Mỹ cảnh báo mã độc mới có nguồn gốc Trung Quốc
Tổng cộng 3 cơ quan, bộ ngành của chính phủ Mỹ hợp lực công bố cảnh báo liên quan đến mã độc bắt nguồn từ Trung Quốc, mà theo phía điều tra có dính líu chính quyền Bắc Kinh.
Mã độc Taidoor đã len lỏi tại châu Á và Mỹ từ năm 2008
Theo trang ZDNet, mã độc vừa bị phanh phui là Taidoor, một dạng chương trình trojan cho phép tin tặc thực hiện đòn tấn công và kiểm soát máy tính của các nạn nhân từ xa (RAT). Để đưa ra cảnh báo lần này, cần đến sự hợp lực của các nhà điều tra thuộc Cục An ninh mạng và an ninh cơ sở hạ tầng thuộc Bộ An ninh nội địa (DHS CISA), Bộ Tư lệnh chỉ huy tác chiến an ninh mạng (CyberCom) thuộc Bộ Quốc phòng và Cục Điều tra liên bang Mỹ ( FBI). Đây là lần thứ hai bộ ba này phối hợp và công bố các cảnh báo an ninh mạng. Lần đầu tiên diễn ra vào tháng 2, với nội dung liên quan đến 6 dạng mã độc mới, mà theo họ do nhóm tin tặc có liên quan đến chính phủ CHDCND Triều Tiên phát triển.
Theo 3 cơ quan trên, Taidoor có các phiên bản dành cho bộ xử lý 32- và 64-bit, thường được cài đặt vào hệ thống máy tính của nạn nhân thông qua dịch vụ gọi là thư viện liên kết động (DLL). Như đã đề cập ở trên, Taidoor hoạt động theo cơ chế RAT, tấn công và kiểm soát máy tính từ xa. Dựa trên cơ chế này, các tin tặc Trung Quốc sử dụng Taidoor RAT để tiếp cận máy tính và truy xuất dữ liệu hoặc cài đặt thêm mã độc khác vào hệ thống. FBI cho hay Taidoor thường được triển khai cùng với những máy chủ trung gian, cho phép tin tặc che giấu nguồn tấn công.
Trong khi cảnh báo trên đề cập Taidoor là một dạng mã độc mới, CyberCom thông báo trên Twitter rằng mã độc này đang lẩn khuất trong nhiều máy tính và được tin tặc âm thầm cài đặt vào các hệ thống của nạn nhân trong ít nhất 12 năm, cụ thể là từ năm 2008. Bộ ba cơ quan Mỹ cũng đưa ra những biện pháp đối phó, chẳng hạn như phát hiện và ngăn chặn nguy cơ xâm nhập, hoặc loại bỏ mã độc khỏi máy tính của các nạn nhân. CyberCom cũng cung cấp 4 mẫu Taidoor, cho phép các công ty an ninh mạng và những nhà phân tích độc lập tải xuống để tiếp tục nghiên cứu và lần theo các manh mối khác.
Sau khi DHS CISA, FBI và CyberCom tung ra cảnh báo chung, một nhà phân tích mã độc tên Florian Roth của Hãng Nextron Systems cho biết trước đây từng phát hiện các mẫu Taidoor, với một số mẫu tìm được từ tháng 3.2019 nhưng dưới tên Taurus RAT. Còn Hãng tin AFP dẫn lời các công ty an ninh mạng như FireEye và CrowdStrike cho hay đã ghi nhận nhiều tin tặc có nguồn gốc từ Trung Quốc liên tục sử dụng Taidoor tấn công các mục tiêu ở Mỹ và châu Á. Trong quá khứ, mã độc này thường là “vũ khí” của các tin tặc khi cần xâm nhập máy tính thuộc những lĩnh vực như pháp lý, những nhà máy điện hạt nhân, các hãng hàng không, những nhà máy công nghiệp quốc phòng, ngành kỹ thuật, các chính phủ và lĩnh vực hoạt động không gian.
Loạt nước lớn tung cảnh báo về mã độc tống tiền mới
Ấn Độ, Iran và Mỹ đã đưa ra những báo cáo về tình trạng nhiễm mã độc tống tiền PonyFinal.
Đội bảo mật của Microsoft đã cảnh báo các tổ chức trên toàn cầu cần triển khai các biện pháp bảo vệ chống lại một loại mã độc tống tiền mới đã tồn tại hơn hai tháng qua.
PonyFinal là một mã độc tống tiền được viết bằng ngôn ngữ Java. Tin tặc sử dụng PonyFinal để tấn công các hệ thống máy chủ của công ty. Khi xâm nhập hệ thống, PonyFinal sẽ tự triển khai - điều này khác với các cuộc tấn công của các mã độc tống tiền trước đây được lan truyền bằng cách phát tán qua thư rác để lừa người dùng tự tải về.
Microsoft cho biết, công ty đã điều tra những sự cố liên quan đến mã độc tống tiền. Điểm xâm nhập của nó thường là một tài khoản trong hệ thống máy chủ của công ty. PonyFinal đã tấn công mạnh vào các tài khoản có mật khẩu yếu. Khi xâm nhập được vào trong thì PonyFinal dùng mã Visual Basic kích hoạt rào chắn PowerShell để lấy dữ liệu. Hơn nữa, những người thực hiện tấn công còn dùng hệ thống điều khiển từ xa để tránh sự sao lưu. Một khi PonyFinal nắm chắc được hệ thống mạng lưới của mục tiêu, chúng sẽ phát tán đến các hệ thống lân cận khác và triển khai PonyFinal.
Microsoft cho biết thêm rằng những file mã hóa bởi mã độc tống tiền PonyFinal thường có đuôi ".enc" và yêu cầu đòi tiền thường có tên là README_files.txt.
Tại thời điểm hiện nay, do có tính bảo mật cao nên mã của PonyFinal vẫn chưa được giải.
LastPass sẽ cảnh báo nếu mật khẩu bị hiển thị trên Dark Web LastPass vừa cập nhật bảng điều khiển bảo mật (Security Dashboard) nhằm cung cấp cái nhìn tổng quan về tất cả tài khoản của người dùng, nếu bật bất kỳ mật khẩu nào có thể gây rủi ro bảo mật. LastPass được cập nhật giúp nâng cao khả năng bảo mật cho người dùng Theo Engadget, việc chấm điểm là một khía cạnh...