Phát hiện phần mềm tống tiền 'Lockbit ransomware' trên máy chủ của chính phủ Mỹ

Đào Công
17/04/2022 15:22
D

Theo Sophos, các "tin tặc" sử dụng phương thức xâm nhập mở các cổng RDP trên tường lửa đã được cấu hình trên hệ thống để cung cấp quyền truy cập công khai vào máy chủ của một cơ quan chính phủ Mỹ.

Ảnh: Sophos Lap

Mới đây, công ty an ninh mạng Sophos đã phát hiện các cuộc tấn công của mã độc Lockbit ransomware nhằm vào mạng máy tính của một cơ quan chính phủ Mỹ. Phát hiện cho thấy một số phương pháp được tin tặc sử dụng khi khai thác lỗ hổng trong các thiết bị liên bang. 

Một cuộc tấn công được nêu rõ trong báo cáo cho thấy rằng các nhóm ransomware dành ít nhất 5 tháng để rà soát các tệp và hệ thống của cơ quan chính phủ Mỹ trong khu vực trước khi triển khai một cuộc tấn công bằng mã độc LockBit ransomware vào máy tính bị ảnh hưởng.

Cách hacker "tấn công" máy tính của chính phủ

Trong khoảng thời gian gần nửa năm, tin tặc đã tấn công vào mục tiêu đã được xác định trong mạng máy tính, họ sử dụng trình duyệt Google Chrome để tìm và cài đặt các công cụ tấn công vào máy chủ bị ảnh hưởng. Các thành phần bị tấn công như: bộ cài mật khẩu và công cụ khai thác tiền điện tử đã được cài đặt trên máy tính, cùng với các tập lệnh và tệp cấu hình tùy chỉnh cho ransomware.

Cuộc tấn công được đánh giá là sử dụng phương thức không quá phức tạp, bằng việc họ cố gắng sử dụng phần mềm quản lý công nghệ thông tin để tránh bị phát hiện, thông qua việc sử dụng các công cụ truy cập từ xa như ScreenConnectAnyDesk.

Sophos cho biết đã phát hiện trong quá trình thiết lập hệ thống, nhóm Công nghệ thông tin đã để ngỏ các cổng RDP trên tường lửa để truy cập công khai vào máy chủ, cho phép nhóm hack được đề cập xâm nhập.

Sau khi quyền truy cập từ xa được kích hoạt, phần mềm tống tiền LockBit ransomware đã được triển khai trên hệ thống bằng cách tận dụng lỗ hổng hệ thống. Các bên độc hại đã cố gắng che đậy dấu vết sau khi hoàn thành bằng cách xóa các tệp nhật ký. Tuy nhiên, Sophos đã nghi ngờ những hành vi này do những kẻ tấn công mạng tinh vi gây ra và họ đã xây dựng lại kịch bản, các bước của vụ tấn công được thực hiện trên máy chủ diễn ra như thế nào.

Được xây dựng lại từ nhật ký, các nhà phân tích của Sophos đã tìm thấy bằng chứng cho thấy các tác nhân đe dọa đã tìm kiếm (sau đó tải xuống) các công cụ bằng trình duyệt Chrome mà họ đã cài đặt trên máy chủ bị xâm phạm. Ảnh: Sophos Lap

Ngoài các tập lệnh và tệp cấu hình tùy chỉnh khác nhau được sử dụng bởi các công cụ hack mà những kẻ tấn công đã cài đặt, Sophos đã tìm thấy nhiều phần mềm độc hại khác như: password brute-forcers, tới Cryptominers, đến các phiên bản vi phạm bản quyền của phần mềm máy khách VPN thương mại. Cũng có bằng chứng cho thấy những kẻ tấn công đã sử dụng các công cụ phần mềm miễn phí như PsExec, FileZilla, Process Explorer hoặc GMER để thực hiện các lệnh, di chuyển dữ liệu từ máy này sang máy khác và khống chế các hệ thống bảo mật trên máy chủ.

Bằng chứng để lại cho thấy những kẻ tấn công sử dụng các công cụ như GMER, IObit Unlocker và Process Hacker để cố gắng vô hiệu hóa hệ thống bảo vệ. Ảnh: Sophos Lap

Theo Sophos, kẻ tấn công đã kết nối máy chủ từ xa và cài đặt công cụ dò mật khẩu Mimikatz và một công cụ thu thập thông tin đăng nhập khác có tên là LaZagne. 

Kẻ tấn công Lockbit đã sử dụng nhiều kết nối RDP nội bộ và ứng dụng khách Windows SSH PuTTY và cài đặt ScreenConnect, trong thời gian ngắn. Ảnh: Sophos Lap

Sophos cũng cho biết, dấu vết địa chỉ IP của "tin tặc" cho thấy các kết nối từ các địa chỉ IP định vị địa lý đến Iran, Nga, Bulgaria, Ba Lan, Estonia và… Canada. Nhận định của Sophos "những địa chỉ IP này có thể là nút thoát Tor".

Theo Sophos, các nhà phân tích của phòng thí nghiệm của họ đã xác định địa chỉ IP của "tin tặc" là 91.191.209.198:4444  và mã shell liên quan ATK / Tlaboc-A và ATK / Shellcode-A. Các nhà phân tích của Sophos cùng với đội ngũ công nghệ thông tin đã thu thập bằng chứng và nhanh chóng đóng cửa các máy chủ cung cấp cho những kẻ tấn công quyền truy cập từ xa và làm việc để xóa phần mềm độc hại khỏi các máy chưa được mã hóa.

Theo Tạp chí Điện tử

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Bảo vệ dữ liệu công dân trong kỷ nguyên số

Bảo vệ dữ liệu công dân trong kỷ nguyên số

Techcombank cảnh báo chiêu trò lừa đảo thẻ ngân hàng ngày càng tinh vi

Techcombank cảnh báo chiêu trò lừa đảo thẻ ngân hàng ngày càng tinh vi

Apple cảnh báo về người dùng iPhone về các cuộc tấn công Mercenary trên quy mô toàn cầu

Apple cảnh báo về người dùng iPhone về các cuộc tấn công Mercenary trên quy mô toàn cầu

Lancs Networks tích hợp FPGA, ARM và PUF bảo vệ hạ tầng số quốc gia

Lancs Networks tích hợp FPGA, ARM và PUF bảo vệ hạ tầng số quốc gia

Tấn công mạng quy mô lớn nhắm vào các tập đoàn công nghiệp châu Á - Thái Bình Dương

Tấn công mạng quy mô lớn nhắm vào các tập đoàn công nghiệp châu Á - Thái Bình Dương

Nền tảng phát triển phần mềm hiện đại đối mặt với nguy cơ tấn công mạng ngày càng gia tăng

Nền tảng phát triển phần mềm hiện đại đối mặt với nguy cơ tấn công mạng ngày càng gia tăng

Keysight AppFusion giải pháp hiển thị và bảo mật mạng toàn diện

Keysight AppFusion giải pháp hiển thị và bảo mật mạng toàn diện

Nhận diện các hình thức lừa đảo ngân hàng và biện pháp phòng tránh

Nhận diện các hình thức lừa đảo ngân hàng và biện pháp phòng tránh

Fortinet dự báo về mối đe dọa an ninh mạng năm 2025

Fortinet dự báo về mối đe dọa an ninh mạng năm 2025

Nâng cao nhận thức cộng đồng về lừa đảo trực tuyến

Nâng cao nhận thức cộng đồng về lừa đảo trực tuyến

Meta tăng cường phòng chống lừa đảo trong mùa lễ hội

Meta tăng cường phòng chống lừa đảo trong mùa lễ hội

Lừa đảo tài chính tiếp tục đe dọa các công ty khu vực Đông Nam Á

Lừa đảo tài chính tiếp tục đe dọa các công ty khu vực Đông Nam Á

Tin mới cập nhật

WGC ra mắt phim tài liệu 'Dấu ấn vàng'

WGC ra mắt phim tài liệu 'Dấu ấn vàng'

The Art and Science of LifeWear

The Art and Science of LifeWear

Spotify nâng cấp dịch vụ cho người dùng miễn phí

Spotify nâng cấp dịch vụ cho người dùng miễn phí

Mạng 5G bùng nổ và cuộc đua phổ cập kết nối toàn cầu

Mạng 5G bùng nổ và cuộc đua phổ cập kết nối toàn cầu

Samsung Solve for Tomorrow 2025 lan tỏa cảm hứng STEM tới học sinh Cần Thơ và Tây Ninh

Samsung Solve for Tomorrow 2025 lan tỏa cảm hứng STEM tới học sinh Cần Thơ và Tây Ninh

CYSEEX 2025: Doanh nghiệp Việt chủ động ứng dụng AI trong an ninh mạng

CYSEEX 2025: Doanh nghiệp Việt chủ động ứng dụng AI trong an ninh mạng

Cục Quản lý Dược cảnh báo về thuốc nhỏ mắt và thuốc trị loãng xương có dấu hiệu bị giả mạo

Cục Quản lý Dược cảnh báo về thuốc nhỏ mắt và thuốc trị loãng xương có dấu hiệu bị giả mạo

FPT Và Future Processing thúc đẩy chuyển đổi số ngành tài chính

FPT Và Future Processing thúc đẩy chuyển đổi số ngành tài chính

Huawei Việt Nam khởi động chương trình 'Hạt giống cho Tương lai' mùa thứ 10

Huawei Việt Nam khởi động chương trình 'Hạt giống cho Tương lai' mùa thứ 10

Người dùng Việt đã tiết kiệm hơn 2.000 tỷ đồng trong dịp Shopee 9.9

Người dùng Việt đã tiết kiệm hơn 2.000 tỷ đồng trong dịp Shopee 9.9

FPT được vinh danh là 'Đối tác Công nghệ Sáng tạo' của Vietnam Airlines

FPT được vinh danh là 'Đối tác Công nghệ Sáng tạo' của Vietnam Airlines

watchOS 26: 26 tính năng mới đáng thử cho người dùng Apple Watch

watchOS 26: 26 tính năng mới đáng thử cho người dùng Apple Watch

Tin đọc nhiều

Bảo vệ dữ liệu công dân trong kỷ nguyên số

Bảo vệ dữ liệu công dân trong kỷ nguyên số

Keysight AppFusion giải pháp hiển thị và bảo mật mạng toàn diện

Keysight AppFusion giải pháp hiển thị và bảo mật mạng toàn diện

Đâu là mã độc ‘nhắm’ vào người dùng châu Á - Thái Bình Dương

Đâu là mã độc ‘nhắm’ vào người dùng châu Á - Thái Bình Dương

17GB dữ liệu cá nhân của người Việt bị rao bán: Đừng dễ dãi chia sẻ thông tin cá nhân

17GB dữ liệu cá nhân của người Việt bị rao bán: Đừng dễ dãi chia sẻ thông tin cá nhân

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Video xem nhiều

Toàn cảnh xác lập kỷ lục Bản đồ Việt Nam được xếp từ nhiều xe ô tô nhất năm 2022

Toàn cảnh xác lập kỷ lục Bản đồ Việt Nam được xếp từ nhiều xe ô tô nhất năm 2022

Giới thiệu chương trình bình chọn “Xe của năm 2022"

Giới thiệu chương trình bình chọn “Xe của năm 2022"

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Isuzu Mu-X 2021 hoàn toàn mới: Thiết kế hiện đại và đầy công nghệ

Isuzu Mu-X 2021 hoàn toàn mới: Thiết kế hiện đại và đầy công nghệ

Thông điệp lan tỏa mùa dịch COVID-19

Thông điệp lan tỏa mùa dịch COVID-19

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Xe máy điện VinFast được CNN chọn là 1 trong 5 biểu tượng mới của Hà Nội

Xe máy điện VinFast được CNN chọn là 1 trong 5 biểu tượng mới của Hà Nội

Một ngày trải nghiệm giấc mơ trở thành tay đua F1 chuyên nghiệp ở Nhật Bản

Một ngày trải nghiệm giấc mơ trở thành tay đua F1 chuyên nghiệp ở Nhật Bản

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019