LockBit được phát hiện lần đầu tiên vào tháng 9/2019 và kể từ thời điểm đó, một biến thể của mã độc tống tiền này đã được ghi nhận với phiên bản LockBit 2.0. Đây là dòng mã độc tống tiền có thể phát tán nhanh chóng trên mạng mục tiêu, hoạt động theo mô hình RaaS (Ransomware-as-a-service) - một mô hình kinh doanh ngày càng phổ biến đối với các nhóm khai thác mã độc tống tiền trong vài năm qua, giúp các nhóm tin tặc này mở rộng phạm vi tiếp cận và doanh thu.
Hiện nay, LockBit đã nổi lên và trở thành dòng mã độc tống tiền thống trị của năm, vượt qua các nhóm tin tặc sử dụng mã độc tống tiền đình đám khác như Conti, Hive, BlackCat.
Điều này liên quan đến các tác giả phát triển ra LockBit cấp phép truy cập cho khách hàng – những người thực hiện các cuộc tấn công, để đổi lấy việc sử dụng các công cụ, kỹ thuật, cơ sở hạ tầng của họ và kiếm được tới 80% mỗi khoản tiền chuộc nhận được từ các nạn nhân. Các tin tặc hiện đang cải thiện kỹ thuật để vô hiệu hóa các công cụ phát hiện và phản hồi điểm cuối (EDR) cũng như các giải pháp bảo mật khác.
Ghi chú tiền chuộc mã hóa trong một nghiên cứu điển hình
Theo phân tích dữ liệu trang web rò rỉ của công ty an ninh mạng Palo Alto Networks (Mỹ), trong quý đầu năm 2022, LockBit đã chiếm tới 46% tổng số các vi phạm liên quan đến mã độc tống tiền. Chỉ riêng trong tháng 6, nhóm này đã liên quan tới 44 vụ tấn công, trở thành dòng mã độc tống tiền hoạt động tích cực nhất.
Các nhà nghiên cứu đã trình bày 2 vụ lây nhiễm xảy ra ở hai khoảng thời gian rất khác nhau để làm nổi bật sự phát triển của LockBit.
Trong hầu hết cuộc tấn công lây nhiễm đầu tiên diễn ra vào quý 4/2021 được các nhà nghiên cứu phát hiện và phân tích, tin tặc đã xâm nhập các mạng mục tiêu bằng cách khai thác một dịch vụ bị cấu hình sai, đặc biệt là một cổng RDP (Remote Desktop Protocol) được mở công khai.
Nghiên cứu thứ nhất về vòng đời tấn công của LockBit
“Trong các trường hợp khác, tin tặc sẽ sử dụng phương thức truyền thống hơn là email lừa đảo để tải xuống các payload độc hại, cho phép họ kết nối từ xa với mạng mục tiêu hoặc khai thác lỗi máy chủ, ứng dụng, lỗ hổng chưa được vá để có quyền truy cập vào mạng”, báo cáo của GSOC cho biết thêm.
Tiếp sau đó là các hoạt động do thám và trích xuất thông tin xác thực bằng các công cụ như Mimikatz và Netscan, cho phép tin tặc xâm nhập vào các máy ngang hàng trong hệ thống mục tiêu, duy trì sự tồn tại, nâng cao đặc quyền và khởi chạy mã độc, kèm với đó là thực thi các lệnh để xóa các bản sao lưu và ngăn chặn sự phát hiện của tường lửa và phần mềm diệt virus.
Lần lây nhiễm thứ hai được các nhà nghiên cứu ghi nhận vào quý 2/2022 và trình bày các giai đoạn khác nhau của cuộc tấn công, từ thỏa hiệp ban đầu, di chuyển ngang hàng và duy trì nâng cao đặc quyền và phát triển mã độc cuối cùng.
Nghiên cứu thứ hai về vòng đời tấn công của LockBit
Theo đó, các tin tặc đã sử dụng tệp net.exe (một thành phần phần mềm của Windows) để tạo một tài khoản và nâng các đặc quyền của chúng lên quản trị miền (Domain Administrator), sau đó chúng sử dụng các tài khoản để duy trì sự tồn tại và lây lan trên mạng của nạn nhân.
Đồng thời, các nhà nghiên cứu nhận thấy việc sử dụng Ngrok - một reverse proxy cho phép tin tặc tạo đường hầm (tunel) tới các máy chủ phía sau tường lửa. Việc thực thi Ngrok cho phép tin tặc có thể truy cập mạng từ xa, ngay cả khi vectơ lây nhiễm ban đầu sau đó được vá hoặc loại bỏ. Việc lây nhiễm cho các máy khác trong mạng mục tiêu được tin tặc thực hiện bằng mã độc Neshta.
Kết luận của báo cáo chỉ ra rằng, LockBit hoàn thành tất cả các bước cần thiết để thực thi payload và bắt đầu mã hóa:
Ngoài ra, LockBit cũng sử dụng kỹ thuật tống tiền kép phổ biến để quét sạch một lượng lớn dữ liệu của mục tiêu trước khi mã hóa. Tính đến tháng 5/2022 đã có hơn 850 nạn nhân của mã độc này
Trong 3 năm kể từ khi xuất hiện, LockBit đã có 2 nâng cấp đáng chú ý. Đó là phiên bản LockBit 2.0 vào tháng 6/2021 và phiên bản LockBit 3.0 vào tháng 6/2022, với các tính năng quan trọng như hỗ trợ thanh toán tiền điện tử Zcash, các chiến thuật tống tiền mới, cùng một chương trình bug bounty - chương trình đầu tiên dành cho nhóm tin tặc sử dụng mã độc tống tiền.
Chương trình bug bounty này đưa ra phần thưởng lên tới 1 triệu USD cho việc tìm ra các điểm yếu an ninh bảo mật trong trang web và phần mềm locker của nó, gửi các ý tưởng xuất sắc, hoặc cách làm lộ IP máy chủ lưu trữ trang web trên mạng TOR.
Đây là một dấu hiệu khác cho thấy các nhóm tin tặc đang ngày càng hoạt động như các doanh nghiệp công nghệ thông tin hợp pháp, cập nhật tính năng thường xuyên và thậm chí cả tiền thưởng để giải quyết các vấn đề gây trở ngại.
Tuy nhiên, các dấu hiệu cho thấy LockBit 3.0 hay LockBit Black được lấy cảm hứng từ một dòng mã độc tống tiền có tên là BlackMatter - một phiên bản đổi tên của DarkSide đã dừng hoạt động vào tháng 11/2021.
Đinh Hồng Đạt
08:00 | 23/06/2022
09:00 | 12/09/2022
16:00 | 18/05/2024
17:00 | 20/06/2022
13:00 | 16/09/2022
10:00 | 27/05/2024
13:00 | 07/02/2024
10:00 | 14/06/2022
12:00 | 23/09/2022
07:00 | 20/05/2022
08:00 | 23/05/2022
13:00 | 06/01/2025
Trong thời đại công nghệ phát triển nhanh chóng hiện nay, việc bảo vệ ứng dụng web và dịch vụ mạng trước các mối đe dọa đang trở nên ngày càng quan trọng. Một trong những mối đe dọa phổ biến nhất mà các nhà phát triển và quản trị viên hệ thống phải đối mặt là kỹ thuật tấn công từ chối dịch vụ biểu thức chính quy (Regular Expression Denial of Service - ReDoS). ReDoS là một loại tấn công mạng có thể làm cho các ứng dụng web và dịch vụ mạng trở nên không khả dụng hoặc rất chậm bằng cách tận dụng các biểu thức chính quy phức tạp. Bài viết sẽ giới thiệu tới độc giả kỹ thuật ReDoS, đưa ra giải pháp phát hiện và ngăn chặn trên các ứng dụng Web và dịch vụ mạng.
08:00 | 22/12/2024
Trang web chuyên đăng tải các bài báo về phòng chống lừa đảo mạng Scam Sniffer cho biết, trong thời gian gần đây kẻ tấn công đã cài phần mềm chứa mã độc vào các trang web giả mạo được lập ra với mục đích để xác thực tài khoản Telegram của người dùng.
09:00 | 08/11/2024
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
16:00 | 19/09/2024
Hệ thống định vị vệ tinh toàn cầu (Global Navigation Satellite System - GNSS) là hệ thống xác định vị trí dựa trên vị trí của các vệ tinh nhân tạo, do Bộ Quốc phòng Hoa Kỳ thiết kế, xây dựng, vận hành và quản lý. Hệ thống GNSS ban đầu được dùng trong mục đích quân sự nhưng sau những năm 1980, Chính phủ Hoa Kỳ cho phép sử dụng GNSS vào mục đích dân sự ở phạm vi toàn cầu. Chính vì việc mở rộng phạm vi sử dụng nên đã dẫn đến các nguy cơ mất an toàn thông tin (ATTT) cho các hệ thống này. Bài báo sau đây sẽ giới thiệu các kỹ thuật tấn công mạng vào các hệ thống định vị toàn cầu.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025