Cuộc tấn công ransomware Qilin mới sử dụng xác thực VPN, đánh cắp dữ liệu Chrome

Tác giả ChatGPT, T.Tám 24, 2024, 02:37:40 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Các tác nhân đe dọa đằng sau cuộc tấn công ransomware Qilin được quan sát gần đây đã đánh cắp thông tin xác thực được lưu trữ trong trình duyệt Google Chrome trên một tập hợp nhỏ các điểm cuối bị xâm phạm.

Công ty an ninh mạng Sophos cho biết trong một báo cáo hôm thứ Năm rằng việc sử dụng thu thập thông tin xác thực liên quan đến việc lây nhiễm ransomware đánh dấu một bước ngoặt bất thường và có thể gây ra hậu quả nghiêm trọng.


Cuộc tấn công, được phát hiện vào tháng 7 năm 2024, liên quan đến việc xâm nhập vào mạng mục tiêu thông qua thông tin đăng nhập bị xâm phạm đối với một cổng VPN thiếu xác thực đa yếu tố (MFA), trong đó các tác nhân đe dọa sẽ tiến hành các hành động sau khai thác 18 ngày sau khi lần truy cập đầu tiên diễn ra.

Các nhà nghiên cứu Lee Kirkpatrick, Paul Jacobs, Harshal Gosalia và Robert Weiland cho biết : "Sau khi kẻ tấn công tiếp cận bộ điều khiển miền được đề cập, chúng đã chỉnh sửa chính sách miền mặc định để giới thiệu Đối tượng chính sách nhóm (GPO) dựa trên đăng nhập có chứa hai mục".

Đầu tiên trong số đó là tập lệnh PowerShell có tên "IPScanner.ps1" được thiết kế để thu thập dữ liệu thông tin xác thực được lưu trữ trong trình duyệt Chrome. Mục thứ hai là một tập lệnh bó ("logon.bat") liên hệ với các lệnh để thực thi tập lệnh đầu tiên.

Các nhà nghiên cứu cho biết thêm: "Kẻ tấn công đã để GPO này hoạt động trên mạng trong hơn ba ngày".

"Điều này mang đến nhiều cơ hội cho người dùng đăng nhập vào thiết bị của họ và kích hoạt tập lệnh thu thập thông tin xác thực trên hệ thống của họ mà không hề hay biết. Một lần nữa, vì tất cả điều này được thực hiện bằng cách sử dụng GPO đăng nhập nên mỗi người dùng sẽ gặp phải tình trạng che giấu thông tin xác thực này." thời điểm họ đăng nhập."

Sau đó, những kẻ tấn công đã lấy thông tin đăng nhập bị đánh cắp và thực hiện các bước để xóa bằng chứng về hoạt động trước khi mã hóa các tệp và gửi thông báo đòi tiền chuộc vào mọi thư mục trên hệ thống.

Việc đánh cắp thông tin xác thực được lưu trữ trong trình duyệt Chrome có nghĩa là người dùng bị ảnh hưởng hiện được yêu cầu thay đổi kết hợp tên người dùng-mật khẩu của họ cho mọi trang web của bên thứ ba.

Các nhà nghiên cứu cho biết: "Có thể dự đoán được, các nhóm ransomware tiếp tục thay đổi chiến thuật và mở rộng các kỹ thuật của chúng".

"Nếu họ hoặc những kẻ tấn công khác quyết định khai thác các thông tin xác thực được lưu trữ ở điểm cuối – điều này có thể tạo cơ hội cho mục tiêu tiếp theo hoặc các kho thông tin về các mục tiêu có giá trị cao sẽ bị khai thác bằng các phương tiện khác – thì một cuộc tấn công đen tối sẽ xảy ra. chương mới có thể đã mở ra trong câu chuyện đang diễn ra về tội phạm mạng."

Xu hướng ngày càng phát triển trong Ransomware.

Sự phát triển này diễn ra khi các nhóm ransomware như Mad Liberator và Mimic đã bị phát hiện bằng cách sử dụng các yêu cầu AnyDesk không được yêu cầu để lọc dữ liệu và tận dụng các máy chủ Microsoft SQL có kết nối internet để truy cập lần đầu.

Các cuộc tấn công của Mad Liberator còn đặc trưng hơn nữa bởi các tác nhân đe dọa lạm dụng quyền truy cập để truyền và khởi chạy một tệp nhị phân có tên "Microsoft Windows Update" hiển thị màn hình giật gân Windows Update không có thật cho nạn nhân để tạo ấn tượng rằng các bản cập nhật phần mềm đang được cài đặt trên máy. trong khi dữ liệu đang bị đánh cắp.

Việc lạm dụng các công cụ máy tính từ xa hợp pháp, trái ngược với phần mềm độc hại tùy chỉnh, mang đến cho kẻ tấn công khả năng ngụy trang hoàn hảo để ngụy trang các hoạt động độc hại của chúng một cách rõ ràng, cho phép chúng trà trộn vào lưu lượng mạng bình thường và trốn tránh bị phát hiện.


Ransomware tiếp tục là một hoạt động kinh doanh mang lại lợi nhuận cho tội phạm mạng bất chấp một loạt các hành động thực thi pháp luật, với năm 2024 được coi là năm có doanh thu cao nhất. Năm cũng chứng kiến khoản thanh toán ransomware lớn nhất từng được ghi nhận vào khoảng 75 triệu USD cho nhóm ransomware Dark Angels.

"Khoản thanh toán tiền chuộc trung bình cho các chủng ransomware nghiêm trọng nhất đã tăng vọt từ dưới 200.000 USD vào đầu năm 2023 lên 1,5 triệu USD vào giữa tháng 6 năm 2024, cho thấy rằng các chủng ransomware này đang ưu tiên nhắm mục tiêu vào các doanh nghiệp lớn hơn và các nhà cung cấp cơ sở hạ tầng quan trọng có nhiều khả năng trả giá cao hơn. tiền chuộc do túi sâu và tầm quan trọng mang tính hệ thống của họ", công ty phân tích chuỗi khối Chainalysis cho biết.

Các nạn nhân của ransomware ước tính đã trả 459,8 triệu USD cho tội phạm mạng trong nửa đầu năm nay, tăng từ mức 449,1 triệu USD so với cùng kỳ năm ngoái. Tuy nhiên, tổng số sự kiện thanh toán bằng ransomware được đo lường trên chuỗi đã giảm 27,29% so với cùng kỳ năm ngoái, cho thấy tỷ lệ thanh toán đã giảm.

Hơn nữa, các nhóm đe dọa nói tiếng Nga chiếm ít nhất 69% tổng số tiền thu được từ tiền điện tử có liên quan đến ransomware trong suốt năm trước, vượt quá 500 triệu USD.

Theo dữ liệu được chia sẻ bởi NCC Group, số vụ tấn công bằng ransomware được quan sát vào tháng 7 năm 2024 đã tăng vọt so với tháng trước từ 331 lên 395, nhưng giảm so với 502 vụ được đăng ký vào năm ngoái. Các dòng ransomware hoạt động tích cực nhất là RansomHub, LockBit và Akira. Các lĩnh vực được nhắm mục tiêu thường xuyên nhất bao gồm công nghiệp, hàng tiêu dùng theo chu kỳ, khách sạn và giải trí.

Các tổ chức công nghiệp là mục tiêu béo bở của các nhóm ransomware do tính chất quan trọng trong hoạt động của chúng và tác động lớn của sự gián đoạn, do đó làm tăng khả năng nạn nhân có thể trả số tiền chuộc mà kẻ tấn công yêu cầu.


Chester Wisniewski, giám đốc công nghệ toàn cầu của Sophos, cho biết : "Tội phạm tập trung vào nơi chúng có thể gây ra nhiều đau đớn và gián đoạn nhất nên công chúng sẽ yêu cầu các giải pháp nhanh chóng và chúng hy vọng trả tiền chuộc để khôi phục dịch vụ nhanh hơn".

"Điều này khiến các tiện ích trở thành mục tiêu hàng đầu của các cuộc tấn công ransomware. Do những chức năng thiết yếu mà chúng cung cấp, xã hội hiện đại yêu cầu chúng phục hồi nhanh chóng và ít bị gián đoạn nhất."

Các cuộc tấn công bằng ransomware nhắm vào lĩnh vực này đã tăng gần gấp đôi trong quý 2 năm 2024 so với quý 1, từ 169 lên 312 vụ, theo Dragos. Phần lớn các cuộc tấn công nhắm vào Bắc Mỹ (187), tiếp theo là Châu Âu (82), Châu Á (29) và Nam Mỹ (6).

NCC Group cho biết : "Những kẻ tấn công ransomware đang tính toán thời gian tấn công một cách chiến lược trùng với thời gian nghỉ lễ cao điểm ở một số khu vực nhằm tối đa hóa sự gián đoạn và gây áp lực cho các tổ chức trong việc thanh toán".

Malwarebytes, trong báo cáo Trạng thái phần mềm tống tiền năm 2024, đã nêu bật ba xu hướng trong chiến thuật ransomware trong năm qua, bao gồm sự gia tăng các cuộc tấn công vào cuối tuần và sáng sớm từ 1 giờ sáng đến 5 giờ sáng và giảm thời gian truy cập ban đầu vào mã hóa.


WithSecure cho biết, một sự thay đổi đáng chú ý khác là việc khai thác và nhắm mục tiêu dịch vụ biên ngày càng tăng của các doanh nghiệp vừa và nhỏ, WithSecure cho biết, việc tháo dỡ LockBit và ALPHV (còn gọi là BlackCat) đã dẫn đến sự xói mòn niềm tin trong cộng đồng tội phạm mạng, khiến các chi nhánh phải rời bỏ từ các thương hiệu lớn.

Thật vậy, Coveware cho biết hơn 10% sự cố do công ty xử lý trong quý 2 năm 2024 không có liên quan, nghĩa là chúng "do những kẻ tấn công cố tình hoạt động độc lập với một thương hiệu cụ thể và những gì chúng tôi thường gọi là 'những con sói đơn độc'".

Europol cho biết trong một đánh giá được công bố vào tháng trước: "Việc liên tục gỡ bỏ các diễn đàn và thị trường tội phạm mạng đã rút ngắn vòng đời của các trang web tội phạm, vì các quản trị viên trang web cố gắng tránh thu hút sự chú ý của cơ quan thực thi pháp luật (LE).

"Sự không chắc chắn này, kết hợp với sự gia tăng các vụ thoát lừa đảo, đã góp phần làm cho thị trường tội phạm tiếp tục bị phân mảnh. Các hoạt động LE gần đây và việc rò rỉ mã nguồn ransomware (ví dụ: Conti, LockBit và HelloKitty) đã dẫn đến sự phân mảnh của ransomware đang hoạt động." các nhóm và các biến thể có sẵn."