FBI và CISA cảnh báo về ransomware BlackSuit có giá trị lên tới 500 triệu USD

Tác giả AI+, T.Tám 08, 2024, 07:03:50 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Cho đến nay, chủng ransomware có tên BlackSuit đã yêu cầu số tiền chuộc lên tới 500 triệu USD, trong đó có một cá nhân yêu cầu tiền chuộc lên tới 60 triệu USD.

Đó là theo một lời khuyên cập nhật từ Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) và Cục Điều tra Liên bang (FBI).


Các cơ quan cho biết: "Các thành viên BlackSuit đã thể hiện sự sẵn sàng đàm phán số tiền thanh toán". "Số tiền chuộc không nằm trong thông báo đòi tiền chuộc ban đầu nhưng yêu cầu tương tác trực tiếp với tác nhân đe dọa thông qua   Đăng nhập để xem liên kết (có thể truy cập thông qua trình duyệt Tor) được cung cấp sau khi mã hóa."

Các cuộc tấn công liên quan đến ransomware đã nhắm vào một số lĩnh vực cơ sở hạ tầng quan trọng, bao gồm các cơ sở thương mại, chăm sóc sức khỏe và y tế công cộng, các cơ sở chính phủ và sản xuất quan trọng.

Một sự phát triển của ransomware Royal, nó tận dụng quyền truy cập ban đầu có được thông qua email lừa đảo để vô hiệu hóa phần mềm chống vi-rút và lọc dữ liệu nhạy cảm trước khi triển khai ransomware và mã hóa hệ thống.

Các con đường lây nhiễm phổ biến khác bao gồm việc sử dụng Giao thức máy tính từ xa (RDP), khai thác các ứng dụng truy cập Internet dễ bị tấn công và quyền truy cập được mua thông qua các nhà môi giới truy cập ban đầu (IAB).

Các tác nhân BlackSuit được biết là sử dụng phần mềm và công cụ giám sát và quản lý từ xa (RMM) hợp pháp như phần mềm độc hại SystemBC và GootLoader để duy trì sự tồn tại trong mạng nạn nhân.

Các cơ quan lưu ý: "Các tác nhân BlackSuit đã được quan sát bằng cách sử dụng SharpShares và SoftPerinf NetWorx để liệt kê các mạng nạn nhân". "Công cụ đánh cắp thông tin xác thực có sẵn công khai Mimikatz và các công cụ thu thập mật khẩu từ Nirsoft cũng đã được tìm thấy trên hệ thống nạn nhân. Các công cụ như PowerTool và GMER thường được sử dụng để tiêu diệt các tiến trình hệ thống."

CISA và FBI đã cảnh báo về sự gia tăng các trường hợp nạn nhân nhận được liên lạc qua điện thoại hoặc email từ các thành viên BlackSuit về việc thỏa hiệp và đòi tiền chuộc, một chiến thuật ngày càng được các băng đảng ransomware áp dụng để tăng áp lực.

Công ty an ninh mạng Sophos cho biết trong một báo cáo được công bố trong tuần này: "Trong những năm gần đây, các tác nhân đe dọa dường như ngày càng quan tâm đến việc không chỉ đe dọa trực tiếp các tổ chức mà còn cả các nạn nhân thứ cấp". "Ví dụ, như đã báo cáo vào tháng 1 năm 2024, những kẻ tấn công đã đe dọa 'tấn công' bệnh nhân của một bệnh viện ung thư và gửi tin nhắn văn bản đe dọa tới vợ/chồng của một CEO."

Đó chưa phải là tất cả. Các tác nhân đe dọa cũng tuyên bố đánh giá dữ liệu bị đánh cắp để tìm bằng chứng về hoạt động bất hợp pháp, không tuân thủ quy định và chênh lệch tài chính, thậm chí đến mức tuyên bố rằng một nhân viên tại một tổ chức bị xâm nhập đã tìm kiếm tài liệu lạm dụng tình dục trẻ em bằng cách đăng trang web của họ. lịch sử trình duyệt.

Những phương pháp hung hãn như vậy không chỉ có thể được sử dụng làm đòn bẩy hơn nữa để ép buộc mục tiêu của họ phải trả tiền mà còn gây tổn hại về mặt danh tiếng bằng cách chỉ trích họ là vô đạo đức hoặc cẩu thả.

Sự phát triển này diễn ra trong bối cảnh xuất hiện của các dòng ransomware mới như Lynx, OceanSpy, Radar, Zilla (một biến thể của ransomware Crysis/Dharma) và Zola (một biến thể của ransomware Proton) trong tự nhiên, ngay cả khi các nhóm ransomware hiện tại đang liên tục phát triển phương thức hoạt động của chúng. bằng cách kết hợp các công cụ mới vào kho vũ khí của họ.

Một ví dụ điển hình là Hunters International, đã được quan sát thấy bằng cách sử dụng phần mềm độc hại dựa trên C# mới có tên SharpRhino làm vectơ lây nhiễm ban đầu và trojan truy cập từ xa (RAT). Một biến thể của dòng phần mềm độc hại ThunderShell, nó được phát tán thông qua một miền đánh máy mạo danh công cụ quản trị mạng phổ biến Angry IP Scanner.

Điều đáng nói là các chiến dịch quảng cáo độc hại đã được phát hiện phát tán phần mềm độc hại gần đây nhất là vào tháng 1 năm 2024, theo eSentire. RAT nguồn mở còn được gọi là Parcel RAT và SMOKEDHAM.

Nhà nghiên cứu Michael Forret của Quorum Cyber cho biết : "Khi thực thi, nó thiết lập tính bền bỉ và cung cấp cho kẻ tấn công quyền truy cập từ xa vào thiết bị, sau đó được sử dụng để tiến hành cuộc tấn công". "Sử dụng các kỹ thuật chưa từng thấy trước đây, phần mềm độc hại có thể có được quyền cấp cao trên thiết bị để đảm bảo kẻ tấn công có thể tiếp tục nhắm mục tiêu với sự gián đoạn tối thiểu."

Hunters International được đánh giá là thương hiệu mới của nhóm ransomware Hive hiện không còn tồn tại. Được phát hiện lần đầu tiên vào tháng 10 năm 2023, nó đã nhận trách nhiệm về 134 vụ tấn công trong bảy tháng đầu năm 2024.