Phát hiện phần mềm tống tiền 'Lockbit ransomware' trên máy chủ của chính phủ Mỹ

Đào Công
17/04/2022 15:22
D

Theo Sophos, các "tin tặc" sử dụng phương thức xâm nhập mở các cổng RDP trên tường lửa đã được cấu hình trên hệ thống để cung cấp quyền truy cập công khai vào máy chủ của một cơ quan chính phủ Mỹ.

Ảnh: Sophos Lap

Mới đây, công ty an ninh mạng Sophos đã phát hiện các cuộc tấn công của mã độc Lockbit ransomware nhằm vào mạng máy tính của một cơ quan chính phủ Mỹ. Phát hiện cho thấy một số phương pháp được tin tặc sử dụng khi khai thác lỗ hổng trong các thiết bị liên bang. 

Một cuộc tấn công được nêu rõ trong báo cáo cho thấy rằng các nhóm ransomware dành ít nhất 5 tháng để rà soát các tệp và hệ thống của cơ quan chính phủ Mỹ trong khu vực trước khi triển khai một cuộc tấn công bằng mã độc LockBit ransomware vào máy tính bị ảnh hưởng.

Cách hacker "tấn công" máy tính của chính phủ

Trong khoảng thời gian gần nửa năm, tin tặc đã tấn công vào mục tiêu đã được xác định trong mạng máy tính, họ sử dụng trình duyệt Google Chrome để tìm và cài đặt các công cụ tấn công vào máy chủ bị ảnh hưởng. Các thành phần bị tấn công như: bộ cài mật khẩu và công cụ khai thác tiền điện tử đã được cài đặt trên máy tính, cùng với các tập lệnh và tệp cấu hình tùy chỉnh cho ransomware.

Cuộc tấn công được đánh giá là sử dụng phương thức không quá phức tạp, bằng việc họ cố gắng sử dụng phần mềm quản lý công nghệ thông tin để tránh bị phát hiện, thông qua việc sử dụng các công cụ truy cập từ xa như ScreenConnectAnyDesk.

Sophos cho biết đã phát hiện trong quá trình thiết lập hệ thống, nhóm Công nghệ thông tin đã để ngỏ các cổng RDP trên tường lửa để truy cập công khai vào máy chủ, cho phép nhóm hack được đề cập xâm nhập.

Sau khi quyền truy cập từ xa được kích hoạt, phần mềm tống tiền LockBit ransomware đã được triển khai trên hệ thống bằng cách tận dụng lỗ hổng hệ thống. Các bên độc hại đã cố gắng che đậy dấu vết sau khi hoàn thành bằng cách xóa các tệp nhật ký. Tuy nhiên, Sophos đã nghi ngờ những hành vi này do những kẻ tấn công mạng tinh vi gây ra và họ đã xây dựng lại kịch bản, các bước của vụ tấn công được thực hiện trên máy chủ diễn ra như thế nào.

Được xây dựng lại từ nhật ký, các nhà phân tích của Sophos đã tìm thấy bằng chứng cho thấy các tác nhân đe dọa đã tìm kiếm (sau đó tải xuống) các công cụ bằng trình duyệt Chrome mà họ đã cài đặt trên máy chủ bị xâm phạm. Ảnh: Sophos Lap

Ngoài các tập lệnh và tệp cấu hình tùy chỉnh khác nhau được sử dụng bởi các công cụ hack mà những kẻ tấn công đã cài đặt, Sophos đã tìm thấy nhiều phần mềm độc hại khác như: password brute-forcers, tới Cryptominers, đến các phiên bản vi phạm bản quyền của phần mềm máy khách VPN thương mại. Cũng có bằng chứng cho thấy những kẻ tấn công đã sử dụng các công cụ phần mềm miễn phí như PsExec, FileZilla, Process Explorer hoặc GMER để thực hiện các lệnh, di chuyển dữ liệu từ máy này sang máy khác và khống chế các hệ thống bảo mật trên máy chủ.

Bằng chứng để lại cho thấy những kẻ tấn công sử dụng các công cụ như GMER, IObit Unlocker và Process Hacker để cố gắng vô hiệu hóa hệ thống bảo vệ. Ảnh: Sophos Lap

Theo Sophos, kẻ tấn công đã kết nối máy chủ từ xa và cài đặt công cụ dò mật khẩu Mimikatz và một công cụ thu thập thông tin đăng nhập khác có tên là LaZagne. 

Kẻ tấn công Lockbit đã sử dụng nhiều kết nối RDP nội bộ và ứng dụng khách Windows SSH PuTTY và cài đặt ScreenConnect, trong thời gian ngắn. Ảnh: Sophos Lap

Sophos cũng cho biết, dấu vết địa chỉ IP của "tin tặc" cho thấy các kết nối từ các địa chỉ IP định vị địa lý đến Iran, Nga, Bulgaria, Ba Lan, Estonia và… Canada. Nhận định của Sophos "những địa chỉ IP này có thể là nút thoát Tor".

Theo Sophos, các nhà phân tích của phòng thí nghiệm của họ đã xác định địa chỉ IP của "tin tặc" là 91.191.209.198:4444  và mã shell liên quan ATK / Tlaboc-A và ATK / Shellcode-A. Các nhà phân tích của Sophos cùng với đội ngũ công nghệ thông tin đã thu thập bằng chứng và nhanh chóng đóng cửa các máy chủ cung cấp cho những kẻ tấn công quyền truy cập từ xa và làm việc để xóa phần mềm độc hại khỏi các máy chưa được mã hóa.

Theo Tạp chí Điện tử

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Techcombank cảnh báo chiêu trò lừa đảo thẻ ngân hàng ngày càng tinh vi

Techcombank cảnh báo chiêu trò lừa đảo thẻ ngân hàng ngày càng tinh vi

Apple cảnh báo về người dùng iPhone về các cuộc tấn công Mercenary trên quy mô toàn cầu

Apple cảnh báo về người dùng iPhone về các cuộc tấn công Mercenary trên quy mô toàn cầu

Lancs Networks tích hợp FPGA, ARM và PUF bảo vệ hạ tầng số quốc gia

Lancs Networks tích hợp FPGA, ARM và PUF bảo vệ hạ tầng số quốc gia

Tấn công mạng quy mô lớn nhắm vào các tập đoàn công nghiệp châu Á - Thái Bình Dương

Tấn công mạng quy mô lớn nhắm vào các tập đoàn công nghiệp châu Á - Thái Bình Dương

Nền tảng phát triển phần mềm hiện đại đối mặt với nguy cơ tấn công mạng ngày càng gia tăng

Nền tảng phát triển phần mềm hiện đại đối mặt với nguy cơ tấn công mạng ngày càng gia tăng

Keysight AppFusion giải pháp hiển thị và bảo mật mạng toàn diện

Keysight AppFusion giải pháp hiển thị và bảo mật mạng toàn diện

Nhận diện các hình thức lừa đảo ngân hàng và biện pháp phòng tránh

Nhận diện các hình thức lừa đảo ngân hàng và biện pháp phòng tránh

Fortinet dự báo về mối đe dọa an ninh mạng năm 2025

Fortinet dự báo về mối đe dọa an ninh mạng năm 2025

Nâng cao nhận thức cộng đồng về lừa đảo trực tuyến

Nâng cao nhận thức cộng đồng về lừa đảo trực tuyến

Meta tăng cường phòng chống lừa đảo trong mùa lễ hội

Meta tăng cường phòng chống lừa đảo trong mùa lễ hội

Lừa đảo tài chính tiếp tục đe dọa các công ty khu vực Đông Nam Á

Lừa đảo tài chính tiếp tục đe dọa các công ty khu vực Đông Nam Á

An ninh mạng tại Việt Nam đang bị đe dọa nghiêm trọng

An ninh mạng tại Việt Nam đang bị đe dọa nghiêm trọng

Tin mới cập nhật

Licogi 13 đặt mục tiêu doanh thu 3.500 tỷ đồng, tập trung ba trụ cột chiến lược trong giai đoạn 2025-2029

Licogi 13 đặt mục tiêu doanh thu 3.500 tỷ đồng, tập trung ba trụ cột chiến lược trong giai đoạn 2025-2029

Ngành điện tử Việt Nam trước bước chuyển lớn với AI, bán dẫn và tự động hóa

Ngành điện tử Việt Nam trước bước chuyển lớn với AI, bán dẫn và tự động hóa

TCL được vinh danh tại Bảo tàng Olympic

TCL được vinh danh tại Bảo tàng Olympic

Đà Lạt lọt Top những điểm đến mùa hè đáng chú ý trong khu vực

Đà Lạt lọt Top những điểm đến mùa hè đáng chú ý trong khu vực

Toshiba lần đầu tiên ra mắt 3 máy rửa chén tại Việt Nam

Toshiba lần đầu tiên ra mắt 3 máy rửa chén tại Việt Nam

Hành vi tiêu dùng xanh, thúc đẩy nền kinh tế xanh

Hành vi tiêu dùng xanh, thúc đẩy nền kinh tế xanh

Livehouse - Mô hình bất động sản thế hệ mới

Livehouse - Mô hình bất động sản thế hệ mới

MobiFone triển khai hệ thống thủ tục hành chính chính quyền 2 cấp

MobiFone triển khai hệ thống thủ tục hành chính chính quyền 2 cấp

Tetra Pak khánh thành dây chuyền bao bì Tetra Recart đầu tiên tại Việt Nam

Tetra Pak khánh thành dây chuyền bao bì Tetra Recart đầu tiên tại Việt Nam

Tổng thống Trump công bố thỏa thuận thương mại với Việt Nam

Tổng thống Trump công bố thỏa thuận thương mại với Việt Nam

Sau Bắc Bling, Tuấn Cry ra mắt MV King Bắc

Sau Bắc Bling, Tuấn Cry ra mắt MV King Bắc

Trí Việt Investcons bị tỉnh Thanh Hóa cấm thầu 3 năm

Trí Việt Investcons bị tỉnh Thanh Hóa cấm thầu 3 năm

Tin đọc nhiều

Các chiêu trò lừa đảo, website giả mạo đang bủa vây người dùng Việt

Các chiêu trò lừa đảo, website giả mạo đang bủa vây người dùng Việt

Rủi ro an ninh mạng gia tăng do robot hóa

Rủi ro an ninh mạng gia tăng do robot hóa

Mỹ bị tấn công mạng liên tiếp - Tổng thống Biden sẽ làm thế nào?

Mỹ bị tấn công mạng liên tiếp - Tổng thống Biden sẽ làm thế nào?

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Quy trình quản lý vật chứa bí mật nhà nước

Quy trình quản lý vật chứa bí mật nhà nước

Video xem nhiều

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Khởi động nền tảng SMEdx hỗ trợ doanh nghiệp vừa và nhỏ chuyển đổi số

Khởi động nền tảng SMEdx hỗ trợ doanh nghiệp vừa và nhỏ chuyển đổi số

Honda MSX 125 Grom 2021 mẫu xe côn tay phiên bản đường đua

Honda MSX 125 Grom 2021 mẫu xe côn tay phiên bản đường đua

Thông điệp lan tỏa mùa dịch COVID-19

Thông điệp lan tỏa mùa dịch COVID-19

Geneva Motor Show 2020: Bentley hé lộ siêu xe Bacalar triệu đô

Geneva Motor Show 2020: Bentley hé lộ siêu xe Bacalar triệu đô

Lộ diện siêu xe hypercar Czinger 21C tăng tốc 0-100km/h chưa tới 2 giây

Lộ diện siêu xe hypercar Czinger 21C tăng tốc 0-100km/h chưa tới 2 giây

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Cô bé 14 tuổi tìm ra giải pháp mới xóa điểm mù trên xe hơi

Cô bé 14 tuổi tìm ra giải pháp mới xóa điểm mù trên xe hơi

Bắc Sơn mây hát

Bắc Sơn mây hát

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019