Các vụ tấn công được cho là do một tổ chức nhà nước liên kết với Iran với biệt danh Agrius. Các nhà nghiên cứu cho biết: “Phân tích cho thấy dường như đây là một cuộc tấn công bằng mã độc tống tiền, chúng tiết lộ biến thể mới đã được triển khai trong một loạt các cuộc tấn công nhằm vào các mục tiêu của Israel gần đây. Các nhà điều hành đằng sau các cuộc tấn công cố tình che giấu hoạt động của họ như là các cuộc tấn công ransomware, một hành vi không phổ biến đối với các nhóm có động cơ tài chính”.
Phương thức hoạt động của nhóm liên quan đến việc triển khai phần mềm độc hại trên nền tảng .NET tùy chỉnh có tên là Apostle. Phần mềm này được phát triển để trở thành ransomware có đầy đủ chức năng và khả năng tự nâng cấp. Ngoài ra, nhóm tin tặc Agrius đã phát tán một lây nhiễm .NET có tên là IPsec Helper, nó có thể được sử dụng để lấy dữ liệu hoặc triển khai phần mềm độc hại bổ sung. Hơn nữa, chiến thuật của chúng đã cho thấy sự chuyển đổi từ hoạt động gián điệp sang đòi tiền chuộc nếu nạn nhân muốn khôi phục quyền truy cập vào dữ liệu được mã hóa.
Quy trình tấn công của Agrius (theo SentinelLabs)
Bên cạnh việc sử dụng ProtonVPN để ẩn danh, chu kỳ tấn công của Agrius khai thác các lỗ hổng 1-day trong các ứng dụng dựa trên web (bao gồm CVE-2018-13379). Sau đó, Agrius cung cấp các trình duyệt web ASPXSpy để duy trì quyền truy cập từ xa vào các hệ thống bị xâm phạm và thực thi các lệnh tùy ý .
Nghiên cứu cũng bổ sung thêm bằng chứng cho thấy các tổ chức được nhà nước được bảo trợ có quan hệ với chính phủ Iran đang ngày càng xem các hoạt động của ransomware như một kỹ thuật để bắt chước các nhóm ransomware có động cơ tài chính khác.
Nguyễn Chân
(Theo The hacker news)
13:00 | 18/05/2021
13:00 | 12/05/2021
10:00 | 10/11/2021
22:00 | 01/01/2022
08:00 | 17/03/2022
10:00 | 28/12/2020
17:00 | 28/07/2021
09:00 | 08/11/2024
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
08:00 | 26/08/2024
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
13:00 | 06/08/2024
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng nghiêm trọng mới trong Hệ thống phân giải tên miền (DNS) cho phép thực hiện một cuộc tấn công có tên là TuDoor. Cuộc tấn công này có thể được sử dụng nhằm vào bộ đệm DNS, khởi tạo các điều kiện để tấn công từ chối dịch vụ (DoS) và làm cạn kiệt tài nguyên, điều đó khiến nó trở thành mối đe dọa mới.
14:00 | 05/08/2024
Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Microsoft tiết lộ rằng, một nhóm tin tặc từ Trung Quốc được theo dõi với tên Storm-0940 đang sử dụng botnet Quad7 để dàn dựng các cuộc tấn công bằng cách dò mật khẩu (password spray) mà rất khó bị phát hiện.
16:00 | 15/11/2024
