CISA hợp tác với FBI phát hành bản cập nhật "Bản tư vấn an ninh mạng chung"
BlackSuit là một phiên bản tiến hóa của mã độc tống tiền (ransomware) Royal, nó tận dụng quyền truy cập ban đầu có được thông qua email lừa đảo để vô hiệu hóa phần mềm diệt virus và đánh cắp dữ liệu nhạy cảm trước khi triển khai mã độc tống tiền và mã hóa hệ thống. Các con đường lây nhiễm phổ biến khác bao gồm việc sử dụng Giao thức điều khiển máy tính từ xa (RDP), khai thác các ứng dụng dễ bị tấn công trên Internet và quyền truy cập được mua thông qua các nhà môi giới truy cập ban đầu (IAB).
BlackSuit được cho là đã sử dụng phần mềm và công cụ quản lý và giám sát từ xa (RMM) giống như phần mềm độc hại SystemBC và GootLoader để duy trì sự tồn tại trong mạng của nạn nhân.
Các cuộc tấn công bằng BlackSuit đã lan rộng trên nhiều lĩnh vực và cơ sở hạ tầng quan trọng bao gồm các cơ sở thương mại, chăm sóc sức khỏe và y tế công cộng, cơ sở chính phủ và một số cơ sở sản xuất quan trọng.
Ngày 07/8/2024, CISA hợp tác với FBI phát hành bản cập nhật: "Bản tư vấn an ninh mạng chung". Bản cập nhật cung cấp các chiến thuật, kỹ thuật và quy trình (TTP) gần đây đã được theo dõi cũng như các chỉ số về sự xâm phạm (IOC) liên quan đến hoạt động của BlackSuit và Royal cũ. Các cuộc điều tra của FBI đã xác định hoạt động của các TTP và IOC này gần đây nhất là vào tháng 7/2024. CISA khuyến khích các nhà sản xuất phần mềm cải thiện vấn đề bảo mật của khách hàng bằng cách áp dụng quy trình bảo mật theo thiết kế.
CISA và FBI cho biết: "BlackSuit đã được phát hiện sử dụng SharpShares và SoftPerfect NetWorx để rà quét các nạn nhân. Công cụ đánh cắp thông tin đăng nhập Mimikatz và các công cụ thu thập mật khẩu từ Nirsoft cũng đã được tìm thấy trên các hệ thống nạn nhân. Các công cụ như PowerTool và GMER thường được sử dụng để vượt qua các quy trình của hệ thống".
CISA và FBI đã cảnh báo về sự gia tăng các trường hợp nạn nhân nhận được thông tin qua điện thoại hoặc email từ các thành viên BlackSuit liên quan đến việc xâm phạm và đòi tiền chuộc, một chiến thuật ngày càng được các tin tặc tống tiền áp dụng để gia tăng sức ép.
Tin tặc sử dụng BlackSuit đã đòi số tiền chuộc tổng cộng lên tới 500 triệu USD, trong đó có một trường hợp đòi tiền chuộc lên tới 60 triệu USD.
CISA và FBI cho biết: "Tin tặc sử dụng BlackSuit thể hiện sự sẵn sàng đàm phán về số tiền thanh toán. Số tiền chuộc không phải là một phần của thông báo đòi tiền chuộc ban đầu, tin tặc yêu cầu phải tương tác trực tiếp với kẻ tấn công thông qua URL được cung cấp sau khi mã hóa".
Công ty an ninh mạng Sophos cho biết trong một báo cáo: "Trong những năm gần đây, tin tặc dường như ngày càng quan tâm không chỉ việc đe dọa các nạn nhân trực tiếp mà còn cả các nạn nhân gián tiếp. Ví dụ, vào tháng 01/2024, tin tặc đã gửi tin nhắn văn bản đe dọa đến vợ của một Giám đốc điều hành. Tin tặc còn tuyên bố đánh giá dữ liệu bị đánh cắp để tìm bằng chứng về hoạt động bất hợp pháp, không tuân thủ quy định và sai lệch tài chính, thậm chí còn tuyên bố rằng một nhân viên tại một tổ chức bị xâm phạm đã tìm kiếm tài liệu về lạm dụng tình dục trẻ em bằng cách đăng lịch sử trình duyệt web của họ. Những hành động như vậy không chỉ được sử dụng làm đòn bẩy để ép buộc nạn nhân trả tiền mà còn gây tổn hại đến danh tiếng của nạn nhân".
Nguyệt Thu
14:00 | 11/04/2024
13:00 | 30/09/2024
11:00 | 18/07/2024
14:00 | 02/10/2024
14:00 | 28/05/2024
17:00 | 10/10/2024
Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
14:00 | 17/09/2024
Nhà nghiên cứu bảo mật Alon Leviev của SafeBreach Labs đã trình bày một cách tấn công vào kiến trúc Microsoft Windows Update biến các lỗ hổng đã được sửa thành lỗ hổng zero-day.
09:00 | 02/08/2024
Chỉ vài ngày sau khi một lỗi trong phần mềm CrowdStrike khiến 8,5 triệu máy tính Windows bị sập, người dùng hệ điều hành này lại đang phải đối mặt với một vấn đề mới sau khi cài đặt bản cập nhật bảo mật tháng 7.
15:00 | 26/07/2024
Ngày 20/7, cảnh sát Tây Ban Nha thông báo đã bắt giữ ba tin tặc được cho là thực hiện vụ tấn công mạng nhằm vào Tây Ban Nha và các nước thành viên khác trong Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) với các mục đích khủng bố.
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024