ĐÀO TẠO AN TOÀN THÔNG TIN THEO CHUẨN QUỐC TẾ TRỰC TUYẾN

Sau khi Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) phát hành bộ giải mã giúp các nạn nhân bị ảnh hưởng phục hồi sau các cuộc tấn công bằng mã độc tống tiền ESXiArgs , các tác nhân đe dọa đã quay trở lại bằng một phiên bản cập nhật mã hóa nhiều dữ liệu hơn.

Sự xuất hiện của biến thể mới đã được báo cáo bởi quản trị viên hệ thống trên một diễn đàn trực tuyến, nơi một người tham gia khác tuyên bố rằng các tệp lớn hơn 128MB sẽ có 50% dữ liệu được mã hóa, khiến quá trình khôi phục trở nên khó khăn hơn.

Một thay đổi đáng chú ý khác là việc xóa địa chỉ Bitcoin khỏi ghi chú đòi tiền chuộc, với những kẻ tấn công hiện đang thúc giục nạn nhân liên hệ với chúng trên Tox để lấy thông tin ví.

Censys cho biết  “Các tác nhân đe dọa đã nhận ra rằng các nhà nghiên cứu đang theo dõi các khoản thanh toán của họ và thậm chí họ có thể đã biết trước khi phát hành ransomware rằng quy trình mã hóa trong biến thể ban đầu tương đối dễ bị phá vỡ”.

Số liệu thống kê được chia sẻ bởi nền tảng cộng đồng Ransomwhere tiết lộ rằng có tới 1.252 máy chủ đã bị lây nhiễm bởi phiên bản mới của ESXiArgs kể từ ngày 9 tháng 2 năm 2023, trong đó có 1.168 máy chủ bị tái lây nhiễm.

Kể từ khi bắt đầu bùng phát ransomware vào đầu tháng 2, hơn 3.800 máy chủ duy nhất đã bị xâm phạm. Phần lớn các ca nhiễm nằm ở Pháp, Mỹ, Đức, Canada, Anh, Hà Lan, Phần Lan, Thổ Nhĩ Kỳ, Ba Lan và Đài Loan.

ESXiArgs, giống như Cheerscrypt và PrideLocker , dựa trên bộ khóa Babuk, đã bị rò rỉ mã nguồn vào tháng 9 năm 2021 . Nhưng một khía cạnh quan trọng giúp phân biệt nó với các dòng ransomware khác là không có trang web rò rỉ dữ liệu, cho thấy rằng nó không chạy trên mô hình ransomware-as-a-service ( RaaS ).

Công ty an ninh mạng Intel471 cho biết : “Số tiền chuộc được ấn định hơn hai bitcoin (47.000 đô la Mỹ) và nạn nhân có ba ngày để thanh toán” .

Mặc dù ban đầu người ta nghi ngờ rằng các vụ xâm nhập liên quan đến việc lạm dụng lỗi OpenSLP đã tồn tại hai năm, hiện đã được vá trong VMware ESXi (CVE-2021-21974), các thỏa hiệp đã được báo cáo trong các thiết bị đã tắt giao thức khám phá mạng.

Kể từ đó, VMware cho biết họ không tìm thấy bằng chứng nào cho thấy lỗ hổng zero-day trong phần mềm của họ đang được sử dụng để truyền bá mã độc tống tiền.

Điều này cho thấy rằng các tác nhân đe dọa đằng sau hoạt động này có thể đang tận dụng một số lỗ hổng đã biết trong ESXi để làm lợi thế cho chúng, khiến người dùng bắt buộc phải nhanh chóng cập nhật lên phiên bản mới nhất. Các cuộc tấn công vẫn chưa được quy cho một tác nhân hoặc nhóm đe dọa đã biết.

“Dựa trên ghi chú đòi tiền chuộc, chiến dịch được liên kết với một tác nhân hoặc nhóm đe dọa duy nhất”, Arctic Wolf chỉ ra . “Các nhóm ransomware được thành lập nhiều hơn thường tiến hành OSINT trên các nạn nhân tiềm năng trước khi tiến hành xâm nhập và đặt khoản thanh toán tiền chuộc dựa trên giá trị cảm nhận được.”

Công ty an ninh mạng Rapid7 cho biết họ đã tìm thấy 18.581 máy chủ ESXi kết nối Internet dễ bị tấn công CVE-2021-21974, đồng thời cho biết thêm rằng các tác nhân RansomExx2 đã nhắm mục tiêu một cách có cơ hội vào các máy chủ ESXi dễ bị tấn công.

Tony Lauro, giám đốc chiến lược và công nghệ bảo mật tại Akamai, cho biết: “Mặc dù tác động của vụ vi phạm cụ thể này có vẻ thấp, nhưng những kẻ tấn công mạng vẫn tiếp tục gây tai họa cho các tổ chức bằng hàng ngàn vết cắt”.

“Phần mềm tống tiền ESXiArgs là một ví dụ điển hình về lý do tại sao các quản trị viên hệ thống cần nhanh chóng thực hiện các bản vá sau khi chúng được phát hành, cũng như khoảng thời gian mà những kẻ tấn công sẽ trải qua để thực hiện thành công các cuộc tấn công của chúng. Tuy nhiên, bản vá chỉ là một tuyến phòng thủ đối với dựa vào.”

Theo THN / Biên tập AT3 EDU VN (Security365)