Home Công nghệ số Bảo mật Tấn công zero-day, ransomeware tràn ngập trong quý 2/2017

Tấn công zero-day, ransomeware tràn ngập trong quý 2/2017

SHARE
ransomware

Từ những cuộc khai thác lỗ hổng zero-day tới ransomware tràn lan, tấn công mục tiêu, đòi tiền chuộc… đã phát triển mạnh mẽ trong thời gian qua. Trong quý 2/2017, Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky đã thực hiện 23 báo cáo phân tích để cảnh báo người dùng.

Trong quý 2 năm nay, các mối đe dọa tinh vi đã sử dụng rất nhiều công cụ độc hại mới và nâng cao, bao gồm: ba lỗ hổng zero-day và hai cuộc tấn công chưa từng có WannaCry và ExPetr. Ba lỗ hổng zero-day của Windows đã bị nhóm hacker nói tiếng Nga Sofacy và Turla sử dụng. Sofacy, còn được gọi là APT28 hoặc FancyBear, đã triển khai các cuộc tấn công chống lại một loạt các mục tiêu ở châu Âu, bao gồm các tổ chức chính phủ và chính trị. Các mối đe dọa cũng bị phát hiện thử nghiệm một số công cụ, đáng chú ý nhất là vụ chống lại một đảng viên Pháp trước cuộc bầu cử quốc gia.

Liên quan đến gia đình tội phạm Grey Lambert, đã phân tích bộ công cụ tiên tiến nhất cho nhóm Lamberts, một gia đình tội phạm mạng nói tiếng Anh rất tinh vi và phức tạp. Hai gia đình độc hại mới có liên quan được xác định.

Ngoài ra, cuộc tấn công WannaCry vào ngày 12 tháng 5 và cuộc tấn công của ExPetr vào ngày 27 tháng 6 đã gây hậu quả nghiêm trọng cho các doanh nghiệp trên toàn thế giới. Mặc dù bản chất và mục tiêu rất khác nhau, cả hai đều không có hiệu quả đáng ngạc nhiên như thiệt hại thông thường của ransomware. Trường hợp của WannaCry, sự lây lan toàn cầu nhanh chóng và nguy hiểm của nó đã gây chú ý đến tài khoản Bitcoin của kẻ tấn công, khiến chúng khó rút tiền. Điều này cho thấy mục đích thực sự của cuộc tấn công WannaCry là phá hủy dữ liệu. Các chuyên gia của Kaspersky Lab cũng đã khám phá thêm mối quan hệ giữa nhóm Lazarus và WannaCry. Hình mẫu của mã độc phá hoại cải trang thành ransomware đã xuất hiện một lần nữa trong cuộc tấn công ExPetr. ExPert, nhắm mục tiêu các tổ chức ở Ukraine, Nga và các nơi khác ở châu Âu cũng xuất hiện giống như là ransomware nhưng thật ra lại hoàn toàn là mã độc phá hoại. Động cơ đằng sau các cuộc tấn công của ExPert vẫn còn là một bí ẩn. Các chuyên gia của Kaspersky Lab đã thiết lập một liên kết (không chắc chắn) với mối đe dọa được biết đến là Black Energy. Phân tích của các chuyên gia về hai trường hợp cuối cho thấy các mã đã được phát tán trước khi trở nên sẵn sàng và đầy đủ, đây là một tình huống bất thường đối với những kẻ tấn công có nguồn lực tốt. Xuất hiện backdoor ShadowPad lấy cắp dữ liệu khách hàng

Ông Juan Andres Guerrero-Saade, chuyên gia nghiên cứu bảo mật cao cấp, Nhóm nghiên cứu và phân tích toàn cầu, Kaspersky Lab, chia sẻ: “Từ lâu chúng tôi đã duy trì tầm quan trọng của thông tin tình báo về các mối đe dọa toàn cầu để hỗ trợ việc bảo vệ cho các mạng nhạy cảm và quan trọng. Chúng tôi tiếp tục chứng kiến sự phát triển của những kẻ tấn công hăng hái, không hề quan tâm đến sự lành mạnh của Internet. Khi tình báo mạng, phá hoại và tội phạm phát triển tràn lan, việc quan trọng nhất là tất cả những công ty bảo mật cần phải làm việc cùng nhau và chia sẻ kiến thức tiên tiến để bảo vệ tốt hơn chống lại tất cả các mối đe dọa.”

Vào trung tuần tháng 7, các chuyên gia Kaspersky Lab đã phát hiện ra một backdoor được cài vào một sản phẩm phần mềm quản lý được sử dụng bởi hàng trăm doanh nghiệp lớn trên thế giới. Khi kích hoạt, backdoor cho phép kẻ tấn công tải về các mô đun độc hại hơn hoặc lấy cắp dữ liệu. Các phân tích sâu hơn của Kaspersky Lab cho thấy rằng các yêu cầu đáng ngờ thực sự là kết quả hoạt động của một mô-đun độc hại ẩn bên trong phần mềm hợp pháp. Sau khi cài đặt bản cập nhật phần mềm bị lây nhiễm, mô-đun độc hại sẽ bắt đầu gửi truy vấn DNS tới các tên miền cụ thể (máy chủ lệnh và điều khiển) với tần suất 8 giờ một lần. Yêu cầu sẽ chứa thông tin cơ bản về hệ thống nạn nhân (tên người dùng, tên miền, tên máy chủ lưu trữ). Nếu kẻ tấn công xem hệ thống này là “thú vị”, máy chủ lệnh sẽ trả lời và kích hoạt một nền tảng backdoor đầy đủ chính thức mà sẽ âm thầm triển khai bên trong máy tính bị tấn công. Sau đó, theo lệnh từ những kẻ tấn công, nền tảng backdoor sẽ có thể tải về và thực thi hại hơn.

Khi phân tích các kỹ thuật và quá trình của công cụ được sử dụng bởi những kẻ tấn công, các nhà nghiên cứu của Kaspersky Lab đã đi đến kết luận rằng một số điểm tương đồng đã cho thấy các biến thể của phần mềm độc hại PlugX được sử dụng bởi Winnti APT, một nhóm tội phạm mạng nói tiếng Hoa. Tuy nhiên, thông tin này chưa đủ để kết nối chính xác đến các đối tượng này.

Kaspersky Lab khuyên người dùng phải cập nhật ngay phiên bản mới nhất của phần mềm NetSarang, từ đó mô-đun độc hại sẽ được gỡ bỏ và kiểm tra các hệ thống của họ để biết dấu hiệu truy vấn DNS tới các tên miền không bình thường. Một danh sách các tên miền máy chủ lệnh được sử dụng bởi mô-đun độc hại có thể được tìm thấy trong Securelist blogpost, cũng bao gồm các thông tin kỹ thuật về backdoor.