Ransomware Ymir khai thác bộ nhớ để tấn công lén lút nhắm vào mạng doanh nghiệp

Tác giả Starlink, T.M.Một 16, 2024, 11:51:55 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một họ ransomware mới có tên là Ymir, được triển khai trong một cuộc tấn công hai ngày sau khi hệ thống bị xâm nhập bởi phần mềm độc hại đánh cắp có tên là RustyStealer.

Nhà cung cấp an ninh mạng của Nga Kaspersky cho biết : "Ymir ransomware là sự kết hợp độc đáo giữa các tính năng kỹ thuật và chiến thuật giúp tăng cường hiệu quả của nó".


"Những kẻ đe dọa đã tận dụng sự kết hợp không theo quy ước của các chức năng quản lý bộ nhớ – malloc, memmove và memcmp – để thực thi mã độc trực tiếp trong bộ nhớ. Cách tiếp cận này khác với luồng thực thi tuần tự thông thường được thấy trong các loại ransomware phổ biến, tăng cường khả năng ẩn núp của nó."

Kaspersky cho biết họ đã quan sát thấy phần mềm tống tiền được sử dụng trong một cuộc tấn công mạng nhắm vào một tổ chức giấu tên ở Colombia, trước đó kẻ tấn công đã phát tán phần mềm độc hại RustyStealer để thu thập thông tin đăng nhập của công ty.

Người ta tin rằng thông tin đăng nhập bị đánh cắp đã được sử dụng để truy cập trái phép vào mạng của công ty nhằm triển khai ransomware. Mặc dù thường có sự chuyển giao giữa một nhà môi giới truy cập ban đầu và nhóm ransomware, nhưng không rõ liệu đó có phải là trường hợp ở đây hay không.

Nhà nghiên cứu Cristian Souza của Kaspersky cho biết: "Nếu những kẻ môi giới thực sự là những kẻ triển khai phần mềm tống tiền, điều này có thể báo hiệu một xu hướng mới, tạo ra các tùy chọn chiếm quyền điều khiển bổ sung mà không cần dựa vào các nhóm Ransomware-as-a-Service (RaaS) truyền thống".

Cuộc tấn công đáng chú ý là cài đặt các công cụ như Advanced IP Scanner và Process Hacker. Ngoài ra còn sử dụng hai tập lệnh là một phần của phần mềm độc hại SystemBC, cho phép thiết lập kênh bí mật đến địa chỉ IP từ xa để trích xuất các tệp có kích thước lớn hơn 40 KB và được tạo sau một ngày cụ thể.

Về phần mình, mã nhị phân ransomware sử dụng thuật toán mã hóa luồng ChaCha20 để mã hóa các tệp, thêm phần mở rộng ".6C5oy2dVr6" vào mỗi tệp được mã hóa.

"Ymir rất linh hoạt: bằng cách sử dụng lệnh --path, kẻ tấn công có thể chỉ định một thư mục mà ransomware sẽ tìm kiếm các tệp", Kaspersky cho biết. "Nếu một tệp nằm trong danh sách trắng, ransomware sẽ bỏ qua tệp đó và để tệp đó không được mã hóa. Tính năng này giúp kẻ tấn công kiểm soát nhiều hơn những tệp được mã hóa hoặc không được mã hóa".

Sự việc diễn ra khi những kẻ tấn công đứng sau ransomware Black Basta bị phát hiện sử dụng tin nhắn trò chuyện trên Microsoft Teams để tiếp cận các mục tiêu tiềm năng và tích hợp mã QR độc hại để tạo điều kiện truy cập ban đầu bằng cách chuyển hướng họ đến một tên miền lừa đảo.

ReliaQuest cho biết : "Động cơ cơ bản có thể đặt nền tảng cho các kỹ thuật kỹ thuật xã hội tiếp theo, thuyết phục người dùng tải xuống các công cụ giám sát và quản lý từ xa (RMM) và có quyền truy cập ban đầu vào môi trường mục tiêu". "Cuối cùng, mục tiêu cuối cùng của kẻ tấn công trong các sự cố này gần như chắc chắn là triển khai phần mềm tống tiền".

Công ty an ninh mạng cho biết họ cũng xác định được những trường hợp kẻ tấn công cố gắng lừa người dùng bằng cách đóng giả làm nhân viên hỗ trợ CNTT và lừa họ sử dụng Quick Assist để truy cập từ xa, một kỹ thuật mà Microsoft đã cảnh báo vào tháng 5 năm 2024.

Trong cuộc tấn công vishing, kẻ tấn công sẽ hướng dẫn nạn nhân cài đặt phần mềm máy tính từ xa như AnyDesk hoặc khởi chạy Quick Assist để có thể truy cập hệ thống từ xa.


Điều đáng nói ở đây là một cuộc tấn công trước đó đã sử dụng chiến thuật thư rác độc hại, làm ngập hộp thư đến của nhân viên bằng hàng nghìn email và sau đó gọi điện cho nhân viên đó bằng cách đóng giả là bộ phận trợ giúp CNTT của công ty để được cho là giúp giải quyết vấn đề.

Các cuộc tấn công bằng phần mềm tống tiền liên quan đến họ Akira và Fog cũng được hưởng lợi từ các hệ thống chạy VPN SSL SonicWall chưa được vá lỗi CVE-2024-40766 để xâm phạm mạng của nạn nhân. Có tới 30 cuộc xâm nhập mới sử dụng chiến thuật này đã được phát hiện từ tháng 8 đến giữa tháng 10 năm 2024, theo Arctic Wolf.

Những sự kiện này phản ánh sự phát triển liên tục của phần mềm tống tiền và mối đe dọa dai dẳng mà nó gây ra cho các tổ chức trên toàn thế giới, ngay cả khi các nỗ lực thực thi pháp luật nhằm phá vỡ các nhóm tội phạm mạng đã dẫn đến sự phân mảnh hơn nữa.

Tháng trước, Secureworks, công ty sắp được Sophos mua lại vào đầu năm sau, đã tiết lộ rằng số lượng nhóm ransomware đang hoạt động đã tăng 30% so với cùng kỳ năm trước, do sự xuất hiện của 31 nhóm mới trong hệ sinh thái.

Công ty an ninh mạng cho biết : "Mặc dù các nhóm ransomware tăng trưởng, số lượng nạn nhân không tăng theo cùng tốc độ, cho thấy bối cảnh phân mảnh hơn đáng kể, đặt ra câu hỏi về mức độ thành công của các nhóm mới này".

Dữ liệu do NCC Group chia sẻ cho thấy tổng cộng 407 trường hợp ransomware được ghi nhận vào tháng 9 năm 2024, giảm so với 450 trường hợp vào tháng 8, giảm 10% so với tháng trước. Ngược lại, 514 cuộc tấn công ransomware đã được ghi nhận vào tháng 9 năm 2023. Một số lĩnh vực chính bị nhắm mục tiêu trong khoảng thời gian đó bao gồm công nghiệp, hàng tiêu dùng tùy ý và công nghệ thông tin.

Chưa hết. Trong những tháng gần đây, việc sử dụng ransomware đã mở rộng sang các nhóm hacker có động cơ chính trị như CyberVolk, những nhóm này đã sử dụng "ransomware như một công cụ để trả đũa".

Trong khi đó, các quan chức Hoa Kỳ đang tìm kiếm những cách mới để chống lại phần mềm tống tiền, bao gồm việc thúc giục các công ty bảo hiểm mạng ngừng hoàn trả tiền chuộc nhằm ngăn chặn nạn nhân trả tiền ngay từ đầu.

"Một số chính sách của công ty bảo hiểm — ví dụ như bao gồm việc hoàn trả các khoản thanh toán ransomware — khuyến khích việc thanh toán tiền chuộc thúc đẩy hệ sinh thái tội phạm mạng", Anne Neuberger, Phó cố vấn an ninh quốc gia Hoa Kỳ về công nghệ mạng và mới nổi, đã viết trong một bài bình luận của Financial Times. "Đây là một hoạt động đáng lo ngại cần phải chấm dứt".