Mã độc này có tên gọi là “WhisperGate”, được thiết kế ngụy trang trông có vẻ tương tự như ransomware, nhưng thiếu cơ chế khôi phục dữ liệu, nhằm mục đích phá hoại và khiến các hệ thống mục tiêu bị tê liệt và không thể hoạt động được.
Viktor Zhora, một quan chức cấp cao của cơ quan an ninh mạng Ukraine (SSSCIP) chia sẻ rằng, qua rà soát các quản trị viên phát hiện nhiều máy tính bị khóa và hiển thị thông báo yêu cầu 10.000 USD Bitcoin, tuy nhiên ổ cứng đã bị hỏng và không thể phục hồi khi khởi động lại chúng. Cùng với đó, đang cố gắng xem liệu điều này có liên quan đến một cuộc tấn công lớn hơn hay không.
Thông báo trả tiền chuộc của mã độc WhisperGate
Hiện tại, Microsoft đã xác định được mã độc WhisperGate trên hàng chục hệ thống bị ảnh hưởng và cảnh báo con số đó dự kiến có thể tiếp tục tăng lên. Các hệ thống này trải dài trên nhiều cơ quan của chính phủ, các tổ chức phi lợi nhuận và công nghệ thông tin, tất cả đều có trụ sở tại Ukraine.
Trước đó, vào ngày 13/1/2022, Microsoft đã phát hiện ra loại này và cho rằng, cuộc tấn công được bắt nguồn từ một nhóm tin tặc mới nổi được gán mã theo dõi là “DEV-0586”.
Theo Microsoft Threat Intelligence Center (MSTIC) và Microsoft Digital Security Unit (DSU) cảnh báo rằng, chuỗi tấn công mã độc là một quá trình bao gồm hai giai đoạn:
Ghi đè Master Boot Record (MBR): mã độc sẽ ghi đè lên bản ghi khởi động chính của máy tính hoặc MBR, thông tin trên ổ cứng cho máy tính biết cách tải hệ điều hành của nó, để hiển thị thông báo giả đòi tiền chuộc, mục tiêu là phải trả số tiền 10.000 USD vào ví bitcoin.
Một tệp thực thi giai đoạn hai sẽ truy xuất để làm hỏng tệp được lưu trữ, sau đó ghi đè nội dung của chúng bằng một số byte 0xCC cố định và đổi tên mỗi tệp bằng 4byte ngẫu nhiên.
Theo : “Phương thức này không phù hợp với hoạt động thông thường của ransomware, vì số tiền thanh toán được hiển thị rõ ràng và địa chỉ ví tiền điện tử hiếm khi được chỉ định trong các ghi chú đòi tiền chuộc, đồng thời ghi chú tiền chuộc trong trường hợp này không bao gồm ID tùy chỉnh.
Diễn biến này xảy ra khi nhiều trang web của chính phủ ở quốc gia Đông Âu này đã bị tấn công trước đó vào ngày 14/1, với thông báo cảnh báo rằng dữ liệu cá nhân của họ đã được tải công khai lên Internet. Cơ quan An ninh Ukraine (SSU) cho biết họ phát hiện các dấu hiệu tấn công có nhiều sự liên hệ đến các nhóm tin tặc liên quan đến cơ quan tình báo Nga.
Trong một diễn biến khác, Reuters đã đưa ra khả năng rằng các cuộc tấn công có thể là hoạt động của một nhóm gián điệp có liên quan đến tình báo Belarus được theo dõi là “UNC1151” và “Ghostwriter”.
Theo các nhà nghiên cứu: Với quy mô và mức độ nghiêm trọng của các cuộc tấn công được quan sát, MSTIC không thể đánh giá ý định mục đích cuối cùng, nhưng tin rằng những hành động này cho thấy sự rủi ro cao đối với bất kỳ cơ quan chính phủ, tổ chức phi lợi nhuận hoặc doanh nghiệp nào có hệ thống được đặt tại Ukraine.
Đinh Hồng Đạt (Theo The Hacker News)
17:00 | 28/01/2022
13:00 | 25/02/2022
09:00 | 28/12/2021
16:00 | 30/12/2021
13:00 | 28/02/2022
14:00 | 07/03/2022
14:00 | 04/03/2022
13:00 | 28/02/2022
14:00 | 08/12/2021
10:00 | 02/03/2022
09:00 | 08/07/2022
17:00 | 22/11/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Group-IB (Singapore) vừa phát hiện một chiến dịch tấn công mạng mới vô cùng tinh vi, lạm dụng các thuộc tính mở rộng của tệp macOS để phát tán một loại Trojan mới có tên gọi là “RustyAttr”. Bài viết này sẽ cùng phân tích và tìm hiểu về kỹ thuật tấn công này, dựa trên báo cáo của Group-IB.
10:00 | 19/11/2024
Các cuộc tấn công vào chuỗi cung ứng phần mềm trong vài năm gần đây đã để lại nhiều bài học đắt giá. Những sự cố này không chỉ gây thiệt hại tài chính mà còn ảnh hưởng đến niềm tin vào độ bảo mật của các dịch vụ công nghệ. Bài báo này điểm qua 10 cuộc tấn công chuỗi cung ứng phần mềm nổi bật và những bài học kinh nghiệm.
16:00 | 15/11/2024
Microsoft tiết lộ rằng, một nhóm tin tặc từ Trung Quốc được theo dõi với tên Storm-0940 đang sử dụng botnet Quad7 để dàn dựng các cuộc tấn công bằng cách dò mật khẩu (password spray) mà rất khó bị phát hiện.
07:00 | 07/11/2024
Ngày 30/10, nền tảng LottieFiles đã phát đi cảnh báo về cuộc tấn công chuỗi cung ứng nhắm vào gói npm "lottie-player" của họ. Kẻ tấn công đã lén lút cài mã độc vào các phiên bản mới của gói này nhằm chiếm đoạt tiền điện tử từ ví của người dùng.
Cisco đã xử lý lỗ hổng nghiêm trọng định danh CVE-2024-20418 cho phép kẻ tấn công thực thi lệnh với quyền root trên các điểm truy cập Ultra-Reliable Wireless Backhaul (URWB) dễ bị tấn công.
13:00 | 18/11/2024