Mã độc tống tiền đổi tên: Tên mới, cùng kiểu tấn công cũ

Điều gì đã xảy ra

Trong một cuộc thể hiện khả năng hoạt động đáng lo ngại, một nhóm mã độc tống tiền, trước đây được biết đến dưới một biệt danh khác, đã khởi động chiến dịch đổi tên của mình với hiệu quả tức thì và gây ảnh hưởng lớn. Trong vòng bảy ngày đầu tiên hoạt động công khai dưới danh tính mới, nhóm này đã thiết lập một trang web rò rỉ trên darknet. Nền tảng này nhanh chóng đăng tải thông tin về ba tổ chức Fortune 500 riêng biệt, trưng bày dữ liệu đã bị đánh cắp làm bằng chứng về sự xâm phạm.

Đợt đổ dữ liệu ban đầu, đặc biệt nhắm vào một chuỗi nhà hàng thức ăn nhanh lớn, một nhà cung cấp ô tô hàng đầu và một công ty logistics toàn cầu, chủ yếu bao gồm các tài liệu hợp đồng nhạy cảm. Điều này bao gồm các thỏa thuận với nhà cung cấp, danh sách khách hàng với các điều khoản liên quan và dự báo tài chính nội bộ. Việc công khai nhanh chóng đã nhấn mạnh sự tự tin và khả năng của nhóm trong cả việc thâm nhập và đánh cắp dữ liệu.

Sự liên tiếp nhanh chóng của các vụ vi phạm cấp cao này, được thực hiện bởi một thực thể đã đổi tên, báo hiệu một sự thay đổi chiến lược. Nó cho thấy một nỗ lực có chủ ý để rũ bỏ những gánh nặng trong quá khứ, có thể là để tránh sự giám sát của cơ quan thực thi pháp luật và thiết lập lại vị thế trên thị trường trong hệ sinh thái tội phạm mạng. Việc nhắm mục tiêu ngay lập tức vào nhiều doanh nghiệp lớn cho thấy khả năng truy cập đã có từ trước hoặc các mạng lưới môi giới truy cập ban đầu (IAB) hiệu quả cao.

Tại sao mô hình này cứ lặp lại

Thành công dai dẳng của các hoạt động mã độc tống tiền như vậy bắt nguồn từ sự kết hợp của nhiều yếu tố, chủ yếu là việc tiếp tục khai thác các điểm yếu bảo mật phổ biến và khả năng thích nghi của các tác nhân đe dọa. Các tổ chức thường gặp khó khăn trong việc quản lý toàn diện tài sản, kỷ luật quản lý bản vá và kiểm soát truy cập và danh tính mạnh mẽ. Những lỗ hổng cơ bản này cung cấp mảnh đất màu mỡ cho sự xâm phạm ban đầu.

Các tác nhân đe dọa, bao gồm cả những kẻ đứng sau các nhóm đã đổi tên, rất thành thạo trong việc tận dụng các lỗ hổng và cấu hình sai đã biết. Chúng liên tục tinh chỉnh các TTP của mình, vượt ra ngoài việc mã hóa đơn giản để áp dụng tống tiền kép, điều này làm tăng đáng kể áp lực lên nạn nhân. Các động cơ tài chính vẫn rất lớn, thúc đẩy đầu tư liên tục vào các công cụ và phương pháp tấn công mới.

Hiện tượng đổi tên bản thân nó là một chiến thuật. Nó cho phép các nhóm tách mình khỏi các lệnh trừng phạt trước đó, sự quy kết công khai hoặc cơ sở hạ tầng bị xâm phạm. Một danh tính mới mang lại một khởi đầu mới cho việc tuyển dụng, đàm phán và quan hệ công chúng trong thế giới ngầm tội phạm, thường đi kèm với các biến thể phần mềm độc hại được cập nhật hoặc các thực hành bảo mật hoạt động nâng cao.

Kịch bản tấn công theo từng bước

Truy cập ban đầu

Nhóm này có thể đã có được quyền truy cập ban đầu thông qua sự kết hợp các phương pháp. Các chiến dịch lừa đảo, thường là lừa đảo có mục tiêu cao, vẫn là một yếu tố chính, cung cấp phần mềm độc hại hoặc các liên kết thu thập thông tin đăng nhập. Khai thác các ứng dụng công khai chưa được vá, đặc biệt là những ứng dụng có CVE đã biết như những ứng dụng được thấy trong các giải pháp VPN phổ biến hoặc máy chủ web (ví dụ: Fortinet, Apache Struts), là một điểm vào phổ biến khác. Việc sử dụng thông tin đăng nhập RDP bị xâm phạm, thường được mua từ IAB, cũng tạo điều kiện cho việc truy cập nhanh chóng.

Thiết lập chỗ đứng và Khám phá

Khi đã vào bên trong, những kẻ tấn công thiết lập sự bền bỉ, thường thông qua các tác vụ đã lên lịch, các mục khởi động đã sửa đổi hoặc các công cụ truy cập từ xa hợp pháp như TeamViewer hoặc AnyDesk. Sau đó, chúng thực hiện trinh sát nội bộ rộng rãi, lập bản đồ cấu trúc mạng, xác định các tài sản quan trọng và định vị các kho lưu trữ dữ liệu nhạy cảm. Các công cụ như BloodHound hoặc AdFind thường được sử dụng để liệt kê Active Directory.

Di chuyển ngang và Nâng cao đặc quyền

Khai thác các thông tin đăng nhập đã phát hiện, cấu hình sai hoặc hệ thống chưa được vá, những kẻ tấn công di chuyển ngang qua mạng. Các kỹ thuật bao gồm Pass-the-Hash, Pass-the-Ticket và khai thác các dịch vụ Windows. Nâng cao đặc quyền là một bước quan trọng, thường nhắm mục tiêu vào các tài khoản quản trị viên miền thông qua các kỹ thuật như Kerberoasting hoặc khai thác các lỗ hổng trong các thành phần hệ điều hành Windows.

Đánh cắp dữ liệu

Trước khi triển khai mã độc tống tiền, nhóm tập trung vào việc đánh cắp dữ liệu. Chúng xác định tài sản trí tuệ có giá trị cao, hồ sơ tài chính, dữ liệu nhân sự và thông tin khách hàng. Dữ liệu thường được lưu trữ trên các máy chủ nội bộ, nén lại và sau đó được đánh cắp qua các kênh được mã hóa đến bộ nhớ đám mây hoặc cơ sở hạ tầng do kẻ tấn công kiểm soát, thường bỏ qua việc lọc thoát truyền thống thông qua các cổng phổ biến hoặc các dịch vụ web hợp pháp.

Mã hóa và Tống tiền

Cuối cùng, tải trọng mã độc tống tiền được triển khai trên các hệ thống quan trọng, mã hóa các tệp và làm cho chúng không thể truy cập được. Đồng thời, trang web rò rỉ được cập nhật bằng bằng chứng đánh cắp và thông báo công khai về vụ vi phạm. Cơ chế tống tiền kép—đe dọa công bố dữ liệu cùng với mã hóa—tối đa hóa áp lực lên nạn nhân để trả tiền chuộc.

Những gì các nhà phòng thủ đã bỏ lỡ

Trong những sự cố cụ thể này, một số thiếu sót phòng thủ phổ biến dường như đã rõ ràng. Sự xâm phạm ban đầu nhanh chóng cho thấy một thất bại trong vệ sinh bảo mật cơ bản, chẳng hạn như vá lỗi kịp thời các hệ thống hướng ra internet hoặc bảo vệ mạnh mẽ chống lại các cuộc tấn công lừa đảo tinh vi. Ngay cả với các giải pháp EDR hiện đại, việc thiếu săn lùng mối đe dọa chủ động hoặc các quy tắc phát hiện bị cấu hình sai có thể cho phép những kẻ tấn công hoạt động không bị phát hiện trong thời gian dài.

"Việc đổi tên chỉ là bề nổi. Các lỗ hổng cốt lõi vẫn như cũ, và kẻ thù của chúng ta là những bậc thầy trong việc khai thác điểm mù của con người và công nghệ."

Khả năng đánh cắp một lượng lớn dữ liệu hợp đồng ngụ ý sự thiếu vắng các biện pháp kiểm soát ngăn chặn mất dữ liệu (DLP) hiệu quả hoặc thất bại trong việc giám sát đầy đủ lưu lượng mạng đi ra bất thường. Hơn nữa, việc trang web rò rỉ công khai hoạt động mà không có nhận thức trước của tổ chức cho thấy một lỗ hổng trong việc giám sát thông tin tình báo mối đe dọa bên ngoài, đặc biệt là liên quan đến hoạt động dark web và theo dõi trang web rò rỉ.

Nhiều tổ chức vẫn hoạt động với tâm lý 'nếu chưa hỏng thì đừng sửa' đối với các hệ thống cũ hoặc các phân đoạn mạng phức tạp. Điều này tạo ra các điểm mù và bề mặt tấn công không được quản lý mà các tác nhân đe dọa khéo léo xác định và khai thác, thường bỏ qua các biện pháp phòng thủ được thiết kế cho cơ sở hạ tầng hiện đại hơn. Khối lượng dữ liệu bị đánh cắp cho thấy thời gian tồn tại có thể kéo dài, cho thấy các lỗi phát hiện trong các giai đoạn trinh sát và di chuyển ngang.

Danh sách kiểm tra phòng thủ thực tế

• Ưu tiên quản lý bản vá: Thực hiện lịch vá lỗi tích cực cho tất cả các ứng dụng, hệ điều hành và thiết bị mạng hướng ra internet. Tập trung vào các CVE nghiêm trọng và có mức độ nghiêm trọng cao ngay lập tức.
• Nâng cao quản lý danh tính và truy cập: Thực thi xác thực đa yếu tố (MFA) trên tất cả các quyền truy cập từ xa, tài khoản quản trị và các ứng dụng kinh doanh quan trọng. Thực hiện nghiêm ngặt các nguyên tắc đặc quyền tối thiểu.
• Tăng cường phát hiện và phản hồi điểm cuối (EDR): Đảm bảo các giải pháp EDR được triển khai đầy đủ, cấu hình để có khả năng hiển thị tối đa và được giám sát tích cực. Tích hợp cảnh báo EDR với SIEM tập trung để tương quan và phản hồi nhanh chóng.
• Phân đoạn mạng và thực hiện Zero Trust: Cô lập các tài sản quan trọng và kho lưu trữ dữ liệu nhạy cảm thông qua phân đoạn siêu nhỏ. Áp dụng kiến trúc Zero Trust, xác minh mọi người dùng và thiết bị trước khi cấp quyền truy cập, bất kể vị trí.
• Thực hiện ngăn chặn mất dữ liệu (DLP) mạnh mẽ: Triển khai các giải pháp DLP để giám sát và ngăn chặn việc đánh cắp dữ liệu nhạy cảm trái phép. Cấu hình cảnh báo cho các hoạt động truyền dữ liệu bất thường đến các đích bên ngoài.
• Thực hiện kiểm tra thâm nhập và Red Teaming thường xuyên: Thuê bên thứ ba để mô phỏng thực tế các mối đe dọa dai dẳng nâng cao. Tập trung vào việc xác định các đường dẫn có thể khai thác đến dữ liệu quan trọng, không chỉ các lỗ hổng bề mặt.
• Đầu tư vào thông tin tình báo mối đe dọa bên ngoài: Liên tục giám sát các diễn đàn dark web, các trang web rò rỉ và hoạt động của các nhóm mã độc tống tiền để tìm kiếm các đề cập đến tổ chức của bạn, các công ty con hoặc nhân sự chủ chốt. Thông tin tình báo chủ động này có thể cung cấp cảnh báo sớm về các cuộc tấn công sắp xảy ra hoặc việc đánh cắp dữ liệu.

Cách kiểm thử tấn công hiện đại có thể đã phát hiện ra điều này

Kiểm thử bảo mật tấn công hiện đại, đặc biệt là dưới dạng liên tục thực hiện purple teaming và các hoạt động red team nâng cao, mang lại một lợi thế quan trọng. Thay vì chỉ dựa vào các bản quét lỗ hổng định kỳ, các phương pháp này mô phỏng các TTP của kẻ tấn công trong thế giới thực trên toàn bộ chuỗi tấn công. Điều này bao gồm việc cố gắng truy cập ban đầu thông qua lừa đảo tinh vi, khai thác các lỗ hổng zero-day hoặc N-day, thực hiện di chuyển ngang với thông tin đăng nhập bị đánh cắp và cố gắng đánh cắp dữ liệu.

Việc kiểm thử như vậy sẽ xác định một cách có hệ thống các vector và cấu hình sai cụ thể đã cho phép vi phạm ban đầu, phát hiện các đường dẫn di chuyển ngang và xác nhận các kênh đánh cắp. Một chương trình mạnh mẽ cũng sẽ bao gồm việc giám sát liên tục các bề mặt tấn công bên ngoài, các cuộc thảo luận trên dark web đề cập đến các tài sản quan trọng của tổ chức và các TTP đang phát triển của các nhóm mối đe dọa đã biết. Điều này cung cấp thông tin tình báo cho phép các nhà phòng thủ chủ động củng cố tư thế của họ chống lại các mối đe dọa phù hợp và hiện tại nhất.

Những gì cần theo dõi tiếp theo

Xu hướng các nhóm mã độc tống tiền đổi tên và ngay lập tức tiếp tục các hoạt động tích cực có thể sẽ tiếp tục. Các CISO nên dự đoán sự tập trung ngày càng tăng vào các cuộc tấn công chuỗi cung ứng, tận dụng các mối quan hệ với nhà cung cấp đáng tin cậy để có được quyền truy cập ban đầu vào các mục tiêu lớn hơn. Chúng ta cũng sẽ thấy sự tinh chỉnh hơn nữa trong các kỹ thuật đánh cắp dữ liệu, có thể sử dụng các kênh khó phát hiện hơn và các dịch vụ đám mây hợp pháp để bỏ qua các biện pháp phòng thủ truyền thống.

Hãy mong đợi các chiến dịch kỹ thuật xã hội tinh vi hơn nhắm vào các cá nhân có đặc quyền cao, tận dụng nội dung do AI tạo ra để tăng cường tính chân thực. Hơn nữa, sự hội tụ của mã độc tống tiền với các hoạt động tội phạm mạng khác, chẳng hạn như đào tiền điện tử hoặc gián điệp do nhà nước bảo trợ, có thể làm phức tạp việc quy kết và phản ứng sự cố. Phòng thủ chủ động, dựa trên thông tin tình báo, tập trung vào khả năng phục hồi và phục hồi nhanh chóng, sẽ là yếu tố tối quan trọng trong việc giảm thiểu các mối đe dọa đang phát triển này.