.jpg)
Các nhà nghiên cứu bảo mật của công ty an ninh mạng SentinelLab (Mỹ) cho biết, mã độc tống tiền IceFire đã quay trở lại và tấn công vào một số tổ chức truyền thông, giải trí trên khắp thế giới trong khoảng thời gian gần đây, bắt đầu từ giữa tháng 2/2023. Trước đó, mã độc này được phát hiện lần đầu tiên vào tháng 3/2022.
Khi đã xâm nhập và giành được quyền truy cập mạng mục tiêu, các tin tặc triển khai biến thể mã độc mới để mã hóa trên máy tính Linux của nạn nhân. Sau khi được thực thi, IceFire sẽ thực thi hai payload riêng biệt để mã hóa các tệp, kết hợp thêm phần mở rộng “.ifire” vào tên tệp, sau đó tự xóa chính nó và tệp nhị phân để ẩn dấu vết.
Đáng chú ý, IceFire không mã hóa tất cả các tệp trên Linux. Một số đường dẫn nhất định không được mã hóa để các phần quan trọng của hệ điều hành vẫn hoạt động. Phương pháp này nhằm ngăn chặn việc tắt hoàn toàn hệ thống và có thể gây ra thiệt hại không thể khắc phục, thậm chí còn gây gián đoạn nghiêm trọng hơn.
Ghi chú đòi tiền chuộc của IceFire trên Linux
Nhắm mục tiêu khai thác IBM Aspera Faspex
Để có quyền truy cập vào các hệ thống mục tiêu và triển khai payload độc hại, các nhà phát triển của IceFire đã tiến hành khai thác lỗ hổng Pre-auth RCE trong phần mềm chia sẻ tệp IBM Aspera Faspex (CVE-2022-47986).
Mặc dù lỗ hổng nghiêm trọng này đã được IBM vá vào tháng 1/2023, tuy nhiên công ty bảo mật Assetnote đã công bố một bản báo cáo kỹ thuật có chứa mã khai thác vào đầu tháng 2/2023.
SentinelLabs cho biết: “So với Windows, Linux khó triển khai mã độc tống tiền hơn, đặc biệt là khi triển khai trên quy mô lớn. Hiện nay, các tin tặc đã chuyển sang khai thác các lỗ hổng ứng dụng, tương tự như cách mà nhà phát triển IceFire đã chứng minh bằng việc phân phối payload độc hại thông qua một lỗ hổng IBM Aspera”.
Phiên bản IceFire trên Linux là tệp nhị phân ELF 64 bit 2,18 MB được biên dịch bằng gcc cho kiến trúc AMD64. Các nhà nghiên cứu tại SentinelLab đã thử nghiệm trên các bản phân phối Ubuntu và Debian và chạy thành công trên các hai hệ thống thử nghiệm. Mã độc này nhắm mục tiêu cụ thể đến các máy chủ CentOS dựa vào lỗ hổng của phần mềm máy chủ tệp IBM Aspera Faspex.
IceFire từ chiến lược tấn công chủ yếu vào các máy tính Windows, giờ đây đã mở rộng mục tiêu đến các hệ thống Linux, phù hợp với các nhóm mã độc tống tiền khác cũng đã bắt đầu tấn công trên nền tảng Linux thời gian gần đây. Động thái này phù hợp với xu hướng khi các doanh nghiệp đang chuyển đổi sang máy ảo VMware ESXi chạy trên Linux, cung cấp khả năng quản lý thiết bị tốt hơn và xử lý tài nguyên hiệu quả hơn nhiều.
Các nhóm tin tặc tống tiền có thể sử dụng một lệnh duy nhất để mã hóa hàng loạt máy chủ Linux của nạn nhân sau khi phát tán sự lây nhiễm của chúng trên các máy chủ ESXi.
Mặc dù IceFire không nhắm mục tiêu cụ thể đến các máy ảo VMware ESXi, tuy nhiên bộ mã hóa Linux của nó cũng hoạt động hiệu quả, thể hiện qua các tệp mã hóa từ các nạn nhân đã được tải lên ID-Ransomware (trang web để giúp người dùng nhận biết máy tính có bị nhiễm mã độc tống tiền nào và hỗ trợ tìm ra phương án xử lý) để phân tích.
SentinelLabs cho biết: “Sự phát triển này của IceFire là một dự báo về sự hiện diện của các chủng mã độc tống tiền nhắm vào Linux sẽ tiếp tục được các nhóm tin tặc thực hiện cho đến năm 2023”. Hiện tại, IceFire được cho là đã ảnh hưởng đến các mục tiêu tại Thổ Nhĩ Kỳ, Iran, Pakistan và UAE.
Mã độc tống tiền không phải là phần mềm độc hại duy nhất nhắm mục tiêu vào hệ điều hành Linux. Vào tháng 12/2012, Trend Micro đã phát hiện các tin tặc sử dụng mã độc Chaos RAT nhằm cải thiện hiệu quả trong các chiến dịch tấn công khai thác tiền điện tử trên các hệ thống Linux.
Hồng Đạt
09:00 | 13/07/2023
10:00 | 05/07/2023
23:00 | 22/01/2023
11:00 | 29/03/2023
09:00 | 08/08/2023
15:00 | 19/01/2023
13:00 | 11/07/2023
14:00 | 17/10/2022
10:00 | 17/05/2024
14:00 | 18/07/2023
14:00 | 21/03/2025
Nhóm tin tặc UNC3886 được cho là có liên quan đến Trung Quốc đã tấn công các router MX đã hết vòng đời của Juniper Networks nhằm triển khai cửa hậu tuỳ chỉnh, cho thấy khả năng xâm nhập hạ tầng mạng nội bộ.
14:00 | 04/03/2025
Mới đây, một lỗ hổng có mã định danh CVE-2024-52577 có khả năng thực thi mã từ xa đã được phát hiện trong Apache Ignite, một cơ sở dữ liệu phân tán mã nguồn mở phổ biến dành cho điện toán hiệu năng cao.
14:00 | 28/02/2025
Một nhóm tin tặc của Triều Tiên đã bị phát hiện có liên quan đến chiến dịch tấn công mạng nhắm vào các lĩnh vực kinh doanh, chính phủ và tiền điện tử của Hàn Quốc.
16:00 | 22/01/2025
Trong tháng 12, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
