Hơn 5.000 lượt tấn công ở 22 quốc gia bởi chiến dịch Ransomware Revil

07:00 | 06/08/2021 | HACKER / MALWARE

Ngày 02/7/2021, băng nhóm Ransomware Revil đã gây ra một cuộc tấn công lớn nhắm vào các nhà cung cấp dịch vụ (Managed Service Providers - MSPs) và các khách hàng của họ trên toàn cầu. Điều này dẫn đến hàng nghìn công ty có thể trở thành nạn nhân tiềm năng của loại ransomware này.

Revil (hay còn gọi là Sodinokibi) là một trong các nhóm mã độc tống tiền dạng dịch vụ (Ransomware as a Service - RaaS), hoạt động tích cực kể từ lần đầu xuất hiện vào năm 2019. Trong cuộc tấn công mới này, Revil đã lây nhiễm vào một nhà cung cấp phần mềm quản lý công nghệ thông tin cho MSP, gây ảnh hưởng đến nhiều công ty trên toàn thế giới. Những kẻ tấn công đã triển khai một tệp tin độc hại qua tệp lệnh PowerShell, để thực thi lệnh từ xa qua phần mềm của nhà cung cấp MSP.

Tệp lệnh này đã vô hiệu hóa các tính năng bảo vệ cho thiết bị đầu cuối của Microsoft Defender và sau đó giải mã một tệp tin thực thi nguy hại, bao gồm một tệp hợp pháp khác của Microsoft - phiên bản cũ hơn của Microsoft Defender cùng một thư viện độc hại chứa ransomware Revil. Sử dụng kết hợp các thành phần này trong payload, những kẻ tấn công có thể khai thác kỹ thuật DLL Side-loading và tấn công nhiều tổ chức khác.

Hơn 5.000 lượt tấn công ở 22 quốc gia bởi chiến dịch Ransomware Revil

Bản đồ các vị trí mà ransomware Revil nỗ lực tấn công

Dựa trên dịch vụ Threat Intelligence, Kaspersky quan sát được hơn 5.000 lượt nỗ lực tấn công tại 22 quốc gia. Trong đó ảnh hưởng lớn nhất là Ý (45,2%), Mỹ (25,91%), Comlombia (14,83$), Đức (3,21%) và Mexia (2,21%).

Các băng nhóm ransomware và hệ thống bán hàng tiếp thị liên kết (Affiliate) của chúng tiếp tục phát triển sau các cuộc tấn công nổi tiếng nhắm vào Colonial Pipeline và JBS, cũng như nhiều tổ chức khác. Lần này Revil đã thực hiện một cuộc tấn công quy mô lớn nhắm vào các MSP và khiến lây nhiễm mở rộng đến hàng nghìn doanh nghiệp trên khắp thế giới. Một lần nữa tầm quan trọng của việc triển khai các biện pháp và giải pháp an ninh mạng phù hợp ở tất cả giai đoạn của các nhà cung cấp và đối tác trở thành vấn đề rất quan trọng.

Để giúp các tổ chức có thể bảo vệ khỏi các cuộc tấn công bởi ransomware tiên tiến, Kaspersky khuyến nghị:

- Sử dụng giải pháp bảo vệ thiết bị đầu cuối tin cậy với các tính năng ngăn chặn khai thác, phân tích hành vi và bộ engine khôi phục sẽ cho phép hoàn tác các hành vi nguy hại.

- Không cho phép các dịch vụ điều khiển máy tính từ xa (như Remote Desktop) hoạt động trong các vùng mạng công cộng, trừ khi thật sự cần thiết và luôn sử dụng mật khẩu mạnh.

- Nhanh chóng cài đặt các bản vá bảo mật trên tất cả thiết bị sử dụng để ngăn chặn ransomware khai thác các lỗ hổng.

- Tập trung vào chiến lược phòng thủ trong việc phát hiện xâm nhập, mở rộng tấn công và đánh cắp dữ liệu đưa lên Internet. Đặc biệt, cần chú ý đến lưu lượng mạng gửi đi (outgoing) để phát hiện các kết nối độc hại.

- Luôn sao chép dữ liệu định kỳ, đảm bảo có thể truy cập nhanh chóng khi cần thiết.

- Sử dụng dịch vụ Threat Intelligence uy tín để được cập nhật và nắm rõ các kỹ thuật, chiến thuật tấn công mới.

- Luôn đào tạo nhận thức an toàn thông tin cho nhân viên.

Trọng Huấn

‹ › ×

Tin liên quan

Nhóm tin tặc Revil tấn công nhà thầu vũ khí hạt nhân Sol Oriens của Mỹ

15:00 | 23/06/2021

Băng đảng ransomware REvil lại tiếp tục gây xôn xao dư luận khi vừa thực hiện cuộc tấn công vào nhà thầu vũ khí hạt nhân Sol Oriens của Mỹ và đánh cắp dữ liệu của họ.

Gia tăng tấn công bằng mã độc tống tiền vào các nhà sản xuất máy tính

16:00 | 16/08/2021

Đầu tháng 8/2021, Gigabyte trở thành cái tên mới nhất phải hứng chịu các cuộc tấn công bằng mã độc tống tiền.

Tấn công bằng mã độc tống tiền vào hệ thống thông tin y tế

10:00 | 14/09/2021

Năm 2020 đã chứng kiến các cuộc tấn công sử dụng mã độc ransomware liên tục diễn ra với quy mô và cách thức ngày càng phức tạp. Thông qua 3 hình thức chính để tấn công vào các hệ thống: lây nhiễm mã độc từ các máy tính sử dụng dịch vụ đăng nhập từ xa; tấn công thông qua hình thức “drive-by” và tấn công thông qua các Email lừa đảo. Hậu quả mà các cuộc tấn công này để lại đối với các tổ chức, doanh nghiệp bị tấn công là rất lớn, do những kẻ tấn công sau khi tiến hành cài đặt thành công ransomware trên máy tính sẽ mã hóa tất cả dữ liệu và đòi tiền chuộc.

Các cuộc tấn công mạng nguy hiểm lan mạnh toàn cầu

17:00 | 12/07/2021

Một trong những cuộc tấn công mạng bằng mã độc tống tiền lớn nhất trong lịch sử đã lan rộng toàn cầu vào ngày 2/7 buộc chuỗi siêu thị Thuỵ Điển Coop đóng tất cả 800 cửa hàng vì không thể vận hành các máy tính tiền.

5 điều quan trọng cần thực hiện khi bị tấn công ransomware

10:00 | 12/11/2021

Tin tặc đang ngày càng sử dụng ransomware như một công cụ hiệu quả để tấn công vào các tổ chức/doanh nghiệp (TC/DN) nhằm mục đích tống tiền và tài trợ cho các hoạt động độc hại khác. Theo báo cáo hoạt động về mã độc tống tiền do VirusTotal và Google phối hợp thực hiện được công bố vào tháng 10/2021 cho thấy, các cuộc tấn công ransomware tại Việt Nam đã tăng 200% so với thời điểm ban đầu. Thậm chí, trong năm 2021 ước tính cứ 11 giây trên thế giới lại xảy ra một cuộc tấn công ransomware. Tuy nhiên, nếu bị tấn công thì các TC/ DN phải làm gì? Dưới đây là 5 điều quan trọng cần làm để giảm thiểu thiệt hại khi bị tấn công ransomware.

Microsoft giới thiệu Chương trình Bảo mật cho Tổ chức phi lợi nhuận

07:00 | 06/12/2021

Gã khổng lồ công nghệ Microsoft đã giới thiệu chương trình bảo mật mới để đem đến cho các tổ chức phi lợi nhuận khả năng bảo mật bổ sung trong trường hợp xảy ra cuộc tấn công cấp quốc gia.

Mã độc tống tiền: mối nguy hiểm chưa có lời giải đáp

18:00 | 15/07/2021

Mất tiền chuộc, doanh thu, rò rỉ thông tin quan trọng, tổn hại đến thương hiệu và danh tiếng, phải sa thải nhân viên, thậm chí phải đóng cửa doanh nghiệp là một số hậu quả của tấn công mã độc tống tiền để lại cho các tổ chức/doanh nghiệp.

Tin cùng chuyên mục

Vén màn chiến dịch gián điệp mạng LightSpy

11:00 | 26/04/2024

Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.

Quỹ Tiền tệ Quốc tế bị tấn công mạng

15:00 | 25/03/2024

Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.

Chính phủ Pháp bị tấn công mạng

16:00 | 15/03/2024

Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.

29 họ phần mềm độc hại nhắm mục tiêu 1.800 ứng dụng ngân hàng trên toàn thế giới

14:00 | 16/01/2024

Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.