Phân phối phần mềm diệt virus Avast & AVG tại Việt Nam.

Cập nhập 26/06/2017:

Với giá trị gia tăng bitcoin trong những tuần gần đây và khoản thanh toán tiền chuộc trị giá hơn 1 triệu USD được trả bởi công ty lưu trữ web Nayana đã gây ra những vụ tống tiền Bitcoint mới với các cuộc tấn công DDoS tại Hàn Quốc (DDoS-for-Bitcoin Attacks).

Theo các phương tiện truyền thông tại Hàn Quốc đưa tin, có bảy ngân hàng đã nhận được email của nhóm tấn công yêu cầu phải trả tiền chuộc gần 315.000 USD hoặc phải chịu thiệt hại do các cuộc tấn công DDoS, nhóm này đã đưa ra các cuộc tấn công mạng 5Gbps demo đối với những ngân hàng này. Đã có 5 trong số 7 ngân hàng đã công khai và xác nhận vụ việc bao gồm: Ngân hàng KB Kookmin, Ngân hàng Shinhan, Ngân hàng Woori, Ngân hàng KEB Hana và Ngân hàng NH. Đây là những ngân hàng lớn nhất Hàn Quốc.

 Nhóm yêu cầu đòi tiền chuộc là  "Armada Collective", nhóm này lần đầu tiên xuất hiện vào năm 2015 và được coi là một trong những nhóm hacker phổ biến về các vụ tấn công DDoS hoặc RDoS (Ransom DDoS). Ban đầu, nhóm nhắm đến mục tiêu là các ngân hàng, dịch vụ thương mại điện tử và trung tâm lưu trữ dữ liệu...và tung ra các cuộc tấn công demo DDoS trong vòng 15 phút đến 30 phút để chứng minh và sau đó gửi email đến nạn nhân và ép họ phải trả tiền chuộc. Vào tháng 11 năm 2015, Armada Collective đã phát động một trong những cuộc tấn công ransomware nổi tiếng nhất của họ. Nhóm đã nhắm mục tiêu một số nhà cung cấp dịch vụ email như ProtonMail, NeomailBox, VFEmail, HushMail, FastMail, Zoho và Runbo. Sau khi tống tiền thành công dịch vụ email an toàn ProtonMail, nhóm này  đã thu hút rất nhiều sự quan tâm của giới truyền thông, sau đó nhóm dường như đã lẩn trốn, nhưng rồi lại tiếp tục quay lại hoạt động vào năm 2016 nhưng hầu như không được chú ý bởi sự thành công của DD4BC (một nhóm tấn công DDos khác - nhóm này sau đó đã bị Europol bắt) và rất nhiều nhóm mới tham gia vào thị trường đòi tiền chuộc DDoS như: New World Hackers, Lizard Squad, Kadyrovtsy, RedDoor, ezBTC, Borya Collective, Stealth Ravens, XMR Squad, ZZb00t, Meridian Collective, Xball Team...

Thanh toán của Nayana là khoản thanh toán tiền chuộc lớn nhất từng được thực hiện và có thể là tiền đề cho tất cả các nhóm đòi tiền chuộc ransomware, DDoS, RDoS, hoặc các nhóm tấn công khác khai thác nhắm đến các cơ sở kinh doanh, doanh nghiệp. Và cũng có thể trong tương lai nạn nhân sẽ trả số tiền chuộc cao hơn cho vấn nạn của các cuộc tấn công.

Cập nhập 20/06/2017:

Trong bản cập nhật vào ngày 14 tháng 6, Nayana đã thương lượng một khoản thanh toán là 397,6 BTC (khoảng 1,01 triệu USD tính đến ngày 19 tháng 6 năm 2017) và đề nghị được thanh toán từng phần. Sau đó ngày 17 tháng 6, lần thứ hai trong ba lần thanh toán đã được thực hiện. Vào ngày 18 tháng 6 , Naya bắt đầu quá trình phục hồi các máy chủ theo lô. Một số máy chủ trong lô thứ hai hiện đang gặp lỗi cơ sở dữ liệu (DB). Quá trình phục hồi khó khăn và sẽ mất thời gian. Lần thanh toán lần thứ ba cũng dự kiến ​​sẽ được thanh toán sau khi các lô máy chủ thứ nhất và thứ hai đã được khôi phục thành công.

          Tiền chuộc lần này là một khoản thanh toán kỷ lục. Việc thanh toán này có khả năng khuyến khích kẻ tấn công mở ra các cuộc tấn công ransomware mới sau này. Sau khi chỉ nhắm mục tiêu đến các máy tính chạy hệ điều hành Microsoft Windows, Erebus gần đây đã được sửa đổi để các biến thể sẽ hoạt động với các hệ thống Linux. Bên cạnh đó , các dịch vụ lưu trữ web thường sử dụng hệ thống mã nguồn mở, nhiều lỗi bảo mật và không trang bị phần mềm antivirus. Đây là những nguyên nhân để kẻ tấn công dễ dàng khai thác. 

Bản tin 10/06/2017:

Ngày hôm nay, một cuộc tấn công của ransomware đã  xảy ra tại một công ty lưu trữ web, lây lan hàng ngàn trang web của Hàn Quốc, yêu cầu tiền chuộc rất cao và  đáng kinh ngạc.

Công ty bị thiệt hại là Nayana, cho biết 153 máy chủ Linux của họ đã bị nhiễm Erebus ransomware, hệ thống lưu trữ khoảng 3.400 trang web trên các máy chủ của công ty lưu trữ web cũng bị nhiễm bệnh.

Erebus ransomware được phát hành lần đầu khoảng tháng 09/2016, sau được nâng cấp vào tháng 02/2017. Không giống như WannaCry tấn công các mục tiêu ngẫu nhiên, Erebus tấn công các mục tiêu được chỉ định, sử dụng vòng bỏ qua UAC (User Account Control) cho phép ransomware chạy ở các đặc quyền cao mà  không cần cảnh báo người dùng. Erebus sao chép chính nó vào một tập tin được đặt tên ngẫu nhiên và sửa đổi đăng ký để chiếm quyền điều khiển cho phần mở rộng tệp tin .msc để Eerbus sẽ thực hiện thay thế.

Tuy nhiên phiên bản Erebus đã tấn công Nayana lần này đã được thiết kế để nhắm mục tiêu các máy chủ Web. Về cách thức, Erebus đã tận dụng các lỗ hổng và khai thác Linux cục bộ. Qua kiểm tra, trang web của Nayana chạy trên Linux kernel 2.6.24.2, được biên dịch lại vào năm 2008. Các lỗ hổng bảo mật như DIRTY COW có thể cung cấp cho kẻ tấn công truy cập root vào các hệ thống Linux. Ngoài ra, trang web của Naya còn sử dụng Apache phiên bản 1.3.36 và PHP phiên bản 5.1.4, cả hai đều được phát hành vào năm 2006, Đây là các phiên bản có lỗ hổng của Apache và các cuộc khai thác PHP nổi tiếng. (Trên thực tế rất nhiều công cụ được bán ngầm để khai thác Apache Struts) Thêm nữa phiên bản Apache của NAYANA sử dụng uid = 99, cho thấy rằng việc xâm nhập cũng rất dễ dàng.

Có khoảng 60 loại tệp tin mục tiêu được mã hóa bởi Erebus (trên thực tế Erebus có thể mã hoá 433 loại tập tin khác nhau) một khoản tiền chuộc sẽ xuất hiện trên màn hình. Nếu nạn nhân nhấp chuột để phục hồi các tệp tin của họ, trang Web sẽ chuyển sang trang web thanh toán Tor của Erebus. Và số tiền chuộc của Erebus lần này là 10 bitcoins/server, xấp xỉ 29.075 USD vào thời điểm xảy ra vụ tấn công. Nhưng sau đó dường như các hacker đã có một sự thay đổi và hạ thấp tiền chuộc xuống 5,4 bitcoins tương đương 15,165 đô la.

Hiện tại, cơ quan An ninh và Internet Hàn Quốc, cơ quan an ninh quốc gia, và cảnh sát đã tiến hành một cuộc điều tra, tuyên bố sẵn sàng giành lại quyền điều khiển máy chủ bị nhiễm bệnh với sự trợ giúp của các chuyên gia nhà nước. Bên cạnh đó một thông báo vẫn được đăng trên trang chủ của công ty lưu trữ web, thông báo đến khách hàng về việc Erebus đã khóa cơ sở dữ liệu, hình ảnh và video. Nayana xin lỗi vì sự bất tiện này và cố gắng khôi phục lại các tệp sao lưu cho khách hàng.

Nguồn: http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170615124408

Lưu ý: 03 biện pháp cơ bản phòng chống virus, malware và ransomware

1.   Luôn sao lưu dữ liệu thường xuyên.

2.   Luôn cập nhập các bản vá của hệ thống.

3.   Sử dụng phần mềm bảo mật có uy tín và update thường  xuyên.  

 

Công ty TNHH Tin Học Đô Nguyên
134/2B Thành Thái - Phường 12 - Quận 10 - Hồ Chí Minh - Việt Nam

Từ khóa tìm kiếm

Các từ khóa tìm kiếm liên quan đến Một công ty ở Hàn Quốc nhiễm Erebus ransomware, cảnh báo mã độc tống tiền tấn công máy chủ dữ liệu.

Thông tin liên hệ

Công ty TNHH Tin Học Đô Nguyên

Phân phối phần mềm diệt virus Avast & AVG tại Việt Nam. © 2018