Revil (hay còn gọi là Sodinokibi) là một trong các nhóm mã độc tống tiền dạng dịch vụ (Ransomware as a Service - RaaS), hoạt động tích cực kể từ lần đầu xuất hiện vào năm 2019. Trong cuộc tấn công mới này, Revil đã lây nhiễm vào một nhà cung cấp phần mềm quản lý công nghệ thông tin cho MSP, gây ảnh hưởng đến nhiều công ty trên toàn thế giới. Những kẻ tấn công đã triển khai một tệp tin độc hại qua tệp lệnh PowerShell, để thực thi lệnh từ xa qua phần mềm của nhà cung cấp MSP.
Tệp lệnh này đã vô hiệu hóa các tính năng bảo vệ cho thiết bị đầu cuối của Microsoft Defender và sau đó giải mã một tệp tin thực thi nguy hại, bao gồm một tệp hợp pháp khác của Microsoft - phiên bản cũ hơn của Microsoft Defender cùng một thư viện độc hại chứa ransomware Revil. Sử dụng kết hợp các thành phần này trong payload, những kẻ tấn công có thể khai thác kỹ thuật DLL Side-loading và tấn công nhiều tổ chức khác.
Bản đồ các vị trí mà ransomware Revil nỗ lực tấn công
Dựa trên dịch vụ Threat Intelligence, Kaspersky quan sát được hơn 5.000 lượt nỗ lực tấn công tại 22 quốc gia. Trong đó ảnh hưởng lớn nhất là Ý (45,2%), Mỹ (25,91%), Comlombia (14,83$), Đức (3,21%) và Mexia (2,21%).
Các băng nhóm ransomware và hệ thống bán hàng tiếp thị liên kết (Affiliate) của chúng tiếp tục phát triển sau các cuộc tấn công nổi tiếng nhắm vào Colonial Pipeline và JBS, cũng như nhiều tổ chức khác. Lần này Revil đã thực hiện một cuộc tấn công quy mô lớn nhắm vào các MSP và khiến lây nhiễm mở rộng đến hàng nghìn doanh nghiệp trên khắp thế giới. Một lần nữa tầm quan trọng của việc triển khai các biện pháp và giải pháp an ninh mạng phù hợp ở tất cả giai đoạn của các nhà cung cấp và đối tác trở thành vấn đề rất quan trọng.
Để giúp các tổ chức có thể bảo vệ khỏi các cuộc tấn công bởi ransomware tiên tiến, Kaspersky khuyến nghị:
- Sử dụng giải pháp bảo vệ thiết bị đầu cuối tin cậy với các tính năng ngăn chặn khai thác, phân tích hành vi và bộ engine khôi phục sẽ cho phép hoàn tác các hành vi nguy hại.
- Không cho phép các dịch vụ điều khiển máy tính từ xa (như Remote Desktop) hoạt động trong các vùng mạng công cộng, trừ khi thật sự cần thiết và luôn sử dụng mật khẩu mạnh.
- Nhanh chóng cài đặt các bản vá bảo mật trên tất cả thiết bị sử dụng để ngăn chặn ransomware khai thác các lỗ hổng.
- Tập trung vào chiến lược phòng thủ trong việc phát hiện xâm nhập, mở rộng tấn công và đánh cắp dữ liệu đưa lên Internet. Đặc biệt, cần chú ý đến lưu lượng mạng gửi đi (outgoing) để phát hiện các kết nối độc hại.
- Luôn sao chép dữ liệu định kỳ, đảm bảo có thể truy cập nhanh chóng khi cần thiết.
- Sử dụng dịch vụ Threat Intelligence uy tín để được cập nhật và nắm rõ các kỹ thuật, chiến thuật tấn công mới.
- Luôn đào tạo nhận thức an toàn thông tin cho nhân viên.
Trọng Huấn
15:00 | 23/06/2021
16:00 | 16/08/2021
10:00 | 14/09/2021
17:00 | 12/07/2021
10:00 | 12/11/2021
07:00 | 06/12/2021
18:00 | 15/07/2021
12:00 | 06/05/2024
Trên trang web của RansomHub, nhóm tin tặc tống tiền này đã công bố một số dữ liệu đã đánh cắp từ công ty con Change Healthcare của United Health. Đây là hành động nhằm mục đích yêu cầu công ty chăm sóc sức khỏe của Hoa Kỳ phải đáp ứng những điều khoản trong thỏa thuận tống tiền của tin tặc.
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
Hơn 50% trong số 90.310 máy chủ được phát hiện đang triển khai dịch vụ Tinyproxy trên Internet dễ bị tấn công bởi một lỗ hổng bảo mật nghiêm trọng chưa được vá trong công cụ proxy HTTP/HTTPS.
09:00 | 21/05/2024