấn công ransomware.

Microsoft giới thiệu Chương trình Bảo mật cho Tổ chức phi lợi nhuận

07:00 | 06/12/2021

Gã khổng lồ công nghệ Microsoft đã giới thiệu chương trình bảo mật mới để đem đến cho các tổ chức phi lợi nhuận khả năng bảo mật bổ sung trong trường hợp xảy ra cuộc tấn công cấp quốc gia.

Mã độc tống tiền: mối nguy hiểm chưa có lời giải đáp

18:00 | 15/07/2021

Mất tiền chuộc, doanh thu, rò rỉ thông tin quan trọng, tổn hại đến thương hiệu và danh tiếng, phải sa thải nhân viên, thậm chí phải đóng cửa doanh nghiệp là một số hậu quả của tấn công mã độc tống tiền để lại cho các tổ chức/doanh nghiệp.

Tin cùng chuyên mục

Nhóm tin tặc RansomHub rò rỉ dữ liệu đánh cắp từ Change Healthcare

12:00 | 06/05/2024

Trên trang web của RansomHub, nhóm tin tặc tống tiền này đã công bố một số dữ liệu đã đánh cắp từ công ty con Change Healthcare của United Health. Đây là hành động nhằm mục đích yêu cầu công ty chăm sóc sức khỏe của Hoa Kỳ phải đáp ứng những điều khoản trong thỏa thuận tống tiền của tin tặc.

Phần mềm độc hại mới GTPDOOR đánh cắp thông tin thuê bao và dữ liệu cuộc gọi

08:00 | 21/03/2024

Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).

Tin tặc Triều Tiên triển khai phần mềm độc hại Konni RAT nhắm mục tiêu vào Chính phủ Nga

14:00 | 05/03/2024

Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).

Tin tặc lợi dụng khai thác MultiLogin của Google để chiếm quyền điều khiển phiên người dùng

10:00 | 31/01/2024

Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.