Giấy phép nhiều thiết bị (Giảm giá theo số lượng)
Threat Database Ransomware Mã độc tống tiền mất ngủ

Mã độc tống tiền mất ngủ

Đến năm Mezo năm Ransomware, Advanced Persistent Threat (APT)
Dịch sang:
Tiếng Việt Nam

Tin tặc Nga đang sử dụng một chủng ransomware mới được theo dõi là Somnia, để phá vỡ các hoạt động bình thường của các mục tiêu ở Ukraine. Sau cuộc xâm lược của Nga vào đất nước Ukraine, các nhà nghiên cứu của infosec đã liên tục báo cáo về sự gia tăng mạnh mẽ các chiến dịch tấn công chống lại chính phủ Ukraine và các tổ chức khu vực tư nhân. Thông tin chi tiết về Somnia Ransomware và những người điều hành nó đã được công bố rộng rãi trong một báo cáo của CERT-UA (Nhóm ứng phó khẩn cấp máy tính của Ukraine).

Chuỗi lây nhiễm

Theo phát hiện của họ, tội phạm mạng chịu trách nhiệm về các cuộc tấn công Somnia thuộc nhóm được cho là nhóm hacktivist thân Nga có tên From Russia with Love (FRwL), còn được gọi là Z-Team và UAC-0118. Các tác nhân đe dọa đã sử dụng công cụ ransomware để tác động đến hoạt động của các hệ thống tự động, cũng như các máy tính điện tử thuộc mục tiêu bị xâm phạm.

Các chuyên gia của Infosec cảnh báo rằng FRwL sử dụng chuỗi lây nhiễm nhiều lớp liên quan đến một số công cụ đe dọa khác nhau. Vectơ thỏa hiệp ban đầu được xác nhận là tải xuống và thực thi trình cài đặt vũ khí hóa giả dạng phần mềm 'Trình quét IP nâng cao'. Tệp giả mạo đang được phân phối thông qua các trang web chuyên dụng bắt chước các cổng Web hợp pháp. Nhân viên của tổ chức mục tiêu rơi vào bẫy sẽ kích hoạt và cài đặt mối đe dọa Vidar Stealer trên máy tính của họ.

Sau đó, các tác nhân đe dọa sử dụng Vidar để lấy dữ liệu phiên Telegram của nạn nhân và sau đó kiểm soát tài khoản của họ. Các tài khoản bị xâm phạm được kẻ tấn công tận dụng theo cách cho phép chúng thu thập dữ liệu kết nối VPN. Nếu VPN thiếu đủ 2FA (Xác thực hai yếu tố), tin tặc FRwL sẽ có quyền truy cập trái phép vào mạng công ty của tổ chức. Sau đó, tội phạm mạng thiết lập đèn hiệu Cobalt Strike và tiến hành lọc dữ liệu nhạy cảm hoặc thực hiện các hoạt động giám sát bổ sung.

Chi tiết về ransomware Somnia

Mối đe dọa Ransomware Somnia có thể tác động đến một số lượng lớn các loại tệp khác nhau và mã hóa chúng bằng thuật toán mật mã. Mỗi tệp bị khóa sẽ có thêm '.somnia' vào tên ban đầu của nó. Mặc dù hầu hết các hoạt động của ransomware đều có động cơ tài chính, nhưng trường hợp của Somnia thì không. Những kẻ tấn công sử dụng công cụ đe dọa của chúng giống như một công cụ xóa dữ liệu sẽ ngăn nạn nhân truy cập dữ liệu của chúng. Những kẻ tấn công không yêu cầu được trả tiền chuộc, vì đó không phải là mục tiêu chính của chúng.

Các nhà nghiên cứu tại CERT-UA lưu ý rằng chứng mất ngủ dường như vẫn đang được phát triển tích cực. Ví dụ: các phiên bản trước của mối đe dọa được trang bị và dựa trên thuật toán 3DES đối xứng. Tuy nhiên, các lần lặp lại sau đó đã được chuyển sang chạy thuật toán AES để mã hóa các loại tệp được nhắm mục tiêu.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,381
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...