Tin tặc đã triển khai một chiến dịch ransomware (mã độc tống tiền) mới, có tên gọi là 'BlackKingdom' nhằm khai thác những lỗ hổng của Microsoft Exchange Server ProxyLogon, cài đặt mã độc ransomware trên những máy chủ có hệ thống bảo mật yếu.
Trong nhiều tweet, đăng trên mạng xã hội Twitter ngày 23/3, chuyên
gia bảo mật Marcus Hutchins từ MalwareTechBlog tuyên bố, anh đã để lại honeypots
nhằm thu hút những kẻ tấn công và phát hiện ai đó đang chạy một tập lệnh trên
máy chủ Exchange của anh.
Honeypots là hệ thống máy tính với những lỗ hổng bảo mật đã
biết, mở công khai trên Internet để thu hút các cuộc tấn công mạng. Những
honeypots tương tự giúp các chuyên gia an ninh mạng giám sát, theo dõi những hoạt
động của các nhóm tin tặc không gian mạng.
Theo Hutchins, những kẻ tội phạm, điều hành ransomware
BlackKingdom chạy một tập lệnh độc hại trên tất cả các máy chủ Exchange dễ bị tấn
công thông qua lỗ hổng ProxyLogon, dù mã độc không thể mã hóa các tệp tin, chỉ
ghi chú tiền chuộc vào mọi thư mục.
Chuyên gia bảo mật Hutchins phân tích "tập lệnh sẽ tải
xuống một tệp thực thi và cố gắng đẩy tệp tin này lên tất cả các hệ thống trên
mạng".
"Tệp thực thi là py2exe và nếu chạy thành công sẽ trông
như thế này. Có vẻ như đây là phần mềm độc hại (Skidware) mã hóa các tập tin để
tống tiền và không rõ tin tặc đã cho chạy skidware thành công bao nhiêu hệ thống."
"Tình huống chiến dịch tấn công mạng BlackKingdom chuyển
từ ransomware thực tế sang phần mềm đe dọa mà tuyên bố rằng các tệp của bạn đã bị
lấy trộm cho thấy, ransomware không mang lại hiệu quả. Địa chỉ tài khoản
bitcoin của hacker có vẻ khá tĩnh và cho đến nay chỉ nhận được 1 khoản thanh
toán trong 3 ngày."
Thông báo đòi tiền chuộc của nhóm hacker BlackKingdom
Dù BlackKingdom không mã hóa được các tệp tin, lưu trữ trên
honeypots của Hutchins, nhưng theo trang ID Ransomware, ransomware mã hóa thành
công các thiết bị của nạn nhân khác, theo ID trang web nhận dạng ransomware ID
Ransomware.
Michael Gillespie, nhà phát triển ID Ransomware, trả lời phỏng
vấn trang BleepingComputer cho biết, hệ thống của anh nhận được hơn 30 mẫu
ransomware BlackKingdom độc dáo từ những nạn nhân ở Mỹ, Anh, Canada, Pháp,
Israel, Đức và một số quốc gia khác.
Trong những cuộc tấn công đó, ransomware đã mã hóa các tệp
tin bằng phần mở rộng ngẫu nhiên và tạo ra một ghi chú đòi tiền chuộc có tên là
decrypt_file.TxT.
Nhưng trên hệ thống honeypots của Hutchins, ghi chú đòi tiền
chuộc lại có tên là ReadMe.txt và văn bản hơi khác.
BlackKingdom hiện là dòng ransomware thứ hai, được các
chuyên gia bảo mật xác nhận đang khai thác những lỗ hổng ProxyLogon trong các
máy chủ Exchanger. DearCry ransomware là phần mềm độc hại đầu tiên sử dụng những
lỗi này trong một loạt cuộc tấn công hạn chế đầu tháng 3.
Brandon Wales, quyền Giám đốc Cơ quan An ninh mạng và Cơ sở
hạ tầng Mỹ (CISA) cảnh báo các doanh nghiệp, tổ chức: hàng nghìn máy chủ email
Exchange có thể bị tin tặc tấn công ngay cả khi tải về và chạy các bản vá lỗi.
Microsoft dưa ra bản sửa lỗi khoảng ba tuần trước, nhưng cảnh
báo bản vá sẽ không loại bỏ được phần mềm độc hại, khi tin tặc đã xâm nhập máy
chủ.
Theo tuyên bố của Microsoft, có bốn lỗi, được lập chỉ mục là
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 và CVE-2021-27065, ảnh hưởng đến
Exchange Server 2013, Exchange Server 2016 và Exchange Server 2019.
Công ty tuyên bố rằng, hacker đe dọa rất là một nhóm tội phạm
mạng tinh vi, được nhà nước bảo trợ có trụ sở tại Trung Quốc. Nhóm có tên là
Hafnium, đang khai thác những lỗ hổng Exchange để thực hiện các cuộc tấn công.
Nhà nghiên cứu bảo mật Brian Krebs cho rằng, khoảng 30.000
doanh nghiệp, tổ chức trên khắp nước Mỹ đã bị hackers, có trụ sở ở Trung Quốc
xâm nhập thông qua các lỗ hổng này.
Công ty an ninh mạng ESET đầu tháng 3 cho biết: có bằng chứng
cho thấy ít nhất 10 nhóm hacker đang khai thác lỗi trong Microsoft Exchange
Server để xâm nhập vào các hệ thống máy tính trên toàn cầu. Các nhóm hacker mạng
Winnti Group, LuckyMouse, Tick và Calypso, theo ESET cũng đang khai thác các lỗ
hổng ProxyLogon.