Sự xuất hiện của biến thể mới đã được báo cáo bởi quản trị viên hệ thống trên một diễn đàn trực tuyến, tại đây một thành viên trong diễn đàn cũng đã tuyên bố rằng các tệp lớn hơn 128MB sẽ có 50% dữ liệu được mã hóa, khiến quá trình khôi phục trở nên khó khăn hơn. Một thay đổi đáng chú ý khác là việc xóa địa chỉ Bitcoin khỏi ghi chú đòi tiền chuộc, những tin tặc sẽ yêu cầu nạn nhân liên hệ với chúng trên ứng dụng giao tiếp trực tuyến được mã hóa đầu cuối – Tox để lấy thông tin giao dịch.
Công ty bảo mật thông tin trên Internet - Censys (Hoa Kỳ) cho biết trong một báo cáo: “Các tin tặc đã nhận ra rằng các nhà nghiên cứu đang theo dõi các khoản thanh toán của chúng và thậm chí chúng có thể đã biết trước khi phát tán mã độc tống tiền rằng quy trình mã hóa trong biến thể ban đầu tương đối dễ bị phá vỡ".
Số liệu thống kê được chia sẻ bởi nền tảng nguồn lực cộng đồng Ransomwhere tiết lộ rằng có tới 1.252 máy chủ đã bị lây nhiễm bởi phiên bản mới của ESXiArgs kể từ ngày 9/2/2023, trong đó có 1.168 máy chủ bị tái lây nhiễm. Kể từ khi bắt đầu bùng phát mã độc tống tiền vào đầu tháng 2/2023, hơn 3.800 máy chủ đã bị lây nhiễm. Phần lớn các máy chủ được đặt ở Pháp, Mỹ, Đức, Canada, Anh, Hà Lan, Phần Lan, Thổ Nhĩ Kỳ, Ba Lan và Đài Loan.
Số lượng máy chủ bị tái lây nhiễm (tính đến ngày 9/2/2023) tại một số nước trên thế giới
ESXiArgs, giống như mã độc tống tiền Cheerscrypt và PrideLocker, đều dựa trên bộ khóa Babuk, đã bị rò rỉ mã nguồn vào tháng 9/2021. Một khía cạnh quan trọng giúp phân biệt mã độc tống tiền này với các dòng mã độc tống tiền khác là nó không có trang web rò rỉ dữ liệu, cho thấy rằng nó không chạy trên mô hình mã độc tống tiền dịch vụ.
Công ty an ninh mạng Intel471 cho biết : “Số tiền chuộc được ấn định chỉ hơn 2 bitcoin (47.000 đô la Mỹ) và nạn nhân có ba ngày để thanh toán”. Mặc dù ban đầu các chuyên gia nghi ngờ rằng các vụ xâm nhập có liên quan đến việc lợi dụng lỗi OpenSLP đã xuất hiện từ 2 năm trước nhưng hiện đã được vá trong VMware ESXi (CVE-2021-21974), các cuộc thương lượng đã diễn ra trên các thiết bị đã tắt giao thức mạng.
Từ đó, VMware cho biết họ không tìm thấy bằng chứng nào cho thấy lỗ hổng zero-day trong phần mềm của họ đang được sử dụng để phát tán mã độc tống tiền. Điều này cho thấy rằng các tin tặc đứng đằng sau hoạt động này có thể đang tận dụng một số lỗ hổng đã biết trong ESXi để làm lợi thế, khiến người dùng bắt buộc phải nhanh chóng cập nhật lên phiên bản mới nhất. Các cuộc tấn công vẫn chưa được quy cho một tin tặc hoặc nhóm tin tặc đã biết nào.
Công ty dịch vụ an ninh mạng Arctic Wolf (Hoa Kỳ) chỉ ra rằng: "Dựa trên ghi chú đòi tiền chuộc, chiến dịch được liên kết với một tin tặc hoặc nhóm tin tặc duy nhất". "Bên cạnh đó, ngày càng nhiều các nhóm tin tặc mã độc tống tiền mới thành lập tiến hành OSINT (tình báo nguồn mở) trên các nạn nhân tiềm năng trước khi tiến hành lây nhiễm và đặt khoản thanh toán tiền chuộc dựa trên giá trị cảm nhận được".
Công ty an ninh mạng Rapid7 (Hoa Kỳ) cho biết họ đã tìm thấy 18.581 máy chủ ESXi kết nối Internet dễ bị tấn công bởi CVE-2021-21974, đồng thời cho biết thêm rằng nhóm tin tặc RansomExx2 đã nhân cơ hội nhắm mục tiêu vào các máy chủ ESXi.
Tony Lauro, Giám đốc chiến lược và công nghệ bảo mật của công ty cung cấp dịch vụ đám mây Akamai (Hoa Kỳ), cho biết: “Mặc dù hệ lụy kinh tế của các vụ tấn công này có vẻ không đáng kể, nhưng lâu dần những hệ lụy không đáng kể dồn lại sẽ thực sự gây ảnh hưởng đến các tổ chức khi tin tặc vẫn liên tục thực hiện các hành vi phạm pháp của chúng”. "Phần mềm tống tiền ESXiArgs là một ví dụ điển hình về lý do tại sao các quản trị viên hệ thống cần nhanh chóng thực hiện các bản vá sau khi chúng được phát hành, cũng như nắm bắt khoảng thời gian cần thiết để những tin tặc thực hiện thành công các cuộc tấn công của chúng. Tuy nhiên, bản vá chỉ là một trong nhiều cách phòng thủ mà chúng ta có thể dựa vào".
Huyền Anh
(theo Thehackernews)
08:00 | 10/02/2023
10:00 | 05/07/2023
12:00 | 16/03/2023
16:00 | 01/02/2023
16:00 | 05/04/2023
23:00 | 22/01/2023
12:00 | 03/10/2024
Mới đây, các chuyên gia bảo mật tại Kaspersky phát hiện ra 2 phần mềm có chứa mã độc Necro trên cửa hàng ứng dụng Play Store của Google. Đáng chú ý, 2 phần mềm độc hại này đã có tới hơn 11 triệu lượt tải xuống trước khi được các chuyên gia phát hiện.
13:00 | 27/08/2024
Ngân hàng Nhà nước Việt Nam ghi nhận gần đây có hiện tượng đối tượng lừa đảo, giả mạo giao diện hòm thư điện tử của Ngân hàng Nhà nước Việt Nam để gửi thông tin dẫn dụ người dân, khách hàng bấm vào đường link cập nhật thông tin sinh trắc học cho giao dịch ngân hàng.
08:00 | 26/08/2024
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
16:00 | 03/06/2024
Nhóm Tình báo mối đe dọa của Microsoft cho biết họ đã phát hiện một tác nhân đe dọa, được theo dõi dưới tên Storm-1811, đang lạm dụng công cụ quản lý khách hàng Quick Assist để nhắm mục tiêu vào người dùng trong các cuộc tấn công kỹ thuật xã hội.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Ivanti Virtual Traffic Manager (vTM) đang bị khai thác tích cực bởi các hacker.
14:00 | 02/10/2024