FBI cảnh báo về mã độc tống tiền BlackCat đã xâm phạm hơn 60 tổ chức trên toàn thế giới

07:00 | 12/05/2022 | HACKER / MALWARE

Cục Điều tra Liên bang Hoa Kỳ (FBI) đã phát đi cảnh báo về mã độc tống tiền BlackCat (còn được gọi là ALPHV và Noberus), xuất hiện từ tháng 11/2021 và tính đến tháng 3/2022 đã xâm phạm ít nhất 60 tổ chức trên toàn thế giới.

FBI cảnh báo về mã độc tống tiền BlackCat đã xâm phạm hơn 60 tổ chức trên toàn thế giới

BlackCat còn được gọi là ALPHV và Noberus, là phần mềm độc hại đầu tiên được viết bằng ngôn ngữ lập trình Rust với độ an toàn về bộ nhớ và cải thiện hiệu suất.

FBI cho biết: "Nhiều nhà phát triển và tội phạm rửa tiền cho BlackCat/ALPHV có liên kết với DarkSide/BlackMatter. Điều này cho thấy chúng có mạng lưới rộng lớn và kinh nghiệm với các hoạt động mã độc tống tiền".

Tiết lộ được đưa ra vài tuần sau khi Cisco Talos và Kasperksy báo cáo phát hiện những liên kết giữa các họ mã độc tống tiền BlackCat và BlackMatter, trong đó có cả việc sử dụng phiên bản sửa đổi của công cụ lọc dữ liệu có tên là Fendr mà trước đây chỉ được quan sát thấy trong hoạt động liên quan đến BlackMatter.

Theo AT&T Alien Labs: "Bên cạnh những lợi thế đang phát triển mà ngôn ngữ lập trình Rust mang lại, những kẻ tấn công còn lợi dụng khả năng phát hiện thấp hơn từ các công cụ phân tích tĩnh, vốn thường không thích ứng với tất cả các ngôn ngữ lập trình".

Giống như các nhóm RaaS khác, phương thức hoạt động của BlackCat liên quan đến việc đánh cắp dữ liệu của nạn nhân trước khi thực thi mã hóa tống tiền. Phần mềm độc hại này thường tận dụng thông tin đăng nhập của người dùng bị xâm phạm để chiếm quyền truy cập ban đầu vào hệ thống mục tiêu.

Nhà nghiên cứu Vedere Labs của Forescout đã phân tích một sự cố ransomware BlackCat và thấy rằng tường lửa SonicWall tiếp xúc với Internet đã bị xâm nhập để chiếm quyền truy cập ban đầu vào mạng. Sau đó, chúng sẽ mã hóa công cụ giám sát máy ảo VMware ESXi. Việc triển khai mã độc tống tiền được cho là đã diễn ra từ ngày 17/3/2022.

Cơ quan thực thi pháp luật khuyến nghị các nạn nhân báo cáo kịp thời các sự cố mã độc tống tiền, đồng thời khuyến cáo họ không nên trả tiền chuộc vì không có gì đảm bảo rằng điều này sẽ giúp họ khôi phục lại được các tệp đã được mã hóa. Tuy nhiên, các nạn nhân có thể buộc phải tuân theo những yêu cầu đó để bảo vệ cổ đông, nhân viên và khách hàng của họ.

FBI đang kêu gọi các tổ chức kiểm tra lại trình điều khiển tên miền, máy chủ, máy trạm và thư mục hoạt động cho các tài khoản người dùng mới hoặc chưa xác thực, thực hiện sao lưu ngoại tuyến, phân đoạn mạng, áp dụng cập nhật phần mềm và bảo mật tài khoản bằng xác thực đa yếu tố.

Nguyễn Chân

‹ › ×

Tin liên quan

Câu chuyện của năm 2021: Ransomware

19:00 | 27/01/2022

Trong năm 2021, từ “ransomware” (mã độc tống tiền) đã xuất hiện tại vô số các trang báo trên thế giới: từ Wall Street Journal, BBC, tới tờ New York Times. Thuật ngữ này không còn bị giới hạn sử dụng bởi các CISO hay các chuyên gia bảo mật, nó đã trở nên quen thuộc với cả các chính trị gia, giám đốc bệnh viện và quản lý trường học. Những từ ngữ như “Babuk” và “Revil” trở nên phổ biến trong cuộc sống thường nhật. Mối đe dọa này không loại trừ một ai, bất kể người làm việc trong lĩnh vực bảo mật hay công nghệ hay không và nó đang có tác động trực tiếp tới cuộc sống của nhiều người.

Các ứng dụng của Google Play chứa phần mềm độc hại Facestealer

09:00 | 19/05/2022

Các nhà nghiên cứu vừa phát hiện ra các phần mềm độc hại được thiết kế để đánh cắp thông tin đăng nhập tài khoản Facebook của người dùng trên nền tảng Android. Hiện tại những phần mềm này vẫn tồn tại trên các ứng dụng của Google Play.

FBI đưa ra 5 khuyến nghị về an ninh mạng cho thiết bị y tế

08:00 | 12/10/2022

Các thiết bị y tế thường được sản xuất để sử dụng trong nhiều bệnh viện, cơ sở khám chữa bệnh, nhưng hiện nay tình trạng phần mềm của nhiều thiết bị y tế đã lỗi thời vì không được nhà sản xuất hỗ trợ các bản vá bảo mật, khiến chúng dễ bị tấn công mạng. Đặc biệt trong bối cảnh hiện nay, tin tặc ngày càng đa dạng hóa các hình thức tấn công như khai thác các lỗ hổng bảo mật không được cập nhật thường xuyên, tấn công bằng mã độc tống tiền, tấn công giả mạo,... Điều này dẫn tới việc các thiết bị y tế, chăm sóc sức khỏe có nguy cơ cao bị tấn công, đe dọa trực tiếp tới những người bệnh.

Hạn chế rủi ro từ các phần mềm ransomware đối với các hệ thống công nghệ thông tin của chính phủ

12:00 | 29/05/2021

Tội phạm phạm thường thực hiện các cuộc tấn công mạng theo chiến lược ngắn gọn và có khả năng áp dụng được với nhiều ngành nghề. Hệ thống công nghệ thông tin của chính phủ đã được chứng minh là đặc biệt quan trọng khi phải đối mặt với một cuộc tấn công mạng. Hệ thống này cần phải có thêm trách nhiệm duy trì cơ sở hạ tầng ngay cả khi cơ sở hạ tầng đó bị xâm phạm. Khi kẻ tấn công vẫn tiếp tục tìm cách gây rối thông qua các cuộc tấn công và tận dụng bất kỳ dữ liệu nào có thể giữ làm con tin, thì tống tiền dữ liệu vẫn là phương thức tốt nhất để chúng đạt điều đó.

Bộ Ngoại giao Mỹ treo thưởng 10 triệu USD truy tìm nhóm tin tặc Blackcat

08:00 | 09/04/2024

Bộ Ngoại giao Mỹ tuyên bố sẽ trao phần thưởng trị giá lên tới 10 triệu USD cho thông tin về Blackcat - nhóm tin tặc đã tấn công Công ty quản lý dịch vụ chăm sóc sức khỏe UnitedHealth hồi tháng 2.

FBI vô hiệu hóa mã độc của nhóm tin tặc nổi tiếng ở Nga

14:00 | 19/05/2023

Sau nhiều năm theo dõi đến trung tuần tháng 5 vừa qua, các đặc vụ của FBI (Mỹ) đã phát triển thành công ứng dụng Perseus nhằm vô hiệu hóa phần mềm độc hại tàng hình được một nhóm tin tặc nổi tiếng của Nga cài đặt trên hàng trăm máy tính trên khắp thế giới.

Gia tăng mã độc tấn công ứng dụng ngân hàng tại Việt Nam

17:00 | 20/06/2022

Số vụ tấn công vào ứng dụng ngân hàng tại Việt Nam gần đây gia tăng đáng kể. Một báo cáo của Kaspersky cho thấy số lượng mã độc được các phần mềm của hãng này ngăn chặn đã gia tăng tại Việt Nam trong năm 2021.

Luna và Black Basta: Mã độc tống tiền mới trên các hệ thống Windows, Linux và ESXi

18:00 | 16/08/2022

Hiện nay, các chiến dịch tấn công sử dụng mã độc tống tiền không chỉ nhắm mục tiêu vào hệ điều hành Windows, mà còn cả trên Linux và hệ thống ảo hóa ESXi. Các nhà nghiên cứu bảo mật của Kaspersky cho biết về sự xuất hiện gần đây của hai dòng mã độc tống tiền có khả năng mã hóa các hệ thống trên là Luna và Black Basta.

Phần mềm độc hại Process Manager nghe lén người dùng

10:00 | 08/04/2022

Các nhà nghiên cứu tại Lab52 (Italy) đã phát hiện phần mềm độc hại Process Manager có khả năng ghi lại âm thanh, theo dõi vị trí của người dùng. Ứng dụng độc hại này ẩn giấu bên trong một số ứng dụng trên Google Play.

Tin cùng chuyên mục

Chính phủ Pháp bị tấn công mạng

16:00 | 15/03/2024

Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.

Phân tích phần mềm độc hại mới đánh cắp ví tiền điện tử trong các ứng dụng bẻ khóa trên macOS

14:00 | 22/02/2024

Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.

AnyDesk bị tấn công mạng

11:00 | 07/02/2024

Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.

Tin tặc lợi dụng khai thác MultiLogin của Google để chiếm quyền điều khiển phiên người dùng

10:00 | 31/01/2024

Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.