Các vụ tấn công được cho là do một tổ chức nhà nước liên kết với Iran với biệt danh Agrius. Các nhà nghiên cứu cho biết: “Phân tích cho thấy dường như đây là một cuộc tấn công bằng mã độc tống tiền, chúng tiết lộ biến thể mới đã được triển khai trong một loạt các cuộc tấn công nhằm vào các mục tiêu của Israel gần đây. Các nhà điều hành đằng sau các cuộc tấn công cố tình che giấu hoạt động của họ như là các cuộc tấn công ransomware, một hành vi không phổ biến đối với các nhóm có động cơ tài chính”.
Phương thức hoạt động của nhóm liên quan đến việc triển khai phần mềm độc hại trên nền tảng .NET tùy chỉnh có tên là Apostle. Phần mềm này được phát triển để trở thành ransomware có đầy đủ chức năng và khả năng tự nâng cấp. Ngoài ra, nhóm tin tặc Agrius đã phát tán một lây nhiễm .NET có tên là IPsec Helper, nó có thể được sử dụng để lấy dữ liệu hoặc triển khai phần mềm độc hại bổ sung. Hơn nữa, chiến thuật của chúng đã cho thấy sự chuyển đổi từ hoạt động gián điệp sang đòi tiền chuộc nếu nạn nhân muốn khôi phục quyền truy cập vào dữ liệu được mã hóa.
Quy trình tấn công của Agrius (theo SentinelLabs)
Bên cạnh việc sử dụng ProtonVPN để ẩn danh, chu kỳ tấn công của Agrius khai thác các lỗ hổng 1-day trong các ứng dụng dựa trên web (bao gồm CVE-2018-13379). Sau đó, Agrius cung cấp các trình duyệt web ASPXSpy để duy trì quyền truy cập từ xa vào các hệ thống bị xâm phạm và thực thi các lệnh tùy ý .
Nghiên cứu cũng bổ sung thêm bằng chứng cho thấy các tổ chức được nhà nước được bảo trợ có quan hệ với chính phủ Iran đang ngày càng xem các hoạt động của ransomware như một kỹ thuật để bắt chước các nhóm ransomware có động cơ tài chính khác.
Nguyễn Chân
(Theo The hacker news)
13:00 | 18/05/2021
13:00 | 12/05/2021
10:00 | 10/11/2021
22:00 | 01/01/2022
08:00 | 17/03/2022
10:00 | 28/12/2020
17:00 | 28/07/2021
16:00 | 19/08/2024
Công ty sản xuất vàng Evolution Mining, một trong những nhà sản xuất vàng lớn nhất của Úc (cũng có mặt tại Canada) đã thông báo rằng, công ty bị tấn công bằng mã độc tống tiền vào ngày 08/8. Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hệ thống công nghệ thông tin của công ty.
10:00 | 14/08/2024
Trong bối cảnh khoa học công nghệ đang ngày càng phát triển, đi cùng với đó là những nguy cơ gây mất an ninh, an toàn thông tin đang ngày càng phổ biến. Một trong số những nguy cơ người dùng dễ gặp phải đó là bị lây nhiễm mã độc tống tiền (ransomware) trên thiết bị di động. Sau khi xâm nhập trên thiết bị di động, mã độc sẽ tự động mã hóa các dữ liệu có trên thiết bị đó hoặc ngăn chặn các phần mềm được kích hoạt trên smartphone, đồng thời sẽ yêu cầu người dùng phải trả tiền cho các tin tặc đứng sau như một hình thức trả tiền chuộc, gây thiệt hại vô cùng lớn cho nạn nhân. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên điện thoại di động dễ bị tin tặc tấn công. Qua đó, cũng đề xuất một số khuyến nghị nâng cao cảnh giác khi sử dụng di động, góp phần cho công tác phòng, chống phần mềm độc hại và chia sẻ dữ liệu mã độc.
13:00 | 13/08/2024
Các nhà nghiên cứu bảo mật tại Cleafy Labs (Italy) phát hiện ra một phần mềm độc hại Android mang tên BingoMod nguy hiểm, có thể đánh cắp tiền và xóa sạch dữ liệu của người dùng.
13:00 | 06/06/2024
Hàng loạt các ransomware như LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat và Cheerscrypt... đã nhắm mục tiêu vào cơ sở hạ tầng VMware ESXi theo một chuỗi hành động tương tự nhau.
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
10:00 | 23/08/2024