Mã độc này có tên gọi là “WhisperGate”, được thiết kế ngụy trang trông có vẻ tương tự như ransomware, nhưng thiếu cơ chế khôi phục dữ liệu, nhằm mục đích phá hoại và khiến các hệ thống mục tiêu bị tê liệt và không thể hoạt động được.
Viktor Zhora, một quan chức cấp cao của cơ quan an ninh mạng Ukraine (SSSCIP) chia sẻ rằng, qua rà soát các quản trị viên phát hiện nhiều máy tính bị khóa và hiển thị thông báo yêu cầu 10.000 USD Bitcoin, tuy nhiên ổ cứng đã bị hỏng và không thể phục hồi khi khởi động lại chúng. Cùng với đó, đang cố gắng xem liệu điều này có liên quan đến một cuộc tấn công lớn hơn hay không.
Thông báo trả tiền chuộc của mã độc WhisperGate
Hiện tại, Microsoft đã xác định được mã độc WhisperGate trên hàng chục hệ thống bị ảnh hưởng và cảnh báo con số đó dự kiến có thể tiếp tục tăng lên. Các hệ thống này trải dài trên nhiều cơ quan của chính phủ, các tổ chức phi lợi nhuận và công nghệ thông tin, tất cả đều có trụ sở tại Ukraine.
Trước đó, vào ngày 13/1/2022, Microsoft đã phát hiện ra loại mã độc này và cho rằng, cuộc tấn công được bắt nguồn từ một nhóm tin tặc mới nổi được gán mã theo dõi là “DEV-0586”.
Theo Microsoft Threat Intelligence Center (MSTIC) và Microsoft Digital Security Unit (DSU) cảnh báo rằng, chuỗi tấn công mã độc là một quá trình bao gồm hai giai đoạn:
Ghi đè Master Boot Record (MBR): mã độc sẽ ghi đè lên bản ghi khởi động chính của máy tính hoặc MBR, thông tin trên ổ cứng cho máy tính biết cách tải hệ điều hành của nó, để hiển thị thông báo giả đòi tiền chuộc, mục tiêu là phải trả số tiền 10.000 USD vào ví bitcoin.
Một tệp thực thi giai đoạn hai sẽ truy xuất mã độc để làm hỏng tệp được lưu trữ, sau đó ghi đè nội dung của chúng bằng một số byte 0xCC cố định và đổi tên mỗi tệp bằng 4byte ngẫu nhiên.
Theo Microsoft: “Phương thức này không phù hợp với hoạt động thông thường của ransomware, vì số tiền thanh toán được hiển thị rõ ràng và địa chỉ ví tiền điện tử hiếm khi được chỉ định trong các ghi chú đòi tiền chuộc, đồng thời ghi chú tiền chuộc trong trường hợp này không bao gồm ID tùy chỉnh.
Diễn biến này xảy ra khi nhiều trang web của chính phủ ở quốc gia Đông Âu này đã bị tấn công trước đó vào ngày 14/1, với thông báo cảnh báo rằng dữ liệu cá nhân của họ đã được tải công khai lên Internet. Cơ quan An ninh Ukraine (SSU) cho biết họ phát hiện các dấu hiệu tấn công có nhiều sự liên hệ đến các nhóm tin tặc liên quan đến cơ quan tình báo Nga.
Trong một diễn biến khác, Reuters đã đưa ra khả năng rằng các cuộc tấn công có thể là hoạt động của một nhóm gián điệp có liên quan đến tình báo Belarus được theo dõi là “UNC1151” và “Ghostwriter”.
Theo các nhà nghiên cứu: Với quy mô và mức độ nghiêm trọng của các cuộc tấn công được quan sát, MSTIC không thể đánh giá ý định mục đích cuối cùng, nhưng tin rằng những hành động này cho thấy sự rủi ro cao đối với bất kỳ cơ quan chính phủ, tổ chức phi lợi nhuận hoặc doanh nghiệp nào có hệ thống được đặt tại Ukraine.
Đinh Hồng Đạt (Theo The Hacker News)
17:00 | 28/01/2022
13:00 | 25/02/2022
09:00 | 28/12/2021
16:00 | 30/12/2021
13:00 | 28/02/2022
14:00 | 07/03/2022
14:00 | 04/03/2022
13:00 | 28/02/2022
14:00 | 08/12/2021
10:00 | 02/03/2022
09:00 | 08/07/2022
14:00 | 17/09/2024
Nhà nghiên cứu bảo mật Alon Leviev của SafeBreach Labs đã trình bày một cách tấn công vào kiến trúc Microsoft Windows Update biến các lỗ hổng đã được sửa thành lỗ hổng zero-day.
17:00 | 12/07/2024
Một hoạt động thực thi pháp luật có tên là MORPHEUS đã đánh sập gần 600 máy chủ được các nhóm tội phạm mạng sử dụng và một phần của cơ sở hạ tầng có liên quan đến Cobalt Strike.
14:00 | 02/07/2024
Các nhà nghiên cứu an ninh mạng đã đưa ra chi tiết về một lỗ hổng bảo mật hiện đã được vá ảnh hưởng đến nền tảng cơ sở hạ tầng trí tuệ nhân tạo (AI) nguồn mở Ollama có thể bị khai thác để thực thi mã từ xa (RCE).
09:00 | 26/06/2024
Việc xác thực 2 yếu tố bằng mã OTP được xem là biện pháp bảo mật an toàn. Tuy nhiên các tin tặc đã tìm ra kẽ hở để sử dụng phương pháp này tấn công lừa đảo.
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
09:00 | 08/10/2024