Ransomware BlackCat đã xâm phạm nhiều tổ chức trên toàn thế giới
An toàn thông tin - Ngày đăng : 08:25, 26/04/2022
Cục Điều tra Liên bang Hoa Kỳ (FBI) đang báo động về ransomware như một dịch vụ (RaaS) BlackCat, còn được gọi là ALPHV và Noberus, là phần mềm độc hại đầu tiên được viết bằng ngôn ngữ lập trình Rust với độ an toàn về bộ nhớ và cải thiện hiệu suất.
Tuần trước, FBI cho biết: "Nhiều nhà phát triển và kẻ rửa tiền cho BlackCat/ALPHV có liên kết với DarkSide/BlackMatter. Điều này cho thấy chúng có mạng lưới rộng lớn và kinh nghiệm với các hoạt động ransomware".
Tiết lộ được đưa ra vài tuần sau khi Cisco Talos và Kasperksy đưa ra báo cáo phát hiện những liên kết giữa các họ ransomware BlackCat và BlackMatter, trong đó có cả việc sử dụng phiên bản sửa đổi của công cụ lọc dữ liệu có tên là Fendr mà trước đây chỉ được quan sát thấy trong hoạt động liên quan đến BlackMatter.
Theo AT&T Alien Labs: "Bên cạnh những lợi thế đang phát triển mà ngôn ngữ lập trình Rust mang lại, những kẻ tấn công còn lợi dụng khả phát hiện thấp hơn từ các công cụ phân tích tĩnh, vốn thường không thích ứng với tất cả các ngôn ngữ lập trình".
Giống như các nhóm RaaS khác, phương thức hoạt động của BlackCat liên quan đến việc đánh cắp dữ liệu nạn nhân trước khi thực thi ransomware. Phần mềm độc hại này thường tận dụng thông tin đăng nhập của người dùng bị xâm phạm để chiếm quyền truy cập ban đầu vào hệ thống mục tiêu.
Nhà nghiên cứu Vedere Labs của Forescout đã phân tích một sự cố ransomware BlackCat và thấy rằng tường lửa SonicWall tiếp xúc với Internet đã bị xâm nhập để chiếm quyền truy cập ban đầu vào mạng. Sau bước này chúng mới tiến đến mã hóa công cụ giám sát máy ảo VMware ESXi. Việc triển khai ransomware được cho là đã diễn ra vào ngày 17/3/2022.
Cơ quan thực thi pháp luật khuyến nghị các nạn nhân báo cáo kịp thời các sự cố ransomware đồng thời khuyến cáo họ không nên trả tiền chuộc vì không có gì đảm bảo rằng điều này sẽ giúp khôi phục các tệp được mã hóa. Tuy nhiên họ cũng thừa nhận rằng các nạn nhân có thể bị buộc phải tuân theo những yêu cầu đó để bảo vệ cổ đông, nhân viên và khách hàng.
FBI đang kêu gọi các tổ chức kiểm tra lại trình điều khiển tên miền, máy chủ, máy trạm và thư mục hoạt động cho các tài khoản người dùng mới hoặc chưa xác thực, thực hiện sao lưu ngoại tuyến, phân đoạn mạng, áp dụng cập nhật phần mềm và bảo mật tài khoản bằng xác thực đa yếu tố./.