Giảm giá nhiều giấy phép
Threat Database Ransomware Mã độc tống tiền Moneybird

Mã độc tống tiền Moneybird

Đến năm Mezo năm Ransomware
Dịch sang:
Tiếng Việt Nam

Nhóm hacker Iran Agrius, còn được gọi là Pink Sandstorm và trước đây là Americium, gần đây đã phát triển một loại ransomware mới có tên là Moneybird. Phần mềm độc hại đe dọa này đã được quan sát nhắm mục tiêu cụ thể vào các tổ chức của Israel, cho thấy một sự thay đổi đáng kể trong chiến thuật của Agrius.

Tội phạm mạng mở rộng kho vũ khí đe dọa của chúng

Agrius có lịch sử thực hiện các cuộc tấn công xóa sạch dữ liệu nhằm vào các thực thể của Israel, thường ngụy trang chúng thành các sự cố ransomware. Sự xuất hiện của Moneybird, được mã hóa bằng C++, thể hiện chuyên môn ngày càng tăng của nhóm và cam kết liên tục tạo ra các công cụ mạng mới.

Các hoạt động của nhóm có thể bắt nguồn từ ít nhất là vào tháng 12 năm 2020, khi Agrius tham gia vào việc phá vỡ các nỗ lực xâm nhập nhằm vào các ngành công nghiệp kim cương ở Nam Phi, Israel và Hồng Kông. Trước đây, Agrius đã sử dụng một phần mềm đòi tiền chuộc chuyển thành công cụ gạt nước có tên là Tông đồ, dựa trên .NET framework và phần mềm kế nhiệm của nó có tên là Fantasy. Tuy nhiên, Moneybird đại diện cho một bước tiến đáng kể của nhóm, vì nó thể hiện các khả năng không gian mạng đang phát triển của mình thông qua ngôn ngữ lập trình C++.

Các tác nhân đe dọa khai thác các lỗ hổng bảo mật để giành quyền truy cập

Phương pháp tấn công mà Moneybird Ransomware sử dụng thể hiện mức độ tinh vi cao, bắt đầu bằng việc khai thác các lỗ hổng có trong các máy chủ Web kết nối Internet. Việc khai thác ban đầu này cấp cho những kẻ tấn công một điểm vào quan trọng vào mạng của tổ chức được nhắm mục tiêu, được tạo điều kiện thuận lợi bằng việc triển khai vỏ Web ASPXSpy.

Khi đã ở bên trong mạng bị xâm nhập, vỏ Web đóng vai trò là kênh liên lạc để những kẻ tấn công thực thi một loạt các công cụ nổi tiếng được thiết kế riêng để tiến hành trinh sát rộng rãi môi trường của nạn nhân. Những công cụ này cho phép kẻ tấn công di chuyển ngang trong mạng, thu thập thông tin xác thực có giá trị và lấy cắp dữ liệu nhạy cảm.

Moneybird Ransomware được trang bị khả năng mã hóa nâng cao

Sau giai đoạn xâm nhập và trinh sát ban đầu, Moneybird Ransomware được kích hoạt trên máy chủ bị xâm nhập. Phần mềm tống tiền này được thiết kế với trọng tâm cụ thể là mã hóa các tệp nhạy cảm nằm trong thư mục "F:\User Shares". Sau khi thực hiện, ransomware triển khai một ghi chú đòi tiền chuộc, gây áp lực rất lớn lên các nạn nhân để thiết lập liên lạc trong khung thời gian 24 giờ, cảnh báo họ về khả năng rò rỉ công khai dữ liệu bị đánh cắp của họ.

Moneybird Ransomware sử dụng một phương pháp mã hóa rất phức tạp, sử dụng AES-256 với GCM (Galois/Counter Mode). Kỹ thuật mã hóa nâng cao này tạo ra các khóa mã hóa duy nhất cho mỗi tệp và nối thêm siêu dữ liệu được mã hóa ở cuối. Nhắm mục tiêu chính xác và mã hóa mạnh mẽ do Moneybird triển khai khiến nhiệm vụ khôi phục dữ liệu và giải mã tệp trở nên cực kỳ khó khăn, nếu không muốn nói là gần như không thể, trong phần lớn các trường hợp.

Các biện pháp bảo mật quan trọng để ngăn chặn một cuộc tấn công ransomware

Các biện pháp bảo mật hiệu quả có thể được triển khai để bảo vệ thiết bị và dữ liệu khỏi các cuộc tấn công của mã độc tống tiền. Đầu tiên, việc duy trì phần mềm bảo mật cập nhật và mạnh mẽ là điều cần thiết. Cập nhật thường xuyên các chương trình chống phần mềm độc hại, cùng với việc bật cập nhật tự động, giúp bảo vệ chống lại các mối đe dọa mới nhất.

Thực hiện mật khẩu mạnh và duy nhất cho tất cả các tài khoản là một bước quan trọng khác. Điều này bao gồm việc sử dụng kết hợp các chữ cái, số và ký hiệu, cũng như tránh các mật khẩu phổ biến và dễ đoán. Ngoài ra, việc bật xác thực đa yếu tố sẽ bổ sung thêm một lớp bảo mật bằng cách yêu cầu các bước xác minh bổ sung để truy cập tài khoản.

Thường xuyên sao lưu dữ liệu liên quan là rất quan trọng để giảm thiểu tác động của cuộc tấn công ransomware. Tạo bản sao lưu ngoại tuyến hoặc sử dụng giải pháp lưu trữ Đám mây đảm bảo rằng các tệp quan trọng có thể được khôi phục trong trường hợp mã hóa hoặc mất mát.

Thận trọng khi duyệt Internet và tương tác với email là điều cần thiết. Người dùng nên nghi ngờ khi nhấp vào các liên kết đáng ngờ hoặc tải xuống các tệp từ các nguồn không đáng tin cậy. Điều quan trọng là phải cảnh giác và tránh truy cập các trang web có khả năng gây hại hoặc tương tác với các email đáng ngờ, vì chúng có thể chứa các phần mềm tống tiền tống tiền.

Tự học và cập nhật thông tin về các mối đe dọa an ninh mạng và kỹ thuật tấn công mới nhất rất có lợi. Nhận biết các chiến thuật kỹ thuật xã hội phổ biến được sử dụng trong các cuộc tấn công lừa đảo và nhận thức được các dấu hiệu lây nhiễm mã độc tống tiền tiềm ẩn có thể giúp người dùng thực hiện các biện pháp chủ động để ngăn chặn và ứng phó với các cuộc tấn công đó.

Thường xuyên cập nhật hệ điều hành, ứng dụng và chương trình cơ sở là một khía cạnh quan trọng khác của việc duy trì bảo mật mạnh mẽ. Các bản vá và cập nhật thường bao gồm các bản sửa lỗi bảo mật giải quyết các lỗ hổng có thể bị phần mềm tống tiền và phần mềm độc hại khác khai thác.

Bằng cách thực hiện kết hợp các biện pháp bảo mật này, người dùng có thể tăng cường bảo vệ thiết bị và dữ liệu của họ trước tác động tàn phá của các cuộc tấn công ransomware.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...