Iworld.com.vn gửi tới độc giả tin tức sự tấn công của Ramsomware vào hệ thống máy ảo và các hệ điều hành như *nix
Trong một thời gian dài, các ransomware chủ yếu tập trung vào hệ điều hành Microsoft Windows. Và chúng tôi đã quan sát thấy ransomware chuyên dụng đang tấn công hệ điều hành Unix hoặc Linux, nhưng ransomware đa nền tảng vẫn chưa xảy ra. Tuy nhiên, tội phạm mạng không bao giờ ngủ và chúng tôi nhận thấy rằng một số băng nhóm ransomware, đang thử nghiệm viết mã nhị phân của chúng bằng ngôn ngữ đa nền tảng Golang (Go).
Nỗi sợ hãi tồi tệ nhất của chúng tôi đã được xác nhận khi nhóm Babuk thông báo trên một diễn đàn ngầm rằng, họ đang phát triển tệp nhị phân đa nền tảng nhằm vào các hệ thống Linux / UNIX và ESXi hoặc VMware. Nhiều hệ thống cốt lõi trong các công ty đang chạy trên các hệ điều hành * nix này, hoặc trong trường hợp ảo hóa, hãy nghĩ đến việc ESXi lưu trữ một số máy chủ hoặc môi trường máy tính PC ảo.
Chúng tôi đã đề cập ngắn gọn đến vấn đề này trong blog trước của mình, cùng với nhiều lỗi mã hóa mà nhóm Babuk đang mắc phải.
Mặc dù Babuk tương đối mới trong bối cảnh này, nhưng nó đã tích cực lây nhiễm cho các nạn nhân, bất chấp nhiều vấn đề với hệ nhị phân, dẫn đến việc không thể truy xuất tệp, ngay cả khi thanh toán đã được thực hiện.
Cuối cùng, những khó khăn mà các nhà phát triển Babuk gặp phải trong việc tạo ra mã độc tống tiền ESXi, có thể đã dẫn đến sự thay đổi trong mô hình kinh doanh, từ mã hóa sang đánh cắp dữ liệu và tống tiền.
Thật vậy, thiết kế và mã hóa cho công cụ giải mã được phát triển kém. Điều đó có nghĩa là, nếu các công ty quyết định trả tiền chuộc thì quá trình giải mã cho các tệp được mã hóa, có thể chậm và không có gì đảm bảo rằng tất cả các tệp sẽ có thể khôi phục được.
Giải pháp EPP của McAfee bao gồm Ransomware Babuk, với một loạt các kỹ thuật ngăn ngừa và phát hiện.
McAfee ENS ATP cung cấp giải pháp tập trung cho hành vi, vào việc chủ động phát hiện mối đe dọa, đồng thời cung cấp các IoC đã biết cho cả phát hiện trực tuyến và ngoại tuyến. Đối với các phát hiện dựa trên DAT, gia đình bạn sẽ được báo cáo là có Ransom-Babuk!. Ngoài ra, McAfee ENS ATP bổ sung thêm 2 lớp bảo vệ bổ sung, nhờ các quy tắc JTI cung cấp khả năng giảm bề mặt tấn công cho các hành vi ransomware và RealProtect (tĩnh và động), với các mô hình ML nhắm mục tiêu các mối đe dọa ransomware.
McAfee ENS ATP sẽ cập nhật về các chỉ số qua GTI và khách hàng của Insights sẽ tìm thấy hồ sơ mối đe dọa trên nhóm ransomware này, và luôn được cập nhật khi có thông tin mới và liên quan.
Ban đầu, trong nghiên cứu của chúng tôi các vectơ xâm nhập và các chiến thuật, kỹ thuật và thủ tục hoàn chỉnh (TTP) được sử dụng bởi bọn tội phạm đằng sau Babuk vẫn chưa rõ ràng.
Tuy nhiên, khi quảng cáo tuyển dụng liên kết của nó xuất hiện trực tuyến và được cung cấp địa điểm cụ thể cho cuộc họp bí mật, nơi nhóm Babuk đăng bài, thì những nhóm bảo mật có thể phát hiện ra các TTP tương tự với Babuk , như với các nhóm Ransomware-as-a-Service khác.
Trong bài đăng tuyển dụng của mình, nhóm Babuk đặc biệt yêu cầu những cá nhân có kỹ năng cao nhất. Vì vậy nhóm bảo mật nên đề phòng các dấu vết và hành vi liên quan đến các công cụ kiểm tra thâm nhập mã nguồn mở như winPEAS, Bloodhound và SharpHound, hoặc các công cụ hack như CobaltStrike, Metasploit, Empire hoặc Quy ước. Ngoài ra, hãy chú ý đến hành vi bất thường của các công cụ không độc hại, có chức năng kép, chẳng hạn những công cụ được sử dụng cho những việc như liệt kê và thực thi, ví dụ: ADfind, PSExec, PowerShell.
Nhìn vào các nhóm Ransomware-as-a-Service tương tự khác, chúng tôi đã thấy rằng một số vectơ xâm nhập nhất định khá phổ biến giữa các tội phạm ransomware như:
E-mail Spearphishing (T1566.001). Thường được sử dụng, để tham gia trực tiếp hoặc hỗ trợ email lừa đảo, cũng có thể được liên kết với phần mềm độc hại khác, hoạt động như một trình tải và điểm vào, để các băng đảng ransomware tiếp tục xâm phạm hoàn toàn mạng của nạn nhân. Chúng tôi đã quan sát điều này trong quá khứ với Trickbot và Ryuk, Emotet và Prolock, v.v.
Khai thác ứng dụng công khai (T1190) là một vectơ xâm nhập phổ biến khác. Bọn tội phạm mạng khao khát tin tức an ninh như khách hàng và luôn tìm cách khai thác tốt. Do đó, chúng tôi khuyến khích các tổ chức nhanh chóng và kịp thời áp dụng các bản vá lỗi. Có rất nhiều ví dụ trong quá khứ nơi các lỗ hổng liên quan đến phần mềm truy cập từ xa, máy chủ web, thiết bị mạng và tường lửa đã được sử dụng như một điểm vào.
Sử dụng tài khoản hợp lệ (T1078) là một phương pháp đã được chứng minh, để tội phạm mạng có thể xâm nhập. Và tại sao bạn bị xâm nhập khi bạn khóa cửa? Với quyền truy cập giao thức máy tính từ xa (RDP) được bảo vệ yếu, là một ví dụ điển hình của phương pháp xâm nhập này.
Các tài khoản hợp lệ cũng có thể được lấy thông qua phần mềm độc hại hàng hóa như kẻ lừa đảo, được thiết kế để lấy cắp thông tin đăng nhập từ máy tính của nạn nhân. Nhật ký Infostealer chứa hàng nghìn thông tin đăng nhập được bọn tội phạm ransomware mua, để tìm kiếm VPN và thông tin đăng nhập của công ty. Bên cạnh đó, Tổ chức của bạn nên quản lý thông tin xác thực mạnh mẽ và xác thực đa yếu tố trên tài khoản người dùng là điều tuyệt đối phải có.
Khi nói đến mã nhị phân ransomware thực tế, chúng tôi đặc biệt khuyên bạn nên cập nhật và nâng cấp tính năng bảo vệ đầu cuối của mình, cũng như bật các tùy chọn như bảo vệ giả mạo và khôi phục.
Một thông báo diễn đàn gần đây chỉ ra rằng, các nhà khai thác Babuk đang nhắm mục tiêu rõ ràng là hệ thống Linux / UNIX, cũng như hệ thống ESXi và VMware
Babuk gây thiệt hại từ những sai lầm mã hóa, làm cho quá trình phục hồi dữ liệu không thể đối với một số nạn nhân, ngay cả khi họ trả đòi tiền chuộc
Chúng tôi tin rằng những sai sót này trong phần mềm tống tiền, đã khiến tội phạm mạng chuyển từ đe dọa sang ăn cắp dữ liệu và tống tiền thay vì mã hóa.
Trân trọng cám ơn quý độc giả./.
Biên dịch: Lê Toản – Iworld.com.vn