Kaspersky đã chia sẻ việc phát hiện ra một chiến dịch độc hại nhằm vào các tổ chức chính phủ Albania, được thực hiện trong hai đợt từ tháng 7 đến tháng 9 năm 2022. Cuộc điều tra cho thấy tội phạm mạng đã triển khai phần mềm độc hại ransomware và wiper để xâm phạm nạn nhân của chúng, sử dụng các chứng chỉ hợp pháp bị đánh cắp từ Nvidia và công ty Viễn thông Kuwait để ký phần mềm độc hại của họ. Phương pháp tấn công có nhiều đặc điểm của các cuộc tấn công mạng Shamoon khét tiếng đã được quan sát trước đây ở Trung Đông. Trong một báo cáo mới, các nhà nghiên cứu của Kaspersky đã phân tích các sửa đổi của phần mềm độc hại được sử dụng trong đợt tấn công thứ hai.
Mặc dù các chuyên gia không thể xác định điểm vào ban đầu của tác nhân đe dọa trong quá trình xâm nhập được phân tích, nhưng họ đã thấy một số bằng chứng cho thấy bọn tội phạm có thể đã chiếm quyền điều khiển từ xa hợp pháp, chẳng hạn như AnyDesk, để bắt đầu các cuộc tấn công của chúng. Trong làn sóng thứ hai, các sửa đổi của cần gạt nước bao gồm thực thi tự động khi cài đặt trình điều khiển – cần thiết do tính cấp bách và cửa sổ truy cập có giới hạn thời gian. Những kẻ tấn công và nhà cung cấp quyền truy cập dường như cũng thuộc các nhóm tấn công khác nhau và nói các ngôn ngữ khác nhau.
Phân tích sâu hơn về chiến dịch của các chuyên gia Kaspersky tiết lộ rằng trong cả hai đợt tấn công, cùng một tham số chứng chỉ ký đã được sử dụng, được liên kết với Công ty Viễn thông Kuwait. Không rõ làm cách nào mà kẻ đe dọa có thể ký vào phần mềm độc hại của nó, nhưng người ta nghi ngờ rằng nó đã bị đánh cắp. Tuy nhiên, có một số sửa đổi: trong đợt thứ hai, ransomware kiểm tra sáu đối số trở lên, trong khi ở đợt đầu tiên có năm đối số trở lên. Ngoài ra, một số thay đổi trong mã đã được thực hiện để tránh bị phát hiện.
Các ghi chú về tiền chuộc vẫn giữ nguyên và bao gồm thông điệp chính trị phản ánh căng thẳng địa chính trị giữa Albania và Iran.
Cuối cùng, trong cả hai đợt của chiến dịch, phần mềm độc hại wiper đã được sử dụng, được ký bằng chứng chỉ Nvidia bị rò rỉ nhưng có một số khác biệt đáng kể. Trong đợt đầu tiên, phần mềm độc hại wiper dự kiến sẽ tìm thấy trình điều khiển đĩa thô trong thư mục thực thi hoặc trong thư mục hệ thống. Ngược lại, trong làn sóng thứ hai, kẻ đe dọa đã nhúng trình điều khiển đĩa thô đã ký vào tệp thực thi wiper, loại bỏ nó rồi cài đặt nó.
Amin Hasbini, chuyên gia bảo mật của Kaspersky cho biết: “Chiến dịch chống lại các tổ chức của Albania chứng tỏ rằng những tác nhân đe dọa này luôn phát triển để tránh bị phát hiện và gây ra thiệt hại tối đa. “Để ngăn chặn các cuộc tấn công như vậy, điều cần thiết là giám sát các hoạt động của phần mềm từ xa như AnyDesk, vì chúng có thể trở thành điểm khởi đầu cho cuộc tấn công. Một khuyến nghị khác là luôn tìm kiếm và theo dõi các chứng chỉ ký đã hết hạn hoặc bị rò rỉ, vì chúng có thể bị các tác nhân đe dọa sử dụng để tải và thực thi phần mềm độc hại.”
Đọc báo cáo đầy đủ trên Securelist của Kaspersky.
Để bảo vệ bản thân và doanh nghiệp của bạn khỏi các cuộc tấn công của mã độc tống tiền, hãy cân nhắc tuân theo các quy tắc do Kaspersky đề xuất:
- Không hiển thị các dịch vụ máy tính từ xa (chẳng hạn như RDP) cho các mạng công cộng trừ khi thực sự cần thiết và luôn sử dụng mật khẩu mạnh cho chúng.
- Nhanh chóng cài đặt giải pháp VPN của Kaspersky để bảo mật kênh truyền.
- Tập trung chiến lược phòng thủ của bạn vào việc phát hiện các chuyển động ngang và đánh cắp dữ liệu lên Internet. Đặc biệt chú ý đến lưu lượng gửi đi để phát hiện các kết nối của tội phạm mạng.
- Backup dữ liệu thường xuyên. Hãy chắc chắn rằng bạn có thể nhanh chóng truy cập nó trong trường hợp khẩn cấp.
- Sử dụng các giải pháp như Kaspersky Managed Detection and Response (MDR) của Kaspersky, giúp xác định và ngăn chặn cuộc tấn công trong giai đoạn đầu, trước khi những kẻ tấn công đạt được mục tiêu cuối cùng của chúng.
- Sử dụng Thông tin Threat Intelligence để biết các TTP thực tế được sử dụng bởi các tác nhân đe dọa. Cổng Thông tin về Mối đe dọa của Kaspersky là một điểm truy cập duy nhất cho TI của Kaspersky, cung cấp dữ liệu tấn công mạng và thông tin chi tiết do nhóm của chúng tôi thu thập trong 25 năm. Để giúp các doanh nghiệp có khả năng phòng thủ hiệu quả trong thời kỳ hỗn loạn này, Kaspersky đã công bố quyền truy cập miễn phí vào thông tin độc lập, được cập nhật liên tục và có nguồn gốc toàn cầu về các mối đe dọa và tấn công mạng đang diễn ra. Yêu cầu quyền truy cập vào ưu đãi này tại đây.
Số điện thoại HOTLINE Kaspersky Việt Nam 0929.247.123
