FBI: Ransomware NetWalker nhắm mục tiêu vào các doanh nghiệp
An toàn thông tin - Ngày đăng : 15:29, 04/08/2020
NetWalker, còn được biết đến với cái tên Mailto, đang trở thành mối đe dọa thực sự sau hàng loạt các cuộc tấn công vào tháng 3/2020 như cuộc tấn công vào một công ty vận tải và hậu cần ở Úc cùng tổ chức y tế công cộng ở Hoa Kỳ.
Vào tháng 6, đại học California San Francisco (UCSF) tiết lộ rằng họ đã trả hơn 1 triệu USD để khôi phục sau cuộc tấn công ransomware. Mặc dù không tiết lộ họ phần mềm độc hại nào đã gây ra cuộc tấn công này, nhưng ransomware NetWalker được cho là nguyên nhân của vụ cuộc tấn công.
Theo cảnh báo của FBI, vào tháng 6/2020, FBI đã nhận được thông báo về các cuộc tấn công của ransomware NetWalker vào các tổ chức chính phủ nước ngoài và Mỹ, các tổ chức giáo dục, các công ty tư nhân, các cơ quan y tế từ những tác nhân mạng không được xác thực.
FBI cho biết, bắt đầu từ tháng 3, những kẻ khai thác NetWalker đã lợi dụng các chủ đề liên quan tới Covid-19 trong các email lừa đảo để phát tán ransomware. Sau đó, chúng đã bắt đầu nhắm mục tiêu tới các lỗ hổng đã biết trong các thiết bị VPN và các ứng dụng web cũng như những kết nối trên giao thức điều khiển máy tính từ xa (Remote Desktop Protocol - RDP) bằng kiểu tấn công brute force, tấn công dò mật khẩu và tài khoản của người quản trị cao nhất. Tin tặc dùng phần mềm tự động thử đăng nhập mật khẩu cùng với tên người dùng phổ biến để đăng nhập trái phép vào các tài khoản của người quản trị.
Mối đe dọa đang nhắm mục tiêu vào những lỗ hổng, ảnh hưởng tới Pulse Secure VPN (CVE–2019 –11510) và Progress Telerik UI (CVE-2019-18935), cũng như các lỗ hổng bảo mật khác. Những công cụ khác nhau được sử dụng để xâm nhập, đánh cắp thông tin, dữ liệu và mã hóa những tệp tin của người dùng.
Theo FBI, khi xâm nhập thành công, netWalker mã hóa tất cả thiết bị và dữ liệu dựa trên window đã được kết nối, hiển thị các tệp tin, dữ liệu và những ứng dụng quan trọng mà người dùng đã mất khả năng truy nhập. Khi được thực thi, Netwalker triển khai một cấu hình nhúng có chứa thông báo tiền chuộc lên tên tệp tin và các tùy chọn cấu hình khác mà chúng chiếm được.
Bắt đầu từ tháng 6, kẻ tấn công tải dữ liệu đánh cắp được lên MEGA.NZ, một dịch vụ cung cấp chức năng lưu trữ và chia sẻ tệp tin trên đám mây, nhưng chuyển đến website.dropmefiles.com.
Các nạn nhân của ransomware được khuyến nghị không nên trả tiền chuộc vì không có gì đảm bảo rằng dữ liệu sẽ được khôi phục, thay vào đó có thể khiến tội phạm mạng nhắm thêm mục tiêu tới các tổ chức và tăng cường phát tán ransomware. Các nạn nhân cũng được khuyến nghị báo cáo sự cố cho FBI.
AJ Nash, Giám đốc chiến lược tình báo điện tử tại Anomali cho biết: "Chỉ trong 2 tuần qua, chúng tôi đã thấy ransomware tấn công tập đoàn Garmin, chứng kiến Netwalker lây lan và những cuộc tấn công khác vào các thiết bị lưu trữ QNAP. Mặc dù, các vụ việc ransomware đã có nhiều, bao gồm các thông tin và những công cụ đặc biệt cũng như những tình huống đảm bảo an toàn nhưng các tổ chức vẫn tiếp tục trở thành nạn nhân của kiểu tấn công này".
Theo AJ Nash, tội phạm mạng sẽ không không dừng tấn công ransomware, bởi chi phí thấp và là chiến thuật dễ thành công. Các tổ chức có thể giảm thiểu các mối đe dọa do ransomware gây ra bằng cách thực hiện một vài biện pháp đơn giản như quản trị, xác định tài sản, thực hiện vá lỗ hổng, đào tạo nâng cao nhận thức,...
Các tổ chức cũng được khuyến cáo luôn sao lưu dữ liệu của mình, đảm bảo rằng các bản sao dữ liệu quan trọng được lưu trữ an toàn, sử dụng phần mềm chống phần mềm độc hại và xác thực 2 yếu tố, sử dụng mạng an toàn và luôn đảm bảo rằng các thiết bị trong môi trường doanh nghiệp luôn được cập nhật hàng ngày.