Phát hiện phần mềm tống tiền 'Lockbit ransomware' trên máy chủ của chính phủ Mỹ

Đào Công
17/04/2022 15:22
D

Theo Sophos, các "tin tặc" sử dụng phương thức xâm nhập mở các cổng RDP trên tường lửa đã được cấu hình trên hệ thống để cung cấp quyền truy cập công khai vào máy chủ của một cơ quan chính phủ Mỹ.

Ảnh: Sophos Lap

Mới đây, công ty an ninh mạng Sophos đã phát hiện các cuộc tấn công của mã độc Lockbit ransomware nhằm vào mạng máy tính của một cơ quan chính phủ Mỹ. Phát hiện cho thấy một số phương pháp được tin tặc sử dụng khi khai thác lỗ hổng trong các thiết bị liên bang. 

Một cuộc tấn công được nêu rõ trong báo cáo cho thấy rằng các nhóm ransomware dành ít nhất 5 tháng để rà soát các tệp và hệ thống của cơ quan chính phủ Mỹ trong khu vực trước khi triển khai một cuộc tấn công bằng mã độc LockBit ransomware vào máy tính bị ảnh hưởng.

Cách hacker "tấn công" máy tính của chính phủ

Trong khoảng thời gian gần nửa năm, tin tặc đã tấn công vào mục tiêu đã được xác định trong mạng máy tính, họ sử dụng trình duyệt Google Chrome để tìm và cài đặt các công cụ tấn công vào máy chủ bị ảnh hưởng. Các thành phần bị tấn công như: bộ cài mật khẩu và công cụ khai thác tiền điện tử đã được cài đặt trên máy tính, cùng với các tập lệnh và tệp cấu hình tùy chỉnh cho ransomware.

Cuộc tấn công được đánh giá là sử dụng phương thức không quá phức tạp, bằng việc họ cố gắng sử dụng phần mềm quản lý công nghệ thông tin để tránh bị phát hiện, thông qua việc sử dụng các công cụ truy cập từ xa như ScreenConnectAnyDesk.

Sophos cho biết đã phát hiện trong quá trình thiết lập hệ thống, nhóm Công nghệ thông tin đã để ngỏ các cổng RDP trên tường lửa để truy cập công khai vào máy chủ, cho phép nhóm hack được đề cập xâm nhập.

Sau khi quyền truy cập từ xa được kích hoạt, phần mềm tống tiền LockBit ransomware đã được triển khai trên hệ thống bằng cách tận dụng lỗ hổng hệ thống. Các bên độc hại đã cố gắng che đậy dấu vết sau khi hoàn thành bằng cách xóa các tệp nhật ký. Tuy nhiên, Sophos đã nghi ngờ những hành vi này do những kẻ tấn công mạng tinh vi gây ra và họ đã xây dựng lại kịch bản, các bước của vụ tấn công được thực hiện trên máy chủ diễn ra như thế nào.

Được xây dựng lại từ nhật ký, các nhà phân tích của Sophos đã tìm thấy bằng chứng cho thấy các tác nhân đe dọa đã tìm kiếm (sau đó tải xuống) các công cụ bằng trình duyệt Chrome mà họ đã cài đặt trên máy chủ bị xâm phạm. Ảnh: Sophos Lap

Ngoài các tập lệnh và tệp cấu hình tùy chỉnh khác nhau được sử dụng bởi các công cụ hack mà những kẻ tấn công đã cài đặt, Sophos đã tìm thấy nhiều phần mềm độc hại khác như: password brute-forcers, tới Cryptominers, đến các phiên bản vi phạm bản quyền của phần mềm máy khách VPN thương mại. Cũng có bằng chứng cho thấy những kẻ tấn công đã sử dụng các công cụ phần mềm miễn phí như PsExec, FileZilla, Process Explorer hoặc GMER để thực hiện các lệnh, di chuyển dữ liệu từ máy này sang máy khác và khống chế các hệ thống bảo mật trên máy chủ.

Bằng chứng để lại cho thấy những kẻ tấn công sử dụng các công cụ như GMER, IObit Unlocker và Process Hacker để cố gắng vô hiệu hóa hệ thống bảo vệ. Ảnh: Sophos Lap

Theo Sophos, kẻ tấn công đã kết nối máy chủ từ xa và cài đặt công cụ dò mật khẩu Mimikatz và một công cụ thu thập thông tin đăng nhập khác có tên là LaZagne. 

Kẻ tấn công Lockbit đã sử dụng nhiều kết nối RDP nội bộ và ứng dụng khách Windows SSH PuTTY và cài đặt ScreenConnect, trong thời gian ngắn. Ảnh: Sophos Lap

Sophos cũng cho biết, dấu vết địa chỉ IP của "tin tặc" cho thấy các kết nối từ các địa chỉ IP định vị địa lý đến Iran, Nga, Bulgaria, Ba Lan, Estonia và… Canada. Nhận định của Sophos "những địa chỉ IP này có thể là nút thoát Tor".

Theo Sophos, các nhà phân tích của phòng thí nghiệm của họ đã xác định địa chỉ IP của "tin tặc" là 91.191.209.198:4444  và mã shell liên quan ATK / Tlaboc-A và ATK / Shellcode-A. Các nhà phân tích của Sophos cùng với đội ngũ công nghệ thông tin đã thu thập bằng chứng và nhanh chóng đóng cửa các máy chủ cung cấp cho những kẻ tấn công quyền truy cập từ xa và làm việc để xóa phần mềm độc hại khỏi các máy chưa được mã hóa.

Theo Tạp chí Điện tử

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Tấn công mạng trong năm 2022 có mức độ nghiêm trọng chưa từng có

Tấn công mạng trong năm 2022 có mức độ nghiêm trọng chưa từng có

 5 bước bảo vệ doanh nghiệp suốt mùa lễ Tết

 5 bước bảo vệ doanh nghiệp suốt mùa lễ Tết

Top 5 mối đe dọa các DNVVN cần đề phòng trong năm 2023

Top 5 mối đe dọa các DNVVN cần đề phòng trong năm 2023

An ninh mạng - Nền tảng cho mọi hoạt động của xã hội trong không gian số

An ninh mạng - Nền tảng cho mọi hoạt động của xã hội trong không gian số

TikTok đang bị coi là mối đe doạ an ninh mới với nước Mỹ

TikTok đang bị coi là mối đe doạ an ninh mới với nước Mỹ

96% các doanh nghiệp sở hữu hệ thống OT tại Việt Nam ghi nhận sự cố tấn công an ninh mạng

96% các doanh nghiệp sở hữu hệ thống OT tại Việt Nam ghi nhận sự cố tấn công an ninh mạng

Rủi ro an ninh mạng gia tăng do robot hóa

Rủi ro an ninh mạng gia tăng do robot hóa

Xu hướng tội phạm mạng năm 2023 có gì mới?

Xu hướng tội phạm mạng năm 2023 có gì mới?

'Cần tăng cường an ninh mạng thông qua hợp tác'

'Cần tăng cường an ninh mạng thông qua hợp tác'

Rủi ro bảo mật từ ứng dụng Qatar World Cup

Rủi ro bảo mật từ ứng dụng Qatar World Cup

Lượng mã độc đào tiền mã hóa tăng chóng mặt

Lượng mã độc đào tiền mã hóa tăng chóng mặt

Nguy cơ tấn công mạng vào hệ thống tại Việt Nam từ 18 lỗ hổng trong sản phẩm Microsoft

Nguy cơ tấn công mạng vào hệ thống tại Việt Nam từ 18 lỗ hổng trong sản phẩm Microsoft

Tin mới cập nhật

Những STT, lời chúc hay và ý nghĩa cho Xuân Quý Mão 2023

Những STT, lời chúc hay và ý nghĩa cho Xuân Quý Mão 2023

Công nghệ thân thiện với môi trường giúp cuộc sống phát triển bền vững

Công nghệ thân thiện với môi trường giúp cuộc sống phát triển bền vững

Nâng tỉ lệ bồi thường bảo hiểm bắt buộc cho xe máy để tăng cường an sinh

Nâng tỉ lệ bồi thường bảo hiểm bắt buộc cho xe máy để tăng cường an sinh

Phương pháp mới phát hiện tự kỷ ra sao?

Phương pháp mới phát hiện tự kỷ ra sao?

Dự báo công nghệ năm 2023 của Keysight - Kiến giải từ hãng đo lường và kiểm thử hàng đầu thị trường (phần 2)

Dự báo công nghệ năm 2023 của Keysight - Kiến giải từ hãng đo lường và kiểm thử hàng đầu thị trường (phần 2)

ZaloPay đã chính thức hiện diện trên ứng dụng Grab

ZaloPay đã chính thức hiện diện trên ứng dụng Grab

"Tết trao yêu thương - Nhẹ vốn đậm lời”

"Tết trao yêu thương - Nhẹ vốn đậm lời”

Ảo hoá trải nghiệm - Cuộc đua mới của ngành công nghiệp ô tô toàn cầu

Ảo hoá trải nghiệm - Cuộc đua mới của ngành công nghiệp ô tô toàn cầu

Tấn công mạng trong năm 2022 có mức độ nghiêm trọng chưa từng có

Tấn công mạng trong năm 2022 có mức độ nghiêm trọng chưa từng có

Chợ 4.0 - Chuyển đổi số từ những nhân tố đời thường nhất ở Cần Thơ

Chợ 4.0 - Chuyển đổi số từ những nhân tố đời thường nhất ở Cần Thơ

Quy chuẩn trụ sạc xe điện - Cơ sở cho thị trường xe điện phát triển

Quy chuẩn trụ sạc xe điện - Cơ sở cho thị trường xe điện phát triển

Thúc đẩy hình thành ngành Hoạnh định tài chính cá nhân Việt Nam

Thúc đẩy hình thành ngành Hoạnh định tài chính cá nhân Việt Nam

Tin đọc nhiều

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Quy trình quản lý vật chứa bí mật nhà nước

Quy trình quản lý vật chứa bí mật nhà nước

Video xem nhiều

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Thông điệp lan tỏa mùa dịch COVID-19

Thông điệp lan tỏa mùa dịch COVID-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Những gì bạn muốn biết về 5G

Những gì bạn muốn biết về 5G

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019