Cách Trend Micro và các cộng sự đảm bảo an toàn cho khách hàng trước cuộc tấn công của mã độc tống tiền

Một trong những cuộc tấn công mạng táo bạo nhất trong những năm gần đây được đưa tin vào tháng 12/2020, các tin tặc nhắm vào chính phủ đã truyền mã cập nhật độc hại vào địa chỉ email khách hàng của một công ty CNTT. Cuộc tấn công lỗ hổng SolarWinds đã làm lộ thông tin của ít nhất 9 bộ phận của chính phủ Hoa Kỳ. Vào thời điểm đó, Trend Micro đã đưa ra lời cảnh báo đây chỉ là phần nổi của tảng băng chìm. Đáng tiếc thay, chúng tôi đã đúng. Hiện nay hàng ngàn khách hàng của nhiều công ty quản lý CNTT khác cũng có thể trở thành là đối tượng tiềm nắng của đợt tấn công tương tự như đợt tấn công vào Hãng công nghệ Kaseya của Mỹ.

Trong khi các cơ quan tình báo Hoa Kỳ tổ chức điều tra, Trend Micro và các khách hàng đối tác vẫn đang được bảo vệ thông qua nhiều lớp bảo mật an ninh mạng. Dưới đây là thông tin về sự kiện đã xảy ra và cách Trend Micro chúng tôi tiếp tục bảo vệ cho các tổ chức tham gia.

Chuyện gì đã xảy ra?
Cuộc tấn công nổ ra vào ngày 02/07/ 2021, ngay cuối tuần trước ngày Độc lập của Hoa Kỳ, đây có thể là một âm mưu đã được tính toán nhằm thâu tóm các tổ chức và đội bảo mật CNTT một cách bất ngờ. Bọn chúng nhắm đến bộ nền tảng VSA của công ty Kaseya, được khách hàng MSP sử dụng để tự động vá và điều khiển môi trường khách hàng của họ từ xa.

Theo như các bài báo cáo, một lỗ hỗng khai thác Zero-day đã cho phép tin tặc vượt quyền xác thực điều khiền, truy cập và tải lên một loạt mã độc vào hệ thống, sau đó thực hiện lệnh thông qua SQL Injection. Bằng cách này, chúng đã sử dụng VSA làm công cụ để đẩy một tập lệnh PowerShell độc hại có chứa mã tống tiền Revil lên hệ thống khách hàng MSP, sau đó đến trực tiếp khách hàng. Do VSA được thiết kế để hoạt động với các đặc quyền được nâng cao, mã độc giả danh bản cập nhật “Kaseya VSA Agent Hot-fix” đã được cài đặt trên tất cả hệ thống được quản lý.

Mã độc tống tiền Sodinokibi/Revil ( được phát hiện là Ransom.Win32.SODINOKIBI.YABGC ) đã vô hiệu hóa một số dịch vụ và dừng các quá trình liên quan đến phần mềm hợp pháp, bao gồm trình duyệt và các ứng dụng. Nó đồng thời chạy các lệnh để ẩn hoạt động của mình trước Microsoft Defender. Công ty Kaseya khuyến cáo các khách hàng bị ảnh hưởng bởi mã độc không bấm vào bất kì đường dẫn nào khi tin tặc liên lạc, bởi vì chúng có thể trang bị phần mềm độc hại.

 

Tác động là gì?
Nhóm Revil, hay đúng hơn là các nhánh thuộc diện thực hiện tấn công này, được cho rằng đã có ý định lấy tiền chuộc từ nhiều công ty khác nhau. Bọn chúng cũng yêu cầu 70 triệu đô-la tiền điện tử để đổi một “ bộ giải mã toàn cầu”, được đảm bảo rằng sẽ có hiệu quả với mọi đối tượng bị lây nhiễm.

Công ty Kaseya tuyên bố “khoảng 60” khách hàng MSP hiện hữu và khoảng 1500 tổ chức theo sau đã bị ảnh hưởng. Con số này đã bao gồm nhiều loại hình tổ chức khác nhau như siêu thị Thụy Điển, các trường học tại New Zealand và các công ty CNTT Hà Lan.

Chỉ có thể hy vọng một bản vá sẽ được triển khai sớm để đưa các khách hàng bị ảnh hưởng quay lại trực tuyến ngay trong ngày.

 

Cách Trend Micro giữ an toàn cho người dùng
Điều đáng mừng là phần mềm tống tiền được phát hiện bởi Trend Micro bằng giải pháp chống mã hộc hại. Trên thực tế, khả năng giám sát hành vi và mô hình dự đoán trí tuệ nhân tạo của chúng tôi đã phát hiện và bảo vệ chống lại các hình mẫu, trước khi các IOC cụ thể được thêm vào phương thức phát hiện hình mẫu thông thường. Chức năng này nằm trong phạm vi bảo mật Worry-Free của Trend Micro, cũng do tập đoàn Vodafone và các đối tác khác cung cấp để bảo vệ các doanh nghiệp nhỏ khỏi những mối đe dọa lớn như phần mềm tống tiền.

Ngoài ra, Trend Micro đang tích cực ngăn chăn một số véc-tơ lây nhiễm tên miền độc hại được biết có liên quan thông qua Trend Micro Web Reputation Services (WRS).

Cuối cùng, nền tảng our Trend Micro Vision One được tạo nên để phát hiện và ứng phó với phần mềm độc hại, cung cấp cho khách hàng khả năng phát hiện XDR từ các sản phẩm cơ bản như Apex One. Nó cũng giúp cho các tổ chức truy quét tìm các IOC để điều tra hoạt động tin tặc và tăng cường nghiên cứu điều tra.

Biên dịch bởi Thanh Hiền – Iworld.com.vn