Agenda - Mã độc tống tiền mới có khả năng tùy chỉnh trên từng nạn nhân

09:00 | 12/09/2022 | HACKER / MALWARE

Các nhà nghiên cứu của Công ty bảo mật Trend Micro (Nhật Bản) vừa lên tiếng cảnh báo về một dòng mã độc tống tiền mới có tên là Agenda, được sử dụng trong các cuộc tấn công vào các tổ chức ở châu Á và châu Phi.

Agenda - Mã độc tống tiền mới có khả năng tùy chỉnh trên từng nạn nhân

Được viết bằng ngôn ngữ lập trình đa nền tảng Golang, mã độc mới này có khả năng khởi động lại hệ thống ở chế độ an toàn (Safe mode) và chấm dứt các tiến trình và dịch vụ dành riêng cho máy chủ. Agenda nhắm mục tiêu vào các hệ thống Windows và đã được sử dụng trong các cuộc tấn công nhắm vào các tổ chức chăm sóc sức khỏe, giáo dục tại Indonesia, Ả Rập thống nhất, Nam Phi và Thái Lan.

Theo quan sát của Trend Micro, các mẫu mã độc đã được tùy chỉnh cho từng nạn nhân, số tiền chuộc yêu cầu cũng khác nhau, dao động trong khoảng 50.000 - 800.000 USD.

“Mỗi mẫu mã độc tống tiền đều được tùy chỉnh cho nạn nhân mục tiêu. Theo điều tra của chúng tôi, các mẫu mã độc sử dụng tài khoản, mật khẩu khách hàng và ID công ty làm phần mở rộng của các tệp bị mã hóa”, Trend Micro cho biết.

Công ty bảo mật này cũng phát hiện các bài đăng trên diễn đàn dard web liên quan đến Agenda của một người dùng có tên “Qilin” và tin rằng người dùng này đang cung cấp phần mềm tống tiền cho các nhóm tin tặc khác nhau để tùy chỉnh payload với thông tin chi tiết về nạn nhân, bao gồm: ID, khóa RSA, các tiến trình và các dịch vụ sẽ bị chấm dứt trước khi mã hóa.

Agenda hỗ trợ một số đối số dòng lệnh, xây dựng cấu hình runtime để xác định hành vi, loại bỏ các bản sao, chấm dứt các tiến trình và dịch vụ antivirus khác nhau, đồng thời tạo một mục tự động khởi động trỏ vào một bản sao của chính nó. Hơn nữa, mã độc tống tiền này thay đổi mật khẩu của người dùng mặc định và sau đó cho phép đăng nhập tự động bằng thông tin đăng nhập đã sửa đổi. Nó khởi động lại thiết bị ở chế độ an toàn và bắt đầu mã hóa dữ liệu khi khởi động lại.

Cách thức hoạt động của Agenda

Là một phần của một cuộc tấn công, tin tặc đã sử dụng máy chủ Citrix công khai đóng vai trò là một điểm vào để thực hiện thỏa hiệp ban đầu, có thể là thông qua tài khoản hợp lệ và sử dụng máy chủ để truy cập mạng của nạn nhân. Đồng thời, tin tặc cũng sử dụng thông tin đăng nhập bị rò rỉ để kết nối với dịch vụ Active Directory thông qua giao thức truy cập từ xa (RDP) và cài đặt các công cụ dò quét như Nmap, Nping để lập bản đồ mạng. Nó cũng tạo một Chính sách nhóm (Group Policty) và triển khai mã độc trên tất cả các máy.

“Agenda lợi dụng các tài khoản cục bộ để đăng nhập với tư cách là người dùng giả mạo và thực thi mã nhị phân độc hại, tiếp tục mã hóa các máy khác nếu đăng nhập thành công. Nó cũng chấm dứt nhiều quy trình và dịch vụ, đồng thời đảm bảo sự tồn tại lâu dài bằng cách đưa DLL vào svchost.exe”, Trend Micro lưu ý.

Theo đánh giá của Trend Micro, Agenda có nhiều điểm tương đồng với các dòng mã độc tống tiền nổi tiếng như Black Basta, Black Matter và REvil (hay còn gọi là Sodinokibi). Cụ thể, trang web thanh toán và xác minh người dùng được triển khai trên trang Tor của Agenda giống với Black Basta và Black Matter, trong khi khả năng thay đổi mật khẩu Windows và khởi động lại hệ thống ở chế độ an toàn tương tự như Black Basta và REvil.

Hồng Đạt

(Theo SecurityWeek)

‹ › ×

Tin liên quan

Phương thức lây nhiễm của mã độc tống tiền LockBit

12:00 | 12/08/2022

Các nhà nghiên cứu tại Trung tâm Điều hành An ninh toàn cầu Cybereason (GSOC) vừa công bố một bản báo cáo Phân tích mối đe dọa về các cuộc tấn công. Trong đó, tập trung nghiên cứu vào sự phát triển của mã độc tống tiền LockBit với các kỹ thuật được sử dụng để lây nhiễm trên các hệ thống mục tiêu.

Phân tích kỹ thuật lây nhiễm của mã độc Shikitega

14:00 | 29/09/2022

Vừa qua, một mã độc tàng hình mới có tên là Shikitega đã được phát hiện thông qua một chuỗi lây nhiễm nhiều giai đoạn với mục tiêu gửi các payload độc hại tới hệ điều hành Linux và các thiết bị IoT. Bài báo này tập trung trình bày về kỹ thuật lây nhiễm của loại mã độc mới trên Linux này.

Hội nghị quốc tế chống mã độc tống tiền lần thứ hai

11:00 | 11/11/2022

Để đối phó với mối đe dọa từ nạn tấn công mã độc tống tiền (ransomware), Mỹ đăng cai tổ chức hội nghị quốc tế bàn về chủ đề này, với sự tham gia của đại diện 37 nước và một số doanh nghiệp lớn trên thế giới trong hai ngày 31/10 -1/11.

CISA xây dựng bộ quy tắc yêu cầu các tổ chức cung cấp thông tin về sự cố mạng và các tấn công mã độc tống tiền

11:00 | 03/10/2022

Cơ quan An ninh mạng và cơ sở hạ tầng của Hòa Kỳ (CISA) đang tìm kiếm và xây dựng bộ quy tắc yêu cầu các tổ chức báo cáo các sự cố an ninh mạng và các cuộc tấn công mã độc tống tiền.

Các mối đe dọa an ninh mạng hàng đầu năm 2023

17:00 | 29/12/2022

Bước sang năm 2023, an ninh mạng vẫn đứng đầu danh sách các mối quan tâm của các CIO. Trong một cuộc khảo sát mới của các chuyên gia thăm dò 350 giám đốc công nghệ, giám đốc thông tin và giám đốc CNTT, 51% số người được hỏi đề cập đến lỗ hổng đám mây là mối quan tâm hàng đầu (tăng từ 35% vào năm 2022) và 43% quan tâm đến lỗ hổng trung tâm dữ liệu (tăng từ 27% vào năm 2022).

NIST và toàn vẹn dữ liệu chống lại các tấn công của mã độc tống tiền (Phần I)

07:00 | 20/05/2022

Bài báo giới thiệu 3 tài liệu do NIST phát hành nhằm bảo vệ toàn vẹn dữ liệu chống lại tấn công mã độc tống tiền. Các tài liệu này đề cập tới các khía cạnh của bài toán toàn vẹn dữ liệu như: xác định, bảo vệ, phát hiện, phản ứng và phục hồi.

Tình hình tấn công mã độc tống tiền trong tháng 8

12:00 | 23/09/2022

Malwarebytes - công ty chuyên về bảo mật thông tin có trụ ở tại Hoa Kỳ đã tổng hợp các bảng thống kê hàng tháng về hoạt động của các cuộc tấn công mã độc tống tiền (ransomware) bằng cách theo dõi thông tin do các nhóm tin tặc công bố trên Dark Web. Đây là thông tin của những người dùng bị tấn công thành công và trả tiền chuộc cho các nhóm tin tặc.

Phát hiện mã độc tống tiền AXLocker mới mã hóa dữ liệu và đánh cắp tài khoản Discord của người dùng

16:00 | 28/11/2022

Các nhà nghiên cứu tại công ty an ninh mạng Cyble (Georgia) phát hiện một mã độc tống tiền mới, có tên gọi là AXLocker. Mã độc này không chỉ mã hóa các tệp dữ liệu và yêu cầu thanh toán tiền chuộc mà còn đánh cắp tài khoản Discord của người dùng.

NIST và toàn vẹn dữ liệu chống lại các tấn công của mã độc tống tiền (Phần II)

10:00 | 14/06/2022

Phần I của bài viết đã trình bày một số vấn đề chung về toàn vẹn dữ liệu nói chung, mã độc tống tiền nói riêng và khung an toàn dữ liệu của NIST, cũng như trình bày tóm tắt nội dung của SP 1800-25 giải quyết 2 vấn đề là xác định (identify) và bảo vệ (protect). Phần II sẽ trình bày tóm tắt nội dung của SP 1800-26 và giải quyết hai vấn đề là phát hiện (detect) và phản ứng (response), SP 1800-11 giải quyết vấn đề phục hồi (recovery) cũng như việc phối hợp cả 3 tài liệu.

Tấn công ransomware thông qua tính năng Microsoft Office 365

12:00 | 30/06/2022

Một "tính năng nguy hiểm" trong Microsoft 365 đã được các nhà nghiên cứu tại Công ty an ninh mạng Proofpoint (Hoa Kỳ) phát hiện có khả năng bị khai thác để tấn công ransomware, với các tệp lưu trữ trên SharePoint và OneDrive để khởi động các cuộc tấn công vào cơ sở hạ tầng đám mây.

Tin cùng chuyên mục

Tấn công mạng: Hiểm họa lớn đối với các tổ chức, doanh nghiệp

08:00 | 17/04/2024

Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.

Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS

15:00 | 16/04/2024

Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.

Quỹ Tiền tệ Quốc tế bị tấn công mạng

15:00 | 25/03/2024

Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.

Phát hiện kỹ thuật khai thác mới cho phép kẻ tấn công vượt qua các biện pháp bảo mật

07:00 | 18/01/2024

Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.