VietNetwork.Vn

Người ta đã phát hiện những kẻ tấn công lợi dụng tính năng Tăng tốc truyền dữ liệu của Amazon S3 (Simple Storage Service) như một phần của các cuộc tấn công bằng phần mềm tống tiền được thiết kế để đánh cắp dữ liệu của nạn nhân và tải chúng lên các thùng S3 do chúng kiểm soát.

"Người ta đã cố gắng ngụy trang phần mềm tống tiền Golang thành phần mềm tống tiền LockBit khét tiếng", các nhà nghiên cứu Jaromir Horejsi và Nitesh Surana của Trend Micro cho biết. "Tuy nhiên, thực tế không phải vậy, và kẻ tấn công dường như chỉ lợi dụng sự nổi tiếng của LockBit để thắt chặt thêm thòng lọng đối với nạn nhân của chúng".


Các hiện vật ransomware đã được phát hiện nhúng thông tin đăng nhập Amazon Web Services (AWS) được mã hóa cứng để tạo điều kiện cho việc rò rỉ dữ liệu lên đám mây, một dấu hiệu cho thấy kẻ thù đang ngày càng lợi dụng các nhà cung cấp dịch vụ đám mây phổ biến cho các chương trình độc hại.

Tài khoản AWS được sử dụng trong chiến dịch được cho là của riêng họ hoặc bị xâm phạm. Sau khi tiết lộ có trách nhiệm cho nhóm bảo mật AWS, các khóa truy cập và tài khoản AWS đã xác định đã bị đình chỉ.

Trend Micro cho biết họ đã phát hiện hơn 30 mẫu có ID Khóa truy cập AWS và Khóa truy cập bí mật được nhúng, báo hiệu sự phát triển đang diễn ra. Phần mềm tống tiền này có khả năng nhắm mục tiêu vào cả hệ thống Windows và macOS.

Người ta không biết chính xác phần mềm tống tiền đa nền tảng này được phân phối đến máy chủ mục tiêu như thế nào, nhưng sau khi thực thi, nó sẽ lấy được mã định danh duy nhất chung (UUID) của máy và thực hiện một loạt các bước để tạo khóa chính cần thiết để mã hóa các tệp.

Bước khởi tạo được thực hiện bằng cách kẻ tấn công liệt kê các thư mục gốc và mã hóa các tệp khớp với danh sách phần mở rộng đã chỉ định, nhưng trước đó phải truyền chúng sang AWS thông qua S3 Transfer Acceleration ( S3TA ) để truyền dữ liệu nhanh hơn.

"Sau khi mã hóa, tệp được đổi tên theo định dạng sau: <tên tệp gốc>.<vector khởi tạo>.abcd", các nhà nghiên cứu cho biết. "Ví dụ, tệp text.txt được đổi tên thành text.txt.e5c331611dd7462f42a5e9776d2281d3.abcd".

Ở giai đoạn cuối, phần mềm tống tiền sẽ thay đổi hình nền của thiết bị để hiển thị hình ảnh có đề cập đến LockBit 2.0 nhằm mục đích buộc nạn nhân phải trả tiền.

Các nhà nghiên cứu cho biết: "Những kẻ tấn công cũng có thể ngụy trang mẫu ransomware của chúng thành một biến thể khác được biết đến rộng rãi hơn và không khó để hiểu lý do tại sao: sự khét tiếng của các cuộc tấn công ransomware gây nhiều áp lực hơn nữa khiến nạn nhân phải làm theo lệnh của kẻ tấn công".

Sự phát triển này diễn ra khi Gen Digital phát hành một công cụ giải mã cho biến thể ransomware Mallox được phát hiện trong thực tế từ tháng 1 năm 2023 đến tháng 2 năm 2024 bằng cách lợi dụng lỗ hổng trong lược đồ mật mã.


"Nạn nhân của ransomware có thể khôi phục tệp của họ miễn phí nếu họ bị tấn công bởi biến thể Mallox cụ thể này", nhà nghiên cứu Ladislav Zezula cho biết. "Lỗ hổng mã hóa đã được khắc phục vào khoảng tháng 3 năm 2024, vì vậy không còn có thể giải mã dữ liệu được mã hóa bởi các phiên bản sau của ransomware Mallox nữa".

Cần phải đề cập rằng một chi nhánh của hoạt động Mallox, còn được gọi là TargetCompany, đã bị phát hiện sử dụng phiên bản đã sửa đổi một chút của phần mềm tống tiền Kryptina – có tên mã là Mallox v1.0 – để xâm nhập vào các hệ thống Linux.

"Các biến thể Mallox bắt nguồn từ Kryptina có tính liên kết cụ thể và tách biệt với các biến thể Mallox khác trên Linux đã xuất hiện sau đó, một dấu hiệu cho thấy bối cảnh ransomware đã phát triển thành một tập hợp phức tạp các bộ công cụ thụ phấn chéo và cơ sở mã phi tuyến tính", nhà nghiên cứu Jim Walter của SentinelOne lưu ý vào cuối tháng trước.

Theo phân tích của Symantec về dữ liệu thu thập được từ các trang web rò rỉ phần mềm tống tiền, phần mềm tống tiền vẫn tiếp tục là mối đe dọa lớn, với 1.255 vụ tấn công được ghi nhận trong quý 3 năm 2024, giảm so với mức 1.325 vụ trong quý trước.

Trong Báo cáo Phòng thủ Kỹ thuật số trong giai đoạn một năm từ tháng 6 năm 2023 đến tháng 6 năm 2024, Microsoft cho biết họ đã quan sát thấy mức tăng 2,75 lần theo năm trong các cuộc tấn công liên quan đến phần mềm tống tiền do con người điều khiển, trong khi tỷ lệ các cuộc tấn công đạt đến giai đoạn mã hóa thực tế đã giảm gấp ba lần trong hai năm qua.

Một số bên hưởng lợi chính từ sự suy giảm của LockBit sau một hoạt động thực thi pháp luật quốc tế nhắm vào cơ sở hạ tầng của công ty vào tháng 2 năm 2024 là RansomHub, Qilin (hay còn gọi là Agenda) và Akira, trong đó Akira đã chuyển sang chiến thuật tống tiền kép sau một thời gian ngắn chỉ sử dụng đánh cắp dữ liệu và tấn công tống tiền vào đầu năm 2024.

Talos cho biết: "Trong thời gian này, chúng tôi bắt đầu thấy những kẻ điều hành phần mềm tống tiền dạng dịch vụ (RaaS) Akira phát triển biến thể Rust của bộ mã hóa ESXi, liên tục xây dựng các chức năng của phần mềm tải trọng trong khi tránh xa C++ và thử nghiệm các kỹ thuật lập trình khác nhau ".

Các cuộc tấn công liên quan đến Akira cũng đã lợi dụng thông tin đăng nhập VPN bị xâm phạm và các lỗ hổng bảo mật mới được tiết lộ để xâm nhập vào mạng, cũng như leo thang đặc quyền và di chuyển ngang trong các môi trường bị xâm phạm như một phần của nỗ lực nhằm thiết lập chỗ đứng sâu hơn.

Một số lỗ hổng bị các chi nhánh của Akira khai thác được liệt kê dưới đây -

• CVE-2020-3259
• CVE-2023-20263
• CVE-2023-20269
• CVE-2023-27532
• CVE-2023-48788
• CVE-2024-37085
• CVE-2024-40711 và
• CVE-2024-40766

Các nhà nghiên cứu của Talos là James Nutland và Michael Szeliga cho biết: "Trong suốt năm 2024, Akira đã nhắm mục tiêu vào một số lượng lớn nạn nhân, đặc biệt là các tổ chức trong lĩnh vực sản xuất và dịch vụ chuyên nghiệp, khoa học và kỹ thuật".

"Akira có thể đang chuyển đổi từ việc sử dụng biến thể Akira v2 dựa trên Rust sang quay lại các TTP trước đây bằng cách sử dụng trình mã hóa Windows và Linux được viết bằng C++."