Phân phối phần mềm diệt virus Avast & AVG tại Việt Nam.

Ngày

TỔNG QUAN VỀ BẢO MẬT VÀ GIẢI MÃ RANSOMWARE NĂM 2018

Ghi chú

30/08/2018

Phát hiện CryptoNar ransomware một ransomware mới ẩn danh trong công cụ Kaspersky Trial Reset

 

23/08/2018

Trong một thông báo mới nhất, hạ tầng mạng viễn thông và thiết bị 5G của Huawei và ZTE bị cấm tại thị trường nước Úc.

Xem chi tiết

19/08/2018

Phát hành tool giải mã Mafia ransomware  

Download

13/08/2018

Biến thể Jobcrypter ransomware đang tấn công Pháp với địa chỉ email mới, và yêu cầu tiền chuộc lên đến 1000€

 

10/8/2018

KeyPass ransomware được viết bằng C ++ và được biên dịch trong MS Visual Studio, nó được phát triển bằng cách sử dụng các thư viện MFC, Boost và Crypto ++, KeyPass ransomware ẩn trong các phần mềm giả mạo. Khi được kích hoạt trên máy tính của nạn nhân, ransomware sao chép tệp thực thi của nó thành% LocalAppData% và khởi chạy nó, sau đó nó tự xóa chính nó khỏi vị trí ban đầu trên HDD khi nạn nhân tải xuống. Ransomware này xuất xứ từ Nga và lây nhiễm mạnh ở Brazil và Việt Nam.

Tại thời điểm phát hiện, Keypass ransomware tiềm ẩn trong phần mềm KMSPico (chuyên dùng Crack windows) và phần mềm bản Crack ABBYY FineReader 14 (phần mềm xử lý PDF và OCR tất cả trong một)

Xem báo cáo chi tiết

01/08/2018

Nhóm hacker 1937CN của Trung Quốc vừa mở một cuộc tấn công APT mới vào các cơ quan vào các cơ quan, tổ chức, các đơn vị hành chính…tại Việt Nam dựa trên khai thác CVE-2017–11882. Giải pháp: ngăn chặn kịp thời kết nối tới máy chủ điều khiển, quét để phát hiện, ngăn chặn và loại bỏ kịp thời các hành động phát tán hoặc việc cài đặt mã độc hại trong hệ thống.

Xem chi tiết báo cáo

31/07/2018

Dựa trên nguồn dữ liệu giám sát blockchain bằng cách theo dõi tất cả các địa chỉ Bitcoin, cryptocurrency Neutrino công khai và nguồn riêng tư, theo báo cáo mới nhất dài 47 trang của Công ty bảo mật Sophos đến từ Anh Quốc thì họ SamSam ransomware đã kiếm được gần 6 triệu USD từ tiền chuộc. Nhóm nghiên cứu Sophos cho biết họ đã xác định được 157 địa chỉ Bitcoin có nạn nhân thanh toán và 88 địa chỉ khác không nhận được tiền. Đã có 233 nạn nhân đã trả tiền chuộc cho họ SamSam ransomware, 3/4 số người được trả tiền chuộc ở Mỹ, một số nạn nhân khác đến từ Anh, Bỉ và Canada. Trong số đó một nửa số nạn nhân trả tiền chuộc là các công ty tư nhân, 1/3 nạn nhân là các tổ chức y tế, 1/4 còn lại đến từ các cơ quan chính phủ với đa phần là các tổ chức ngành giáo dục. Khác với các kiểu tấn công của các loại ransomware khác (như spam, trang web/phần mềm giả mạo, bộ công cụ khai thác độc hại), SamSam nhắm đến tấn công hàng loạt mục tiêu vào một thời điểm (Ban đầu, kẻ tấn công sử dụng một lỗ hổng đã biết và sử dụng các máy quét dò tìm và xác định các máy chủ có thể truy cập Internet và chưa được vá). Ngoài ra Samsam ransomware còn sử dụng nhiều công cụ hợp pháp như PsExec để mở rộng quyền truy cập vào các máy chủ cục bộ từ nơi chúng có thể lây nhiễm sang các máy trạm khác, khi họ có quyền truy cập đến các mục tiêu, các nhà khai thác SamSam sẽ triển khai nhị phân SamSam theo cách thủ công thông qua máy chủ tới tất cả các máy chủ được kết nối. Dựa trên hành vi, Sophos khẳng định SamSam ransomware dường như là công việc của một cá nhân đơn độc, chứ không phải là nhóm.

Xem chi tiết báo cáo

28/07/2018

BitPaymer ransomware đã tấn công 650 máy tính để bàn và máy chủ nằm trên các bộ phận của mạng Mat-Su (Matanuska-Susitna). Ngoài ra,  thành phố Valdez, Alaska cũng đang đối phó với một cuộc tấn công tương tự.

BitPaymer, loại ransomware này lần đầu tiên được phát hiện vào tháng 7 năm 2017, và lần đầu tiên nó phổ biến trong cộng đồng mạng vào tháng 8 năm 2017 sau khi nó tấn công một loạt các bệnh viện Scotland. Ngoài

ra BitPaymer còn có liên kết với nhóm tội phạm đang chạy botnet thư rác Necurs khét tiếng và trojan ngân hàng Dridex.

Tổng hợp nhiều nguồn: Fakebook, Matanuska-Susitna, Eset

27/07/2018

Palo Alto Networks đơn vị 42 mô tả cách giải mã phần mềm mã hoá LockCrypt Ransomware. Trước đó Bitdefender cũng đã phát hành công cụ giải mã LockCrypt ransomware (tên file mở rông .1btc) h ôm 24/07/2018. Các tên file mở rộng khác LockCrypt Ransomware bao gồm .lock, .mich, .2018 vui lòng liên hệ Michael Gillespie để  được giải mã.

Xem chi tiết

24/07/2018

Các phiên bản mới của các Trojan Banking Kronos được phát hiện trong chiến dịch tấn công mới nhắm mục tiêu đến Đức, Nhật bản, Ba Lan và các Ngân hàng. Trojan Banking Kronos sử dụng các kỹ thuật của trình duyệt cùng với các quy tắc webinject (thường là định dạng Zeus) để sửa đổi các trang web của các tổ chức tài chính nhằm đánh cắp thông tin người dùng, thông tin tài khoản, thông tin người dùng khác và tiền thông qua các giao dịch gian lận. Ngoài ra keycut và ẩn VNC là những chức năng hỗ trợ các hoạt động đánh cắp thông tin của Kronos. Một trong những khác biệt chính của phiên bản mới là việc sử dụng các máy chủ điều khiển mới C&C (.onion) được lưu trữ mã hoá cùng với Tor để giúp ẩn danh các liên lạc. Phiên bản mới này còn được quảng cáo là một Trojan ngân hàng mới gọi là “Osiris".

Xem chi tiết

23/07/2018

VNCERT vừa có công văn cảnh báo 234/VNCERT-ĐPƯC khuyến cáo các tổ chức về việc tin tặc tấn công hệ thống thông tin một số ngân hàng và hạ tầng quan trọng. Cụ thể, theo dõi và ngăn chặn kết nối đến các máy chủ C&C có địa chỉ IP là 38.132.124.250 và 89.249.65.220, kiểm tra quét hệ thống và xoá các tập tin mã độc có kích thước tương ứng: syschk.ps1 (318 KB), hs.exe (259 KB). Đây là những mã độc tấn công có chủ đích của nhóm Lazarus.

Xem chi tiết

05/07/2018

Linux là hệ điều hành mở hiện đang có hơn 480 phiên bản khác nhau.

Xem chi tết

01/07/2018

Theo thống kê 6 tháng đầu năm 2018, số lượng các ransomware đang suy giảm khoảng 30% so với năm 2017, thay vào đó việc khai thác tiền điện tử đang gia tăng 44%. Cũng theo thống kê, sau 1 năm, WannaCry (21%) vẫn thống trị thế giới ransomware, tiếp theo Locky (6%) Cerber (6%) và Shade (2%). Việt Nam chiếm 6,17% số người dùng bị tấn công bằng ransomware trong số tất cả người dùng gặp phải phần mềm độc hại.

Xem chi tiết

26/06/2018

Các chuyên gia bảo mật của Cisco Talos đã phát hành công cụ giải mã Thanatos ransomware (có rất nhiều phiên bản, nhưng phiên bản lây nhiễm phổ biến nhất của họ ransomware này là phiên bản 1.1)

Xem chi tiết

Download

22/06/2018

Avira là công ty bảo mật mạng đầu tiên chấp nhận thanh toán bằng Bitcoin và Bitcoin Cash từ BitPay (Một nhà cung cấp dịch vụ thanh toán bằng tiền điện tử kỹ thuật số, Bitpay cũng đã phát hành thẻ Visa prepaid liên kết Bitcoin hơn 131 quốc gia trên toàn thế giới)

Xem chi tiết

21/06/2018

Theo hãng tin AFP, Chín thành viên của EU lên kế hoạch thành lập lực lượng phản ứng nhanh Cyberforce nhằm chống lại các cuộc tấn công mạng bao gồm Croatia, Estonia, Hà Lan, Romania, Phần Lan, Pháp, Ba Lan, Tây Ban Nha và Lithuania. Cụ thể Lithuania sẽ lãnh đạo về các vấn đề cyberdefense, các chuyên gia sẽ được thành lập thành các đơn vị trên cơ sở luân phiên sẵn sàng giúp các nhà chức trách quốc gia giải quyết các cuộc tấn công mạng, bao gồm cả các "hành vi không gian thù địch" từ Nga nhắm vào các thể chế nhà nước và ngành năng lượng.Năm ngoái, Liên minh châu Âu cũng đã thiết lập một liên minh về cường hợp tác quốc phòng nội khối, được gọi là PESCO , một sáng kiến ​​do Lithuania đề xuất.

 

18/06/2018

Một báo cáo vừa được Bitdefender phát hành về Zacinlo Rootkit, nó tiềm ẩn trong ứng dụng s5Mark, có cấu trúc dựa trên Adware Wreaks Havoc. Zacinlo cũng đi kèm với một mô-đun để thực hiện các cuộc tấn công trung gian (MitM) để chặn lưu lượng truy cập, thậm chí là HTTPS. Tính năng này cho phép nó chặn các các trang web ngân hàng và giả mạo thanh toán trực tuyến, nhưng Zacinlo đã sử dụng tính năng này chủ yếu để đưa quảng cáo vào bất kỳ trang web nào mà họ muốn. Một mô-đun khác nổi bật là một mô-đun có thể phát hiện và loại bỏ phần mềm quảng cáo cạnh tranh. Zacinlo cũng đi kèm với các thành phần phần mềm quảng cáo thông thường thu thập thông tin hệ thống cục bộ, truyền nó đến một máy chủ điều khiển từ xa và cho phép nhận lệnh từ kẻ tấn công (các lệnh này cho phép chủ nhân của phần mềm quảng cáo gỡ cài đặt hoặc xóa bất kỳ dịch vụ cục bộ nào, nguyên lý gần  giống như các dịch vụ cụ thể cho phần mềm bảo mật) Bên cạnh rootkit và thành phần MitM,  còn có một mô-đun cho phép "chụp ảnh màn hình" máy tính của nạn nhân, điều này ảnh hưởng đến quyền riêng tư khi những ảnh chụp màn hình này có thể chứa các thông tin nhạy cảm như e-mail, tin nhắn tức thời hoặc các phiên giao dịch ngân hàng điện tử...Tuy nhiên, hiện tại Zacinlo được sử dụng chủ yếu là clickjacking và gian lận quảng cáo, nó cũng có tính năng tự cập nhật để nâng cấp các thành phần phiên bản mới, khả năng cài đặt bất kỳ phần mềm nào trên hệ thống của nạn nhân, mô-đun "redirector" để khiến người dùng buộc phải điều hướng đến một trang web và chạy quảng cáo thay thế hoặc cài đặt các chương trình mở rộng trên các phiên duyệt Web của người dùng. Zacinlo cũng chạy trình duyệt Chromium ở chế độ nền, nơi nó tải các trang web quảng cáo dựa trên việc nhấp chuột âm thầm để tạo ra lợi nhuận cho kẻ lừa đảo. Báo cáo cũng cho biết Zacinlo là một mối đe dọa nguy hiểm được âm thầm lan truyền đã hơn sáu năm, hầu hết các nạn nhân được phát hiện ở Mỹ, Pháp, Đức, Brazil, Trung Quốc, Ấn Độ, Indonesia và Philippines.

Xem chi tiết và danh sách IOCs

15/06/2018

Michael Gillespie cập nhập  công cụ  giải mã Volcano Ransomware (tên file mở rộng: [<email>].volcano). Volcano là biến thể của Everbe ransomware.

Download

15/06/2018

Michael Gillespie phát hành công cụ giải mã Everbe Ransomware (tên file mở rộng: .everbe, .embrace, .pain) và công cụ giải mã Sepsis Ransomware (tên file mở rộng: [Sepsis@protonmail.com].SEPSIS)

Download

Download

14/06/2018

Tác giả của Satan ransomware đã đổi tên "sản phẩm" của họ thành DBGer Ransomware  sử dụng EternalBlue và Mimikats để lan truyền qua mạng.

 

Apple phát hành iOS 11.4 bổ sung một tính năng bảo mật mới cho iOS gọi là “USB Restricted Mode”, nếu trong một tuần điện thoại không được mở khoá lần nào (bao gồm mở khóa bằng passcode hay sinh trắc học) nó sẽ vô hiệu hóa dữ liệu khi kết nối thông qua USB nhưng vẫn cho phép thiết bị sạc.

Xem chi tiết

06/06/2018

Avast phát hiện RedEye ransomware là một biến thể mới của Stupid ransomware hoặc biến thể của cùng một tác giả của Annabelle ransomware với nick name: iCoreX

 

Hơn 92 triệu tài khoản khách hàng bao gồm địa chỉ email và mật khẩu của  website MyHeritage chuyên cung cấp dịch vụ xét nghiệm DNA đã bị tin tặc tấn công.

Xem chi tiết

05/05/2018

Operation Prowli, một botnet khổng lồ được các nhà nghiên cứu bảo mật phát hiện đã tấn công hơn 40.000 máy chủ, modem và các thiết bị loT kết nối internet. Hơn 9.000 doanh nghiệp thuộc nhiều lĩnh vực khác nhau, bao gồm các tổ chức tài chính, giáo dục và chính phủ đã bị lây nhiễm. Prowli Malware đã sử dụng các kỹ thuật tấn công khác nhau bao gồm khai thác các lỗ hổng, mật khẩu và cài đặt yếu để quản lý các máy chủ, trang web trên khắp thế giới. Prowli Malware cài đặt mã độc đào tiền ảo Monero "xm111" và “r2r2” – một phần mềm độc hại thực thi các cuộc tấn công brute-force SSH từ các thiết bị bị nhiễm, cho phép phần mềm độc hại Prowli chiếm đoạt quyền điều khiển thiết bị mới. (r2r2 tạo ngẫu nhiên các khối địa chỉ IP và cố gắng đăng nhập SSH bằng các thông tin đăng nhập phổ biến). Ngoài ra Prowli cũng lừa người dùng cài đặt tiện ích mở rộng độc hại bằng cách sử dụng một webshell mã nguồn mở gọi là “WSO Web Shell” để sửa đổi các máy chủ bị xâm nhập cho phép kẻ tấn công chuyển hướng khách truy cập trang web đến các trang web giả mạo để cài đặt các extension độc hại.

Để bảo vệ thiết bị của bạn khỏi các cuộc tấn công giống như Prowli, người dùng nên đảm bảo hệ thống luôn được Backup và cập nhật mới nhất, sử dụng mật khẩu mạnh cho và trang bị phần mềm phòng chống malware mạnh và uy tín.

Xem chi tiết

03/05/2018

Một báo cáo tiết lộ mối liên quan giữa những nhóm gián điệp mạng do Chính phủ Trung Quốc bảo trợ, trong đó vài nhóm trong đang hoạt động ở Xicheng, Bắc Kinh ( VD như nhiều trường hợp tin tặc truy cập vào máy nạn nhân mà không qua proxy, từ đó tìm ra vị trí của tin tặc đang thực hiện session có địa chỉ IP xác định được là 221.216.0.0/13, nằm tại tòa nhà China Unicom Beijing Network). Báo cáo diễn giải các nhóm với nhiều mối quan hệ của nhiều chiến dịch tấn công mạng diễn ra trong vòng 10 năm qua đều được kết nối với bộ máy tình báo quốc gia Trung Quốc được gọi với cái tên “Winnti umbrella” bao gồm: Winnti, Gref, PlayfullDragon, APT17, DeputyDog, Axiom, BARIUM, LEAD, PassCV, Wicked Panda, và ShadowPad. Các nhóm này sử dụng phương thức, kỹ thuật và quy trình tấn công tương đồng, nhiều chiến dịch còn chồng chéo lên nhau và nền tảng tương tự nhau. Mục tiêu tấn công của các nhóm là những Công ty công nghệ cao ở Mỹ, Nhật, Hàn và Trung Quốc với mục đích chính là thu thập thông tin về Công nghệ, thao tác phần mềm và tài chính. Tuy nhiên theo các nhà nghiên cứu thì mục tiêu chính của Winnti umbrella vẫn là chính trị.

Xem chi tiết

Danh sách IP, Domain và file hash.

04/06/2018

Magniber Ransomware vẫn họat động mạnh ở Hàn Quốc.

 

01/06/2018

Khoảng 75% của các Máy chủ Redis (REmote DIctionary Server) mở bị nhiễm phần mềm độc hại (57.600 máy chủ trên tổng số  72.000 máy chủ), bằng chứng là phát hiện ra ReddisWannaMine, một hoạt động botnet bí mật khai thác tiền điện tử trên các máy chủ Redis mở được để lộ trực tuyến. Ngoài ra kẻ tấn công tiếp tục cài đặt các khóa SSH trên máy chủ Redis bị xâm nhập để họ có thể truy cập nó sau này

Xem chi tiết

30/05/2018

Karim Baratov (còn gọi là Karim Taloverov hoặc Karim Akehmet Tokbergenov) được thuê gây ra vụ tấn công Yahoo năm 2014 làm ảnh hưởng đến 500 triệu người dùng vừa bị kết án 5 năm tù và nộp phạt 250.000 USD. Hacker này cho biết mình không biết kẻ thuê tấn công là gián điệp Nga vì anh không tìm hiểu thông tin về khách hàng của mình.

Xem chi tiết

28/05/2018

Theo báo cáo của Banco de Chile, ngân hàng lớn nhất của Chile, tin tặc đã sử dụng phần mềm độc hại KillDisk/KillMBR để phá hoại hàng trăm máy tính, cuộc tấn công diễn ra vào ngày 24 tháng 5 đã phá hủy hơn 9.000 máy tính và hơn 500 máy chủ của ngân hàng Chile này. Phần mềm độc hại KillDisk/KillMBR là một mối đe dọa nổi tiếng nhắm mục tiêu ngân hàng và các tổ chức tài chính, chức năng chính của nó là xóa sạch ổ đĩa, phá hủy dữ liệu hoặc được tích hợp với phần mềm ransomware để mã hóa dữ liệu đòi tiền chuộc.

Cập nhập 26/07/2018: Thông qua Twitter, một nhóm tin tặc tự xưng là TheShadowBrokers tuyên bố đã đánh cắp và rò rỉ hàng nghìn thẻ tín dụng Banco de Chile. Vụ việc hiện vẫn đang được các cơ quan chức trách điều tra.

Xem chi tiết

Xem chi tiết

26/05/2018

Theo như Gizmodo đưa tin, nhờ sự kết hợp điều tra giữa Phòng Công tố Paris với Phòng Ủy quyền Quận Manhattan thuộc New York, nơi Vevo đặt trụ sở chính, cảnh sát Paris đã bắt giữ hai hacker người Pháp mới 18 tuổi, đứng đằng sau vụ hack video Despacito và hàng loạt ca khúc khác của Vevo trên Youtobe tháng trước. Hai chàng trai tuổi teen này có tên là "Nassim B." và "Gabriel K.A.B.", với hai mật danh sử dụng trên mạng là "Prosox" và "Kuroi’ish". Thực hiện hành động phá hoại xong, hacker Prosox lên Twitter nói rằng toàn bộ vụ việc này “chỉ để cho vui“. Cả hai đều bị truy cứ với tội danh "làm sai lệch dữ liệu có sẵn trong hệ thống xử lý dữ liệu tự động"

Xem chi tiết

23/05/2018

VPNFilter là một malware đã lây nhiễm cho hơn 500.000 router phổ thông được dùng trong các hộ gia đình và các văn phòng trên toàn thế giới như Linksys, MikroTik, Netgear, TP-Link, và trên các thiết bị lưu trữ  QNAP chạy QTS software (bao gồm: Linksys E1200, Linksys E2500, Linksys WRVS4400N, MikroTik RouterOS cho các router Cloud Core: phiên bản 1016, 1036, và 1072, Netgear DGN2200, Netgear R6400, Netgear R7000, Netgear R8000, Netgear WNR1000, Netgear WNR2000, QNAP TS251, QNAP TS439 Pro, các thiết bị NAS khác của QNAP chạy phần mềm QTS, TP-Link R600VP). Kẻ tấn công có thể sử dụng nó để thu thập thông tin, phát động các cuộc tấn công hay phá hủy vĩnh viễn các thiết bị chỉ với một câu lệnh từ xa. Vì đây là một malware đa tầng, với mỗi tầng có (multi-stage) có cách thức tấn công và khả năng duy trì trên thiết bị khác nhau nên VPNFilter là một trong số ít các malware trên các thiết bị Internet of Things có thể sống sót qua việc khởi động lại. Rất khó xác định liệu router có bị nhiễm malware này hay không, vì vậy khuyến cáo người dùng của bất kỳ thiết bị nào trên đây nên thực hiện khôi phục thiết bị về cài đặt gốc (factory reset) sau đó thiết lập lại các cấu hình lưu trữ trong thiết bị, ngoài ra nâng cấp lên firmware mới nhất nếu có thể, thay đổi mật khẩu quản trị mặc địnhvô hiệu hóa quản trị từ xa. Tối thiểu người dùng nên khởi động lại thiết bị của mình 1 lần để ngăn chặn tầng (stage) 2 và 3 của malware khởi chạy.

Xem chi tiết (Nguồn: Talos)

Xem chi tiết (Nguồn Symante)

 

Mặc dù thủ lĩnh nhóm bị bắt giữ ở Tây Ban Nha hai tháng trước, nhóm hacker Cobalt chuyên ăn cắp tiền từ các ngân hàng và tổ chức tài chính vẫn hoạt động và tung ra một chiến dịch mới là giả mạo cải trang thành cảnh báo bảo mật của Kaspersky, nạn nhân được kêu gọi truy cập vào một liên kết để đọc và trả lời đơn khiếu nại mà Kaspersky nhận được về một hành vi phạm tội được cho là do nạn nhân thực hiện, liên kết này dẫn đến một trang web độc hại, và nạn nhân sẽ bị nhiễm trojan CobaIt.

 

16/05/2018

Cục Điều tra Liên bang Mỹ (FBI) và hãng bảo mật Trend Micro vừa phối hợp đánh sập đường dây tội phạm công nghệ xuyên quốc gia mang tên Scan4You. Trend Micro đã theo dõi trong suốt hành trình 5 năm từ mùa hè năm 2012 sau khi phát hiện một số hoạt động bất thường xảy ra trên máy quét về một công cụ phân phối phần mềm độc hại với tên gọi “g01pack”. Scan4You đã  tiếp tay cho những hoạt động của tội phạm công nghệ cao mà nổi tiếng nhất là dịch vụ chống phần mềm diệt virus (Counter Antivirus - CAV) để vô hiệu hóa hơn 35 phần mềm bảo mật nổi tiếng thế giới hoặc cho phép những kẻ tấn công có thể kiểm tra mức độ hiệu quả của phần mềm độc hại mà không bị phát hiện. Ngoài Scan4You đối thủ cạnh tranh là VirusCheckMate cũng đang là  dịch vụ CAV lớn nhất còn sót lại.

Xem chi tiết

14/05/2018

Chính phủ Hà Lan quyết định loại bỏ phần mềm Kaspersky trên các mạng lưới chính phủ với lo ngại Hà Lan đã từng là một mục tiêu gián điệp không gian mạng của Nga trong quá khứ mặc dù hôm nay Kaspersky cũng đã thông báo họ đã chuyển một phần cơ sở hạ tầng bằng cách di chuyển dây chuyền lắp ráp phần mềm và hệ thống lưu trữ dữ liệu người dùng trên nền tảng trung lập của mình sang một trung tâm minh bạch ở Zurich, Thụy Sĩ - nơi nó có thể được kiểm toán và xác nhận bởi các bên thứ ba độc lập.

Xem chi tiết

Xem chi tiết

10/05/2018

Billy Ribeiro Anderson - Một hacker máy tính với biệt danh “Alfabetovirtual” đã tấn công trái phép hơn 11.000 trang web bao gồm cả các trang Web của  quân đội và chính phủ Mỹ cuối cùng bị bắt tại Torrance, Los Angeles, California.

Xem chi tiết

07/05/2018

PSCrypt ransomware đã quay trở lại với phiên bản " Business ". PSCrypt ransomware được phát hiện lần đầu vào thàng 06 năm 2017 tấn công người dùng và  các tổ chức ở Ukraine (ransomware được phân phối qua trang web Crystal Finance Millenniu - là nhà cung cấp dịch vụ lưu trữ ngoại tuyến nhưng các bản lưu trữ tồn tại trực tuyến như phần mềm kế toán, kiểm dịch hồ sơ y tế, phần mềm y tế..., khi trang này bị hacker tấn công và cài đặt sẵn ransomware), PSCrypt có cấu trúc tương tự (hoặc dựa trên nền tảng) của họ GlobeImposter ransomware.

 

 

Theo báo cáo mới nhất của Kaspersky, SynAck ransomware đã quay trở lại và sử dụng các kỹ thuật phức tạp của Process Doppelgänging  (Doppelgänging lần đầu tiên được trình bày tại một hội nghị an ninh vào tháng 12/2017, nó tương tự một kỹ thuật khác gọi là Process Hollowing nhưng sử dụng kỹ thuật tiêm mã lạm dụng cơ chế NTFS của Windows để tạo ra và ẩn các quy trình độc hại nhằm tránh bị phát hiện bởi phần mềm chống vi-rút, ngăn chặn các kỹ thuật đảo ngược cũng như ngăn phân tích sandbox tự động bằng cách kiểm tra thư mục từ nơi nó thực hiện, nếu nó tìm thấy một nỗ lực để khởi chạy các tập tin thực thi độc hại từ một thư mục nằm trong danh sách trắng , SynAck sẽ không chạy và nó sẽ tự kết thúc).  Sau khi thiết bị bị nhiễm SynAck, nó sẽ mã hóa nội dung của mỗi tệp bị nhiễm bằng thuật toán AES-256-ECB-ECIES-XOR-HMAC-SHA1 một cách hỗn hợp (phần mở rộng cho mã hóa được tạo thành từ 10 ký tự alpha ngẫu nhiên) và hiển thị một ghi chú ransomware ngay tại màn hình đăng nhập Windows bằng cách sửa đổi các khóa LegalNoticeCaption và LegalNoticeText trong bản ghi registry. Bên cạnh đó nó buộc nạn nhân phải liên hệ với tác giả về giá giải mã thương lượng qua email hoặc BitMessage. SynAck thậm chí còn xóa các bản ghi sự kiện được lưu trữ bởi hệ thống để tránh phân tích pháp y của một máy bị nhiễm bệnh.

Xem chi tiết

Kỹ thuật Process Hollowing và Process Doppelgänging

04/05/2018

Kaspersky đã công bố một báo cáo chi tiết về hoạt động của một nhóm gián điệp mạng mới gọi là ZooPark tấn công có chủ đích (APT) nhắm đến mục tiêu người dùng Android đang hoạt động ở khu vực Trung Đông. Nhóm này hoat động trong ba năm qua từ năm 2015. 

Xem chi tiết

 

Theo USA Today, Twitter - Công ty mạng xã hội có trụ sở tại San Francisco khuyên 336 triệu người dùng không những chỉ thay đổi mật khẩu của họ trên nền tảng này, mà còn cả ở những dịch vụ khác nếu họ cũng sử dụng mật khẩu đó, sau khi phát hiện một lỗi có thể làm lộ mật khẩu dưới dạng văn bản thuần túy ghi lại nhật ký nội bộ của hệ thống, lỗi này xảy ra do một vấn đề trong quá trình mã hóa mật khẩu bằng hàm băm, thay thế chúng bằng một chuỗi ký tự ngẫu nhiên khác để lưu trên hệ thống của Twitter.

Xem chi tiết

03/05/2018

Ngân hàng Commonwealth của Úc đã xác nhận rằng hai băng từ chứa thông tin giao dịch khoảng 19,8 triệu tài khoản bị mất hai năm trước sau khi bị xử lý sai bởi Fuji Xerox, một nhà thầu cung cấp các dịch vụ phá hủy dữ liệu. Sự cố này là một trong những tổn thất dữ liệu lớn nhất của công chúng nước Úc, với dân số khoảng 26 triệu người.

Xem chi tiết

 

Công ty nghiên cứu Cambridge Analytica thông báo rằng họ ngừng tất cả các hoạt động tại Mỹ và Anh, song song với thủ tục phá sản sẽ được tiến hành tai5 New York do sự gia tăng đáng kinh ngạc của công ty đối với việc bị cáo buộc thu thập dữ liệu trái phép của 87 triệu người dùng Facebook đã làm Cambridge Analytica mất đi khách hàng thường xuyên và gây nhiều trở ngại nghiêm trọng.

Xem chi tiết

01/05/2018

Các nhà nghiên cứu tại Arbor Networks cho biết họ đã tìm thấy các phiên bản của ứng dụng LoJack đã bị sửa đổi trong phần nhị phân của ứng dụng và thay đổi địa chỉ máy chủ C&C. Thay vì các báo cáo gởi về máy chủ LoJack trung tâm, thì nay các đại lý của LoJack đã báo cáo và nhận được hướng dẫn từ các miền thuộc quyền kiểm soát của APT28 (APT28 còn được gọi là Fancy Bear, Sofacy, X-agent , Sednit, Sandworm hay Pawn Storm là một nhóm gián điệp quốc gia được đặt tại Nga, có quan hệ với tình báo quân sự của Nga). Các nhà nghiên cứu báo mật gọi nhựng mẫu LoJack độc hại này là DoubleAgent malware.

Lojack (sản phẩm của Computrace, một công ty chuyên sản xuất phần mềm giám sát) là một một ứng dụng đơn lẻ cài đặt trên thiết bị như máy tính xách tay, máy tính bảng, điện thoại thông minh... cho phép khôi phục dữ liệu, bảo vệ thiết bị nếu bị đánh cắp, định vị và khóa thiết bị từ xa.

Xem chi tiết

Xem chi tiết  

27/04/2018

Kerala Cyber ​​Warriors (KCW), một nhóm gồm 15 tin tặc mũ trắng  thành lập 28/12/2015 có trụ sở tại Kerala,  Ấn Độ, đã cài đặt KCW ransomware trên các trang web có trụ sở tại Pakistan, nó mã hóa các tập tin trên một trang web và sau đó yêu cầu một khoản tiền chuộc để lấy lại các tập tin. Theo quản trị viên của Kerala Cyber ​​Warriors, cụ thể là GH057_R007 và 8L4CK_P3RL, "việc tấn công các trang web từ Pakistan chỉ để ngăn chặn chúng xâm nhập các trang web của Ấn Độ"

Facebook nhóm KCW

 

Chính quyền Trung Quốc ở tỉnh Tân Cương đang buộc buộc người thiểu số Hồi giáo phải cài đặt một ứng dụng gọi là Jingwang (An toàn công dân) được phát triển bởi lực lượng cảnh sát từ Ürümqi (thủ phủ của Tân Cương) lên điện thoại của họ để cho phép chính phủ quét thiết bị. Ứng dụng này cũng tạo bản sao của cơ sở dữ liệu Weibo và WeChat của người dùng và tải nó lên máy chủ của chính phủ, cùng với thông tin đăng nhập IMEI, IMSI và WiFi của người dùng. Biện pháp này chỉ áp dụng ở Tân Cương nhằm " ngăn chặn những cuộc biểu tình và tình trạng bất ổn trong khu vực " và cấm người Uyghur (Người Duy Ngô Nhĩ) mặc trang phục Hồi giáo cổ điển.

Xem chi tiết

24/04/2018

Hôm nay, ngày 24 tháng 4 năm 2018, Công ty MITER đã xuất bản số nhận dạng CVE số 100.000 (một trăm nghìn) số CVE-2017-2906 (báo cáo của Cisco Talos). Tập đoàn MITER được thành lập năm 1958, là một công ty tư nhân phi lợi nhuận, đơn vị khởi chạy Dự án CVE từ 1999. CVEs (Common Vulnerability Enumeration) là một danh sách hướng dẫn kỹ thuật các lỗ hổng ảnh hưởng đến tất cả các loại phần mềm nhằm cung cấp khả năng tương tác giữa các cơ sở dữ liệu dễ bị tổn thương.

Xem chi tiết

23/04/2018

Một báo cáo cung cấp tổng quan kỹ thuật về cấy ghép phần mềm độc hại của các nhà phân tích iDefense đã xác định một cuộc tấn công có chủ đích nhằm vào Nhật Bản của nhóm APT10 ( APT10 còn được gọi là HOGFISH, menuPass hay Stone Panda, là một nhóm gián điệp Trung Quốc đã tấn công vào nhiều tổ chức phương Tây kể từ đầu năm 2009). Phần mềm độc hại được sử dụng trong chiến dịch này được phát hiện là phiên bản mới nhất của RedLeaves RAT có khả năng cho phép thực hiện các tác vụ sau trên máy bị xâm phạm: Chụp ảnh màn hình; Thu thập tên người dùng và mật khẩu của trình duyệt; Thu thập thông tin hệ thống mở rộng; Gửi, nhận và thực thi các lệnh từ máy chủ C&C.

Xem chi tiết

(Bản lưu)

22/04/2018

Các nhà nghiên cứu bảo mật cảnh báo Satan ransomware đã tích hợp khai thác ExtenalBlue đang lây nhiễm mạnh (Satan ransomware được phát hiện lần đầu vào tháng 01/2017, tháng 11/2017 Satan ransomware đã tích hợp khai thác ExtenalBlue để lây nhiễm qua mạng và mã hóa các tập tin trong hệ thống mạng)

Xem chi tiết

 

Theo trang Telegraph, Kaspersky đã bị cấm quảng cáo trên Twitter trước những cáo buộc hành động kinh doanh của hãng đã đi ngược với chính sách quảng cáo của Twitter cũng như những lo ngại bảo mật về mối quan hệ của Kaspersky với các cơ quan tình báo Nga.

Xem chi tiết

20/04/2018

Xuất hiện RansSIRIA ransomware lợi dụng cuộc khủng hoảng người tị nạn Syria tuyên bố rằng nó sẽ quyên góp tiền chuộc cho những người tị nạn Syria và nhắm mục tiêu các nạn nhân Brazil. Đây là biến thể của ransomware WannaPeace. Bên cạnh đó  ransomware cũng sẽ mở ra một loạt các hình ảnh cho thấy chiến tranh khủng khiếp như thế nào và hiển thị một video YouTube thông qua câu chuyện của một đứa trẻ.

 

17/04/2018

Phiên bản mới của XiaoBa ransomware được chỉnh sửa cho phép cài đặt coinminer khai thác tiền ảo bằng cách chèn một bản sao JavaScript Coinhive bên trong các tệp HTML vào máy tính bị nhiễm. (XIAOBAMINER - RANSOMINER) 

 

16/04/2018

Intel cho phép các công cụ chống vi-rút sử dụng các GPU tích hợp để quét phần mềm độc hại, đây là công bố tại hội nghị bảo mật RSA 2018 về một số công nghệ mới tập trung vào bảo mật, trong đó có một tính năng cho phép các sản phẩm bảo mật giảm tải hoạt động quét vi-rút cho bộ xử lý đồ họa tích hợp được nhúng với một số CPU Intel. Tên của công nghệ mới này là "Intel Accelerated Memory Scanning" mục đích nhằm giảm sử dụng CPU, giải phóng tài nguyên cho các ứng dụng khác mà còn tiết kiệm thời gian sử dụng pin bằng cách sử dụng các GPU nhúng. Ngoài ra 02 tính năng khác cũng được Intel công bố là Intel Remote Platform Telemetry (Intel kết hợp triển khai công nghệ mới này với nền tảng Cisco Tetration, một công cụ kết hợp từ xa nền tảng với máy học để phát hiện mối đe dọa nhanh hơn, khả năng bảo vệ an toàn cho đám mây và bảo mật cho các trung tâm dữ liệu trên toàn cầu) và Intel Security Essentials, một bộ sưu tập các khả năng bảo mật phần cứng gốc tin cậy sẽ được triển khai với bộ xử lý Core, Xeon và Atom của Intel.

Xem bài viết

Bộ Thương mại Hoa Kỳ đã chính thức áp đặt lệnh cấm các công ty của  Mỹ bán các sản phẩm và phần mềm của nhà sản xuất thiết bị viễn thông  ZTE Corp, Trung Quốc trong vòng bảy năm. Sản phẩm xuất khẩu của ZTE xuất đi Mỹ chiếm khoảng 25% đến 30% bao gồm điện thoại thông minh và thiết bị để xây dựng mạng viễn thông.

Xem chi tiết

06/04/2018

Cập nhập công cụ giải mã JigSawDecrypter (với file mở rộng .LolSec)

LolSec ransomware VirusTotal

Download

Download

05/04/2018

VirusTotal bổ sung thêm giao diện Droidy, là một kỹ thật Sanbox mới dành cho Android. 

 

03/04/2018

Có vẻ như Microsoft Malware Protection là phần mềm bảo mật liên tục dính nhiều lỗi bảo mật quan trọng nhất từ trước đến nay khi mới đây CVE-2018-0986 (Khi nạn nhân thực hiện scan file giả mạo của kẻ tấn công bằng Microsoft Malware Protection Engine sẽ kích hoạt một lỗi trong bộ nhớ và thực hiện bất kỳ mã thực thi nào thông qua remote code trên hệ thống mục tiêu. Mã khai thác này sẽ được chạy ở đặc quyền LocalSystem và có quyền kiểm soát hệ thống) là lỗ hỗng nghiêm trọng tới Engine các phần mềm Microsoft Endpoint Protection, Microsoft Exchange Server, Microsoft Forefront Endpoint Protection, Microsoft Security Essentials và Windows Defender. Nó ảnh hưởng tới tất cả các phiên bản Microsoft Malware Protection Engine có v1.1.14600.4 hoặc thấp hơn.

Xem chi tiết

28/03/2018

Fauxpersky, mã độc mới giả mạo phần mềm diệt virus Kaspersky, được viết bằng công cụ AutoHotKey (AHK) – công cụ được sử dụng để tạo các phím tắt trên Windows phát triển từ năm 2003 – chuyên dùng để đánh cắp thông tin cá nhân. Theo báo cáo, các mã độc dựa trên AHK được phát hiện hàng ngày và ngày càng phức tạp, AHK là công cụ đơn giản và phổ biến nhất tạo ra keylogger, clipbankers hoặc droppers.

Xem chi tiết

26/03/2018

Theo báo cáo mới nhất của tạp chí Seattle Times, một nhà máy sản xuất của Boeing tại Charleston, Nam Carolina đã bị mã độc WannaCry tấn công khiến cho bộ phận quan trọng thuộc dây chuyền sản xuất và lắp ráp tự động của Boeing,  có tên là 777 đã không thể hoạt động. Kỹ sư trưởng Mike VanderWel của Boeing đã phải gửi một thông báo tới toàn bộ công ty, kêu gọi tạm thời dừng tất cả các hoạt động và rà soát kiểm tra lại toàn bộ phần mềm của toàn hệ thống.

Xem chi tiết

1/ INTERPOL, EuroPol, FBI và Cảnh sát Tây Ban Nha đã phối hợp bắt giữ thủ lĩnh nhóm CARBANAK tại Alicante (thuộc Tây ban Nha) Carbanak là tên của nhóm hacker chuyên sử dụng công cụ tấn công có chủ đích nhắm vào các tổ chức tài chính trên toàn thế giới với mục đích chính là đánh cắp tiền. Vào thời điểm năm 2015, nhóm này đang sử dụng một loạt các công cụ, trong đó có một chương trình tên Carbanak, sau khi bị phát hiện nhóm này đã biến đổi công cụ và bắt đầu sử dụng phần mềm độc hại trên nền tảng Cobalt-strike, bao gồm tên gọi cũng như cấu trúc máy chủ. Nhóm này sử dụng phương pháp tấn công phi kỹ thuật nhưng vô cùng đơn giản như email phising với các tập tin độc hại (VD như tập tin Word có nhúng phần mềm khai thác lỗ hổng), nhắm vào nhân viên các tổ chức tài chính. Một khi nạn nhân bị lây nhiễm, kẻ tấn công sẽ cài một backdoor thực hiện công tác gián điệp, đánh cắp và quản lý dữ liệu các máy chủ bị lây nhiễm từ xa và chỉ việc chờ đợi các giao dịch tài chính diễn ra. Theo ước tính nhóm này đã đánh cắp gần 1 tỷ đô la Mỹ. Từ năm 2013, Carbanak đã tấn công hơn 100 ngân hàng, hệ thống thanh toán điện tử và nhiều tổ chức tài chính khác tại ít nhất 30 quốc gia châu Âu, châu Á, Bắc và Nam Mỹ cùng những vùng lãnh thổ khác. Ngoài ra, các nhà nghiên cứu bảo mật còn phát hiện các nhóm như Metal, GCMAN, Lazarus và Silence cũng đang tấn công các tổ chức tài chính bằng phần mềm độc hại tùy biến với thủ pháp và quy trình tương tự Carbanak.

2/ Cùng ngày, cảnh sát Ukraine cũng tuyên bố bắt giữ một thành viên khác của nhóm Carbanak/Cobalt ở Kiev, nghi phạm đã làm việc với nhóm Cobalt từ năm 2016 và cũng tham gia vào các hoạt động gián điệp trên mạng như phát triển phần mềm độc hại và bán dữ liệu cá nhân từ các công dân trên toàn thế giới.   

Bản tin 2015

Bản tin EuroPol

Bản tin Ukraine

Quá trình lây nhiễm Carbanak/Cobalt

25/03/2018

Xuất hiện một ransomware mới là AVCrypt cố gắng gỡ bỏ cài đặt phần mềm bảo mật hiện có trên máy tính trước khi nó mã hóa máy tính.

 

22/03/2018

Thị trưởng thành phố Atlanta, Georgia đã xác nhận trong một cuộc họp báo ngày hôm nay rằng một số hệ thống CNTT của chính quyền địa phương hiện đang bị lây nhiễm bởi Samsam ransomware. Sự lây nhiễm ransomware đã bắt đầu từ khoảng 5 giờ 40 sáng, giờ địa phương. Trước đây, Samsam ransomware cũng đã tấn công và lây nhiễm mạnh ở Sở Giao Thông Colorado hôm 21/02/2018.

Video họp   báo

20/03/2018

Thông tin về dữ liệu cá nhân của hơn 50 triệu người dùng Fakebook đã được thu thập và sử dụng trái phép thông qua một ứng dụng phát triển bởi công ty phân tích dữ liệu của Anh - Cambridge Analytic (được ví như một liên minh của những dự án quốc phòng và tính báo, với các nhà thầu tư nhân và những loại vũ khí ảo hiện đại). Ứng dụng này sẽ ghi lại kết quả của từng bài kiểm tra, thu thập dữ liệu từ tài khoản của những người đã làm bài trắc nghiệm tâm lý, và còn thu thập dữ liệu từ Facebook của bạn bè của những người làm bài trắc nghiệm. Điều đáng nói là Cambridge Analytic sử dụng những thông tin thu thập được cho mục đích marketing cho các vấn đề liên quan đến tình dục, trí thông minh,  giới tính sắc tộc, đảng phái chính trị và nga cả những chấn thương tâm lý thời thơ ấu. Người dùng nên vô hiệu hóa các ứng dụng bên ngoài (bên thứ 3) từ việc sử dụng dữ liệu Facebook của bạn.

Xem chi tiết

17/03/2018

Giới an ninh mạng và Kaspersky Lab tuyên bố đã tìm ra những bằng chứng xác thực các cuộc tấn công từ phần mềm độc hại “Olympic Destroyer” tại Olympic mùa Đông Pyeongchang 2018 cho dù bọn tin tặc tạo hiện trường giả rất tinh vi. Phần mềm độc hại nói trên có liên quan đến Lazarus – được chính phủ Triều Tiên hỗ trợ.

 

Thomasz T - Hacker người Ba Lan, một tội phạm mạng nổi tiếng được cho là tác giả của các dòng ransomware Polyski, Vortex và Flotera đã bị Cảnh sát Ba Lan bắt giữ vào thứ Tư, 14 tháng 3, tại thị trấn Opole của Opole. Cảnh sát Ba Lan hiện đang khuyến khích các nạn nhân của gia đình Polls, Vortex và Flotera ransomware đệ trình khiếu nại chính thức với chính quyền địa phương để có thể nhận được chìa khóa giải mã cho các tệp tin. Thomasz T hoạt động dưới biệt danh "Armaged0n" trên Hackforums[.]net nổi tiếng.

Bản tin

15/03/2018

Theo báo cáo của Microsoft (SIR 23), năm 2017 Châu Á là khu vực bị ảnh hưởng nặng nề nhất bởi ransomware, mặc dù ba vụ ransomware là WannaCry, NotPetya, và Bad Rabbit là điển hình của năm nhưng top 5 ransomware hoạt động mạnh nhất 2017 thuộc về LockScreen (Android screenlocker/ransomware), WannaCry, Cerber, Enestedel và Spora.

 

Xuất hiện Zenis ransomware không những mã hóa dữ liệu mà còn tìm kiếm, ghi đè và xóa dữ liệu backup khiến cho việc phục hồi trở nên khó khăn.

 

12/03/2018

Theo một báo cáo của McAfee phát hành, Necurs (60%) và Gamut (37%) là 02 Botnets chiếm 97% email spam của thế giới Internet. Lethic (1%) Darkmailer (1%), và một số botnets khác chỉ chiếm 1 % còn lại. Cũng theo báo cáo, Flashback (infostealer) và Longage (RAT) là các mối đe dọa Mac phổ biến nhất trong quý 4 năm 2017, phần mềm độc hại PowerShell tăng gấp ba lần, tăng 267%.

Necurs một botnet spam được cho là có hàng triệu bot, hoạt động chính của Botnet là ngoài việc lan truyền keylogger, Trojan ngân hàng, và một số dòng ransomware đình đám như Locky, GlobeImposter... ngoài ra Necurs còn spam hàng triệu thư rác thu hút người dùng cho các trang web dành cho người lớn, quảng bá tiền điện tử... (ví dụ như thông qua những chiến dịch spam khổng lồ gửi hàng triệu email spam cho một tiền ảo mới tên là Swisscoin vào 01/2018 sau việc John McAfee, người sáng lập công ty bảo mật mạng McAfee, đã đăng lên tài khoản Twitter của mình nhiều loại tiền điện tử trong  mẩu tin "Coin of the Day").

Gamut, một Botnet khác cũng được xây dựng trên hệ thống các máy Windows bị nhiễm phần mềm độc hại nhằm tấn công các hệ thống khác để gửi spam.

Theo thống kê, Việt Nam cũng nằm trong Top 10 quốc gia bị kiểm soát bởi các botnets trên.

Xem chi tiết

07/03/2018

Sàn giao dịch Binance bị nghi ngờ tấn công khi rất nhiều tài khoản (ví điện tử) được sử dụng để mua Viacoin ( một đồng tiền mã hóa ít người biết đến và làm tăng giá trị của đồng tiền này lên gấp 3 – 4 lần chỉ trong vài tiếng đồng hồ) Ngay sau đó, Binance đã có động thái là đóng băng tất cả các tài khoản, ngăn chặn việc rút tiền, tiến hành điều tra và sẽ đảo ngược lại tất cả các giao dịch sai phạm.  Sau đó Binance đã treo giải thưởng bằng Binance Coin (BNB) trị giá 250.000 USD cho bất cứ ai có thể cung cấp bằng chứng kết luận giúp Binance có thể truy tố và bắt giam kẻ tấn công đã cố gắng tấn công vào sàn giao dịch.

 

28/02/2018

GitHub đã phải trải qua những cuộc tấn công DDoS lớn nhất từ trước đến nay, với lưu lượng truy cập đến 1,35 Tbps. Kẻ tấn công đã bắt đầu lợi dụng giao thức memcached để thực hiện các cuộc tấn công từ chối dịch vụ (DDoS). Memcached là một hệ thống lưu trữ bộ nhớ đệm mã nguồn mở được thiết kế để xử lý một số lượng lớn các kết nối mở. Máy khách có thể liên lạc với các máy chủ memcached qua TCP hoặc UDP trên cổng 11211.

Taylor Huddleston –  26 tuổi đang sống tại Arkansas, Mỹ bị phạt 33 tháng tù vì cố ý bán một trojan truy cập từ xa (RAT), được gọi là NanoCore, cho các tội phạm mạng với giá 25 USD.

 Bài viết chi tiết

24/02/2018

Sau GandCrab ransomwareSaturn Ransomware thì Data Kepper là ransomware thứ ba được cung cấp cho phép bất cứ ai cũng có thể phân phối ransomware miễn phí thông qua chương trình liên kết Ransomware-as-a-Service (RaaS) trên các trang Web đen.

Bài viết về RaaS

22/02/2018

Mã độc Red Alert 2.0 (Android Banking Trojan) tiếp tục lây lan mạnh tại khu vực Nga và Châu Âu thông qua các ứng dụng ngân hàng và ứng dụng xã hội.

Bài viết

21/02/2018

Bộ Giao thông Colorado (DOT) đã phải ngưng sử dụng và phục hồi dữ liệu hệ thống cho hơn 2.000 máy tính sau khi hệ thống trên bị nhiễm SamSam ransomware.

Bản tin

20/02/2018

Phát hiện Annabelle Ransomware với khả năng: Vô hiệu hóa các chương trình bảo mật, vô hiệu hóa tính năng Windows Defender, tắt tính năng Firewall Protection, mã hóa dữ liệu người dùng, lây nhiễm qua các cổng USB và khởi động nhiều chương trình khác nhau. Rất may, Annabelle Ransomware dựa trên Stupid ransomware và sử dụng khóa tĩnh nên có thể giải mã được.

Cập nhập: Decrypter của Bitdefender phát hành ngày 05/03/2018:

https://labs.bitdefender.com/2018/03/annabelle-ransomware-decryption-tool/

Download

Download

19/02/2018

Một trang web đã “nhái” lại màn hình đăng nhập của Snapchat và hacker đã ăn cắp được hơn 55.851 tài khoản đã được công khai rộng rãi trong trang web klkviral.org (hiện Snapchat đang có 187 triệu người dùng)

 

15/02/2018

Hãng bảo mật lừng danh Gdata Software AG của Đức ra mắt sản phẩm miễn phí kiểm tra phát hiện lỗ hổng bảo mật Meltdown và Spectre.

Download

Christopher Victor Grupe, 46 tuổi, bị phạt tù 366 ngày vì tội đã đăng nhập vào hệ thống bằng các thông tin của mình sau đó xóa quyền truy cập cấp quản trị của các admin khác, xóa các tập tin quan trọng khỏi mạng và đổi mật khẩu để các nhân viên khác không thể truy cập lại sau khi bị sa thải tại hãng đường sắt Canadian Pacific Railway (CPR)  - Để đảm bảo an toàn CNTT, các công ty nên thu hồi mọi thứ liên quan tới công việc trước khi sa thải những nhân viên nắm giữ thông tin quan trọng của chính mình.

 

14/02/2018

Vương quốc Anh đã trở thành quốc gia phương Tây đầu tiên chính thức buộc tội quân đội Nga điều phối và tung ra vụ ransomware NotPetya. Sau vụ Petya xảy ra vào tháng 06/2017 thì Bab Rabbit xảy ra vào tháng 10/2017 là 01 phiên bản sửa lỗi của Petya cũng được nghi ngờ do Cục Quản lý Thông minh Chính phủ Quân đội Nga (viết tắt là GRU) tạo ra.

 

Cập nhập công cụ giải mã JigSawDecrypter bản Korea  (với file mở rộng .Locked)

Korean Jigsaw ransomware VirusTotal

Download

Download

13/02/2018

Cập nhập công cụ giải mã InsanseCryptDecrypter (với file mở rộng .Tornado)

Download

Phát hành công cụ giải mã Pendor ransomware (với file mở rộng .pnr)

Download

09/02/2018

Một loại virus máy tính có tên Olympic Destroyer” được thiết kế để đánh sập hệ thống máy tính bằng cách xóa các tập tin hệ thống quan trọng, và tấn công vào trang web của Olympic mùa Đông Pyeongchang 2018 đã khiến một số khán giả không thể in vé và đã làm tê liệt mạng lưới internet , hệ thống WiFi không hoạt động trong buổi lễ khai mạc với mục đích chỉ để làm bẽ mặt nhà tổ chức.

 Bài viết

Song song với việc Tổng thống Donald Trump vừa ký lệnh cấm sử dụng phần mềm Kaspersky trên toàn nước Mỹ hôm 12/12/2017 áp dụng đối với tất cả các mạng lưới dân sự lẫn quân sự do lo ngại việc Kaspersky đánh cắp dữ liệu người dùng và có nguy cơ gián điệp, Chính phủ Mỹ đang xem xét mở rộng lệnh cấm với các nhà sản xuất Trung Quốc như ZTE , Huawei , Datang và Zhongxing, hoặc các Công ty có công nghệ nhạy cảm. Nguyên nhân lo ngại là các thiết bị di động có firmware chứa “cửa hậu” cho phép nhà sản xuất theo dõi, thu thập thông tin người dùng, hoặc cài đặt thêm các phần mềm bổ sung ngay cả khi thiết bị đã bàn giao cho người dùng. Ngoài ra rất nhiều firmware khác đang chạy trên xe hơi, các thiết bị thông minh..., tự động cập nhật liên tục để cài ứng dụng từ xa và truyền thông tin mà người dùng không hề hay biết giúp những doanh nghiệp Trung Quốc khác theo dõi hành vi người dùng.

 

06/02/2018

Xuất hiện biến thể mới của WannaCry là Black Ruby, tấn công vào máy tính của người dùng, cài đặt phần mềm độc hại, kết hợp giữa việc mã hóa thiết bị đòi tiền chuộc và đào tiền ảo.

 

05/02/2018

Cập nhập công cụ giải mã Crypt12Decrypter  (sử dụng email hernansec@protonmail.ch)

Download

Download

30/01/2018

Trung Quốc công bố siết chặt việc sử dụng phần mềm VPN vượt tường lửa, các công ty và cá nhân trong và ngoài nước chỉ sử dụng phần mềm được Chính phủ phê duyệt để truy cập Internet toàn cầu từ nước này. 

 

24/01/2018

Công ty cổ phần Cảng Sài Gòn (mã chứng khoán SGP) vừa công bố thông tin hệ thông phần mềm kế toán (hệ thống PL-FS) của công ty bị sự cố nhiễm WannaCry ransomware và bị mã hóa toàn bộ số liệu, dẫn đến không thể đọc được dữ liệu nên công tác lập BCTC quý 4 và cả năm 2017 bị ảnh hưởng, công ty không thể hoàn thành và công bố thông tin về các BCTC quý 4 và cả năm 2017 theo đúng thời hạn quy định (ngày 30/1/2018).

Xem thông báo

19/01/2018

Samsam (Samas) ransomware đang bùng phát trở lại, tấn công hàng loạt bệnh viện, cơ sở hạ tầng CNTT các thành phố, khu công nghiệp.

Bản tin

Nhóm tin tặc Dark Caracal đã được phát hiện tại một tòa nhà ở thủ đô Beirut của Lebanon hoạt động trong bóng tối suốt 6 năm qua chuyên hoạt động do thám giới nhà báo, giới quân sự, chính khách và các tập đoàn lớn của 21 quốc gia trong đó có Việt Nam. Dark Caracal thường sử dụng mã độc Android ẩn trong các ứng dụng tin nhắn giả dạng như Signal và WhatsApp nhằm đánh cắp tin nhắn và các loại dữ liệu khác từ thiết bị di động. Mã độc Android của Dark Caracal cho phép kích hoạt camera trước và sau điện thoại để chụp ảnh trộm, đồng thời bí mật ghi âm trộm qua microphone. Ngoài ra CrossRAT  (một mã độc đa nền tảng), hoặc  FinFisher - một phần mềm dạng công cụ gián điệp được Dark Caracal dùng để theo dõi các cơ quan chính phủ và luật pháp.

Chi tiết 1

Chi tiết 2

16/01/2018

Trang chủ và hệ thống thanh toán của OnePlus bị hack, hơn 40.000 thẻ tín dụng bị lộ thông tin.

 

Phillip R. Durachinsky (một lập trình viên sống tại bang Ohio, Mỹ) là tác giả của malware FruitFly (Durachinsky khi tạo ra phiên bản đầu tiên của FruitFly khi mới chỉ có 14 tuổi) chuyên tấn công những người dùng máy tính Mac của Apple trên toàn thế giới hôn nay đã được Bộ Tư pháp Hoa Kỳ đưa ra xét xử với 16 cáo buộc xoay quanh hành vi cài đặt phần mềm gián điệu lên hàng ngàn máy tính trong suốt hơn 13 năm qua.

FruitFly là một malware có khả năng giám sát các thiết bị MacOS, đồng thời cho phép Duranchinsky điều khiển webcam, mic thoại, màn hình, chuột, bàn phím và thậm chí là cài đặt những phần mềm độc hại từ xa. FruitFly đã trú ẩn trong vô số những chiếc laptop MacOS bao lâu nay mà không bị phát hiện, mặc dù những đoạn code của nó rất sơ đẳng và không có gì phức tạp, mã nguồn của FruitFly bao gồm cả những mã lệnh Linux và nó cũng hoạt động được với hệ điều hành Linux.

FruitFly VirusTotal

12/01/2018

Lo ngại về vấn đề an ninh và vi phạm các quy định của Đạo luật về thỏa thuận Thương mại (TAA) như " Made in USA " ' UNITED DGITAL' / 'United Digital Technologies"... các căn cứ quân sự, không quân, đại sứ quán và chính phủ của Mỹ gần đây đã tháo bỏ toàn bộ camera giám sát Hikvision. Hikvision là công ty sản xuất camera giám sát lớn nhất thế giới, chính quyền Trung Quốc nắm giữ 42% cổ phần của công ty này. Mặc dù Hikvision cho biết sản phẩm của họ sản xuất phù hợp với tiêu chuẩn chất lượng, an ninh, không có back door, đồng thời cam kết không bị chính quyền Trung Quốc lợi dụng để ngầm giám sát. Nhưng dựa vào năng lực gián điệp lớn mạnh của Trung Quốc, các chuyên gia an ninh mạng cũng đưa ra quan ngại về vấn đề này. Họ chỉ ra, chính quyền Trung Quốc gây áp lực đối với các doanh nghiệp tư nhân, và kiểm soát sự vận hành của các công ty này. Nửa thế kỷ trước, Hikvision vốn là một phòng thực nghiệm của chính quyền Trung Quốc về phát triển quân sự và kỹ thuật công nghiệp. Cùng với việc được chính quyền Trung Quốc giúp đỡ, Hikvision cũng giúp đỡ chính quyền tiến hành giám sát 1,4 tỷ người dân Trung Quốc, vì thế mà sản phẩm của công ty này tại Trung Quốc cũng được sử dụng rất rộng rãi.

Xem chi tiết

04/01/2018

Hai lỗi bảo mật lớn trên chip máy tính vừa được phát hiện, được gọi là Meltdown Spectre, ảnh hưởng đến hầu hết các thiết bị được sản xuất trong 20 năm qua.

Meltdown là lỗi bảo mật chỉ xảy ra với các thiết bị Intel. Spectre nguy hiểm hơn, khi nó ảnh hưởng đến các CPU của cả AMD và Intel, chip ARM trên thiết bị di động.

 

01/01/2018

FBI trao tặng "Huân Chương Người Hùng ransomware" cho Michael Gillespie (biệt danh Demonslay 335) là một thành viên của cộng đồng Infosec, là tác giả của các công cụ giải mã ransomware khác nhau, và là người sáng tạo ID Ransomware, RansomNoteCleanerCryptoSearch. Michael Gillespie đã hỗ trợ miễn phí và tạo ra nhiều công cụ giúp giải mã ramsomware trong nhiều năm trên các diễn đàn.

 

 

Công ty TNHH Tin Học Đô Nguyên
134/2B Thành Thái - Phường 12 - Quận 10 - Hồ Chí Minh - Việt Nam
Thông tin liên hệ

Công ty TNHH Tin Học Đô Nguyên

Phân phối phần mềm diệt virus Avast & AVG tại Việt Nam. © 2018