Trong nhiều tweet, đăng trên mạng xã hội Twitter ngày 23/3, chuyên gia bảo mật Marcus Hutchins từ MalwareTechBlog tuyên bố, anh đã để lại honeypots nhằm thu hút những kẻ tấn công và phát hiện ai đó đang chạy một tập lệnh trên máy chủ Exchange của anh.

 

Honeypots là hệ thống máy tính với những lỗ hổng bảo mật đã biết, mở công khai trên Internet để thu hút các cuộc tấn công mạng. Những honeypots tương tự giúp các chuyên gia an ninh mạng giám sát, theo dõi những hoạt động của các nhóm tin tặc không gian mạng.

Theo Hutchins, những kẻ tội phạm, điều hành ransomware BlackKingdom chạy một tập lệnh độc hại trên tất cả các máy chủ Exchange dễ bị tấn công thông qua lỗ hổng ProxyLogon, dù mã độc không thể mã hóa các tệp tin, chỉ ghi chú tiền chuộc vào mọi thư mục.

Chuyên gia bảo mật Hutchins phân tích "tập lệnh sẽ tải xuống một tệp thực thi và cố gắng đẩy tệp tin này lên tất cả các hệ thống trên mạng".

"Tệp thực thi là py2exe và nếu chạy thành công sẽ trông như thế này. Có vẻ như đây là phần mềm độc hại (Skidware) mã hóa các tập tin để tống tiền và không rõ tin tặc đã cho chạy skidware thành công bao nhiêu hệ thống."

"Tình huống chiến dịch tấn công mạng BlackKingdom chuyển từ ransomware thực tế sang phần mềm đe dọa mà tuyên bố rằng các tệp của bạn đã bị lấy trộm cho thấy, ransomware không mang lại hiệu quả. Địa chỉ tài khoản bitcoin của hacker có vẻ khá tĩnh và cho đến nay chỉ nhận được 1 khoản thanh toán trong 3 ngày."

 Thông báo đòi tiền chuộc của nhóm hacker BlackKingdom

Dù BlackKingdom không mã hóa được các tệp tin, lưu trữ trên honeypots của Hutchins, nhưng theo trang ID Ransomware, ransomware mã hóa thành công các thiết bị của nạn nhân khác, theo ID trang web nhận dạng ransomware ID Ransomware.

Michael Gillespie, nhà phát triển ID Ransomware, trả lời phỏng vấn trang BleepingComputer cho biết, hệ thống của anh nhận được hơn 30 mẫu ransomware BlackKingdom độc dáo từ những nạn nhân ở Mỹ, Anh, Canada, Pháp, Israel, Đức và một số quốc gia khác.

Trong những cuộc tấn công đó, ransomware đã mã hóa các tệp tin bằng phần mở rộng ngẫu nhiên và tạo ra một ghi chú đòi tiền chuộc có tên là decrypt_file.TxT.

Nhưng trên hệ thống honeypots của Hutchins, ghi chú đòi tiền chuộc lại có tên là ReadMe.txt và văn bản hơi khác.

BlackKingdom hiện là dòng ransomware thứ hai, được các chuyên gia bảo mật xác nhận đang khai thác những lỗ hổng ProxyLogon trong các máy chủ Exchanger. DearCry ransomware là phần mềm độc hại đầu tiên sử dụng những lỗi này trong một loạt cuộc tấn công hạn chế đầu tháng 3.

Brandon Wales, quyền Giám đốc Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) cảnh báo các doanh nghiệp, tổ chức: hàng nghìn máy chủ email Exchange có thể bị tin tặc tấn công ngay cả khi tải về và chạy các bản vá lỗi.

Microsoft dưa ra bản sửa lỗi khoảng ba tuần trước, nhưng cảnh báo bản vá sẽ không loại bỏ được phần mềm độc hại, khi tin tặc đã xâm nhập máy chủ.

Theo tuyên bố của Microsoft, có bốn lỗi, được lập chỉ mục là CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 và CVE-2021-27065, ảnh hưởng đến Exchange Server 2013, Exchange Server 2016 và Exchange Server 2019.

Công ty tuyên bố rằng, hacker đe dọa rất là một nhóm tội phạm mạng tinh vi, được nhà nước bảo trợ có trụ sở tại Trung Quốc. Nhóm có tên là Hafnium, đang khai thác những lỗ hổng Exchange để thực hiện các cuộc tấn công.

Nhà nghiên cứu bảo mật Brian Krebs cho rằng, khoảng 30.000 doanh nghiệp, tổ chức trên khắp nước Mỹ đã bị hackers, có trụ sở ở Trung Quốc xâm nhập thông qua các lỗ hổng này.

Công ty an ninh mạng ESET đầu tháng 3 cho biết: có bằng chứng cho thấy ít nhất 10 nhóm hacker đang khai thác lỗi trong Microsoft Exchange Server để xâm nhập vào các hệ thống máy tính trên toàn cầu. Các nhóm hacker mạng Winnti Group, LuckyMouse, Tick và Calypso, theo ESET cũng đang khai thác các lỗ hổng ProxyLogon.