Hacker “nghiệp dư” sử dụng mã độc tống tiền tấn công nhiều công ty

NDO -

Công ty an ninh mạng Group-IB cho biết, những kẻ tấn công “nghiệp dư” đã sử dụng phần mềm ransomware (mã độc tống tiền) kết hợp các công cụ sẵn có công khai để nhắm mục tiêu vào các công ty ở Nga, Nhật Bản, Trung Quốc và Ấn Độ.

Quá trình tấn công sử dụng ransomware đang ngày càng tự động hóa.
Quá trình tấn công sử dụng ransomware đang ngày càng tự động hóa.

Một mã độc tống tiền có tên Dharma, đang trở nên phổ biến với tội phạm mạng, nó thường được cài đặt bằng cách xâm nhập vào máy tính thông qua giao thức RDP (Remote Desktop Protocol Services), một công nghệ do Microsoft phát triển và được tích hợp trên hầu hết các máy tính có sử dụng hệ điều hành Windows hiện nay, để kết nối với các máy tính khác qua mạng internet.

Sau khi quét thông tin để tìm các máy tính chạy giao thức RDP, tin tặc sẽ sử dụng kiểu tấn công “brute force”, nhồi tất cả các loại mã hóa và cố gắng thử nhiều chuỗi mật khẩu với hy vọng có thể tìm ra một mật khẩu hoạt động.

Một khi đã có được quyền truy cập, những kẻ tấn công sẽ cài đặt các “ransomware”, phần mềm này mã hóa máy tính và khóa người dùng. Thông thường, những kẻ tấn công cũng sẽ mã hóa luôn tất cả các máy tính khác trong mạng đó.

Dharma, còn được gọi với một tên khác là Crysis, đã được phân phối theo mô hình mã độc tống tiền như một dịch vụ kể từ năm 2016. Group-IB cho biết, mã nguồn của nó đã được rao bán vào tháng 3-2020 và được rất nhiều đối tượng tìm mua.

Tất cả các tổ chức bị tấn công bởi ransomware này đều có thông tin xác thực yếu, có nghĩa là việc truy cập vào những máy tính này tương đối dễ dàng. Hiện nay, giao thức RDP sử dụng mặc định cổng 3389 không phải là phương pháp an toàn và khiến máy tính dễ bị tấn công, Group-IB giải thích.

Các tin tặc thường yêu cầu một khoản tiền chuộc từ 1-5 Bitcoin. Hiện, một bitcoin trị giá hơn 11.000 USD.

Group-IB cho biết thêm, nhóm hacker mới được cho là có liên quan đến Iran, quốc gia vốn được biết đến là cái nôi của các nhóm tấn công APT do nhà nước bảo trợ trong nhiều năm nay, cũng là nơi xuất hiện nhiều tội phạm mạng có động cơ tài chính.

Theo Group-IB, một điều thú vị là những kẻ tấn công “nghiệp dư” này có thể không có kế hoạch rõ ràng về việc phải làm gì với các mạng bị xâm phạm. Chúng thường chuyển sang các trang web chia sẻ phần mềm để vô hiệu hóa phần mềm chống virus. Để vô hiệu hóa phần mềm chống virus được cài đặt sẵn, những kẻ tấn công đã sử dụng công cụ Defender Control và Your Uninstaller được tải xuống từ trang web chia sẻ phần mềm của Iran.

Ngoài ra, để quét các máy chủ có thể truy cập trong mạng bị xâm nhập, bọn tội phạm đã sử dụng phần mềm Advanced Port Scanner, một công cụ công khai khác thường được các hacker sử dụng.

Oleg Skulkin, một chuyên gia kỹ thuật số cấp cao tại Group- IB cho rằng, thật ngạc nhiên khi mã độc Dharma rơi vào tay những đứa trẻ Iran nhằm sử dụng nó để thu lợi tài chính, vì Iran có truyền thống là vùng đất của những kẻ tấn công được nhà nước bảo trợ tham gia vào các hoạt động gián điệp và phá hoại.

Các chuyên gia cảnh báo rằng, các loại tấn công “nghiệp dư” này có thể sẽ trở nên phổ biến hơn. Kể từ năm 2017, hệ sinh thái tội phạm mạng đã và đang phát triển để tự động hóa, đơn giản hóa các kiểu tấn công mạng và kiếm tiền từ toàn bộ quy trình vi phạm này cũng như triển khai nhiều loại ransomware hơn.