Cảnh giác với LockBit 3.0 - Ransomware nguy hiểm hàng đầu trên thế giới!

0
0

- Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) - Cục An toàn thông tin - Bộ TT&TT vừa công bố báo cáo phân tích về Ransomware LockBit 3.0.

Theo NCSC, băng nhóm ransomware LockBit là một trong những nhóm ransomware nguy hiểm hàng đầu trên thế giới. Kể từ khi xuất hiện lần đầu tiên vào năm 2019, LockBit đã tổ chức nhiều cuộc tấn công nhắm vào các tổ chức trên nhiều lĩnh vực khác nhau, LockBit hoạt động dưới dạng Ransomware-as-a-Service (RaaS), cho phép các tác nhân đe dọa triển khai ransomware và chia sẻ lợi nhuận với những kẻ đứng sau dịch vụ ransomware.

 

Các phiên bản LockBit

Ransomware LockBit lần đầu được biết đến với tên "ABCD" (được đặt theo tên phần mở rộng tệp bị mã hóa), và sau vài tháng biến thể của “ABCD” xuất hiện với cái tên như hiện tại "LockBit".

Một năm sau, nhóm này đã phát hành phiên bản nâng cấp của ransomware có tên "LockBit 2.0" (hoặc "LockBit Red"), bao gồm một phần mềm độc hại tích hợp khác có tên là "StealBit" với mục đích đánh cắp dữ liệu nhạy cảm. Phiên bản mới nhất hiện tại là "LockBit 3.0" (hay "LockBit Black"), xuất hiện vào năm 2022 với các tính năng mới và các kỹ thuật né tránh bảo mật nâng cao.

Vào tháng 9 năm 2022, mã nguồn của LockBit 3.0 đã bị rò rỉ bởi một đối tượng có bí danh "ali_qushji" trên nền tảng X (trước đây là Twitter). Vụ rò rỉ bao gồm một số tệp có thể được sử dụng để phát triển ransomware này.

Vụ rò rỉ cho phép các chuyên gia phân tích kỹ hơn về mẫu ransomware này và cũng từ đó các tác nhân đe dọa đã tạo ra một làn sóng các biến thể ransomware mới, dựa trên mã nguồn của LockBit 3.0.

Các cụm LockBit đang hoạt động

“TronBit”

TronBit thường kết nối đến mục tiêu thông qua TeamViewer. Thông tin kết nối thường được thu thập từ thông tin đăng nhập bị rò rỉ hoặc những thông tin có được thông qua việc triển khai mã độc đánh cắp thông tin.

Khi thực thi tệp .exe của LockBit 3.0, mã độc tắt Windows Defender, hình nền màn hình sẽ chuyển sang màn hình đen với một thông báo cho biết cuộc tấn công ransomware đã xảy ra và hướng dẫn người dùng xem thông báo tiền chuộc được lưu trong mỗi thư mục tại tệp ID.README.txt. Ngoài ra, một số biểu tượng tệp được thay thế bằng biểu tượng LockBit 3.0.

Thông báo đòi tiền chuộc
Thông báo đòi tiền chuộc

Các mẫu địa chỉ email sau đây đã từng xuất hiện trong thông báo đòi tiền chuộc:

- spiroshalkis[@]mail.com

- ericducke[@]mail.com

- contactbit8cca[@]proton.me

- tpichughinn[@]mail.com

- donahuerolland[@]proton.me

Nạn nhân của TronBit trải rộng trên nhiều lĩnh vực trên toàn cầu, tuy nhiên, trọng tâm của các cuộc tấn công này có xu hướng chủ yếu nhắm vào các doanh nghiệp SMB (doanh nghiệp vừa và nhỏ).

“CriptomanGizmo”

Một số tấn công LockBit 3.0 được thực hiện bởi một đối tượng có tên là "CriptomanGizmo". Các cuộc tấn công này đặc biệt nhắm vào các cá nhân hoặc tổ chức tương đối "nhỏ", thường là các máy tính cá nhân và doanh nghiệp nhỏ.

Ví dụ về thông báo đòi tiền chuộc trong cuộc tấn
công ransomware CriptomanGizmo
Ví dụ về thông báo đòi tiền chuộc trong cuộc tấn công ransomware CriptomanGizmo

CriptomanGizmo trước đây đã sử dụng nhiều chủng ransomware khác nhau, bao gồm cả STOP/DJVU. Điểm xâm nhập ban đầu được cho là thông qua các giao thức truy cập máy tính từ xa (RDP). Các thông tin RDP có thể bắt nguồn từ việc thông tin xác thực bị rò rỉ, mật khẩu yếu hoặc máy chủ RDP kết nối với Internet được cấu hình không an toàn cho phép những tác nhân độc hại kết nối từ xa.

“Tina Turner”

Đây là cụm ransomware thường tấn công và tiến hành in hàng loạt thông báo đòi tiền chuộc trên mọi mọi thiết bị in được kết nối trong mạng, bao gồm cả máy in hóa đơn và văn phòng. Ngoài việc thông báo đòi tiền chuộc được triển khai trên các thiết bị, Tina Turner còn gửi các thông tin đòi tiền chuộc qua email. Trong một số cuộc tấn công, các kẻ tấn công cũng dùng WhatsApp để trao đổi đàm phán các thông tin tiền chuộc với nạn nhân.

ví dụ về thông báo đòi tiền chuộc của hoạt động ransomware Tina Turner
ví dụ về thông báo đòi tiền chuộc của hoạt động ransomware Tina Turner

Dưới đây là các địa chỉ email được xác định trong một số cuộc tấn công (tên của cụm hoạt động cũng được đặt dựa trên chúng):

- tinanews[@]ro.ru

- tinanews[@]privatemail.co

Nạn nhân của hoạt động này trải rộng trên nhiều lĩnh vực khác nhau với trọng tâm là các doanh nghiệp vừa và nhỏ (SMB). Các cuộc tấn công đã được phát hiện trong lĩnh vực chăm sóc sức khỏe, nông nghiệp và thực phẩm. Tina Turner thường nhắm mục tiêu vào các lĩnh vực mà theo dự đoán sẽ mang lại lợi nhuận từ nhu cầu giải mã dữ liệu. g.

Trong các chiến dịch ransomware này, tác nhân đe dọa đã sử dụng rất nhiều các công cụ và kỹ thuật khác nhau để xâm nhập và leo thang vào hệ thống nhằm đạt được mục đích.

Phòng chống, giảm thiểu rủi ro từ tấn công Ransomware

Cuộc tấn công Ransomware hiện nay thường được bắt đầu từ một điểm yếu bảo mật của cơ quan, tổ chức, kẻ tấn công xâm nhập hệ thống, duy trì sự hiện diện, mở rộng phạm vi xâm nhập, và kiểm soát hạ tầng công nghệ thông tin của tổ chức, làm tê liệt hệ thống, nhằm bắt buộc các tổ chức nạn nhân thực hiện hành vi tống tiền mà kẻ tấn công hướng tới.

Được biết, Cục An toàn thông tin đã xây dựng Cẩm nang về một số biện pháp phòng chống, giảm thiểu rủi ro từ tấn công Ransomware cho các cơ quan, tổ chức, doanh nghiệp, hướng đến mục tiêu bảo đảm an toàn không gian mạng quốc gia.

PV


Ý kiến bạn đọc


Đến thăm bệnh viện số hoá ở Hà Nội

(VnMedia) - Bệnh nhân không phải xếp hàng chờ đợi lấy số thứ tự đăng ký khám bệnh, bác sĩ có thể nhanh chóng tra cứu thông tin bệnh án trên hệ thống, hồ sơ bệnh án được lưu trên môi trường số giúp người bệnh không cần phải mang theo giấy tờ khi tái khám là những tiện ích mà giải pháp bệnh án điện tử của Tập đoàn VNPT đang triển khai tại Bệnh viện Bưu Điện.

Phát tán mã độc chiếm đoạt tài khoản mạng xã hội của hàng chục ngàn người

(VnMedia) - Các đối tượng sử dụng các tài khoản mạng xã hội LinkedIn (đã thu thập sẵn) để đăng bài viết quảng cáo sản phẩm, tuyển dụng, kêu gọi đầu tư. Khi có người dùng Linkedin khác bình luận vào bài viết thì các đối tượng sẽ nhắn tin theo kịch bản có sẵn, gửi tập tin có chứa các đường dẫn tự động tải mã độc nhằm dẫn dụ người này bấm vào để xem nội dung...

Các trang web chống virus giả mạo phát tán phần mềm độc hại trên Android và Windows

(VnMedia) - Các nhà nghiên cứu bảo mật Trellix phát hiện ra rằng các tác nhân đe dọa đang sử dụng các trang web giả mạo giả dạng giải pháp chống vi-rút hợp pháp của Avast, Bitdefender và Malwarebytes để phát tán phần mềm độc hại có khả năng đánh cắp thông tin nhạy cảm từ thiết bị Android và Windows.

Giá vàng thế giới bật cao, vàng nhẫn tròn trơn giữ ở mức cao

(VnMedia) – Chốt phiên giao dịch rạng sáng nay (28/5), giá vàng giao ngay tại thị trường New York đã bật tăng hơn 17 USD/ounce. Trong khi đó, vàng nhẫn tròn trơn của Bảo Tín Minh Châu cũng tăng nhanh lên gần 77 triệu đồng/lượng khi chốt phiên làm việc cuối giờ chiều qua (27/5).

Xuất khẩu tới hầu hết các thị trường lớn tăng trưởng cao

(VnMedia) - Xuất khẩu sang hầu hết thị trường lớn tăng trưởng tốt, đặc biệt là các thị trường có ký kết FTA với Việt Nam như sang Asean tăng 10,5%; sang Nhật Bản tăng 3,3%, Hàn Quốc tăng 8,6%, EU tăng 15,1%, Australia tăng 22,6%.