Phần mềm độc hại mới này là trung tâm của hệ sinh thái ransomware

Các nhà nghiên cứu an ninh mạng cho biết trình tải Bumblebee đang nhanh chóng trở thành mục tiêu ưa thích của các băng đảng ransomware.
Phần mềm độc hại mới này là trung tâm của hệ sinh thái ransomware

Một dạng phần mềm độc hại được phát triển gần đây đã nhanh chóng trở thành một thành phần quan trọng trong việc tiếp sức cho các cuộc tấn công ransomware.

Phần mềm độc hại, được gọi là Bumblebee, đã được phân tích bởi các nhà nghiên cứu an ninh mạng tại Symantec, những người đã liên kết nó với các hoạt động ransomware bao gồm Conti, Mountlocker và Quantum.

Vishal Kamble, kỹ sư phân tích mối đe dọa chính thuộc nhóm Threat Hunter của Symantec cho biết: “Các liên kết của Bumblebee với một số hoạt động ransomware cao cấp cho thấy rằng nó đang là tâm điểm của hệ sinh thái tội phạm mạng”.

Một cuộc tấn công gần đây liên quan đến Lượng tử đã làm sáng tỏ cách Bumblebee đang được bọn tội phạm mạng sử dụng để cung cấp ransomware. Cuộc tấn công bắt đầu bằng một email lừa đảo chứa tệp ISO, tệp này sẽ ẩn trình tải Bumblebee và chạy nó trên máy của nạn nhân nếu tệp đính kèm được mở.

Bumblebee cung cấp cho những kẻ tấn công một cửa hậu vào PC, cho phép chúng kiểm soát các hoạt động và chạy lệnh. Từ đây, những kẻ tấn công chạy Cobalt Strike trên hệ thống để kiểm soát thêm và khả năng thu thập thêm thông tin từ máy có thể giúp tiến hành cuộc tấn công.

Sau đó, Bumblebee giảm tải lượng ransomware Quantum, mã hóa các tệp trên máy nạn nhân. Các kỹ thuật tương tự đã được sử dụng trong các chiến dịch của các nhóm ransomware Conti và Mountlocker - và các nhà nghiên cứu tin rằng Bumblebee đã thay thế các backdoor được sử dụng trước đó.

Kamble cho biết: “Bumblebee có thể đã được giới thiệu như một trình tải thay thế cho Trickbot và BazarLoader, vì có một số chồng chéo giữa hoạt động gần đây liên quan đến Bumblebee và các cuộc tấn công cũ hơn liên quan đến những trình tải này."

Lừa đảo là một chủ đề phổ biến xuyên suốt các chiến dịch ransomware. Trong trường hợp được các nhà nghiên cứu nêu chi tiết, phần mềm độc hại được gửi bằng email lừa đảo, nhưng các băng đảng ransomware cũng sử dụng các cuộc tấn công lừa đảo để đánh cắp tên người dùng và mật khẩu, đặc biệt là các ứng dụng và dịch vụ dựa trên đám mây.

Điều này không chỉ cho phép họ thực hiện trong các mạng, mà việc sử dụng tài khoản hợp pháp (nếu bị tấn công) có nghĩa là hoạt động độc hại có thể không dễ bị phát hiện - thường cho đến khi quá muộn và một cuộc tấn công ransomware đã được kích hoạt.

Mặc dù ransomware vẫn là một vấn đề an ninh mạng quan trọng, nhưng có những bước có thể được thực hiện để giúp ngăn chặn các cuộc tấn công. Chúng bao gồm việc sử dụng xác thực đa yếu tố trên các tài khoản để giúp ngăn những kẻ tấn công giành quyền truy cập vào mạng, cũng như nhanh chóng áp dụng các bản vá bảo mật để ngăn chặn tội phạm mạng khai thác các lỗ hổng đã biết.

Điều quan trọng đối với các doanh nghiệp là giám sát mạng của họ để tìm hoạt động bất thường tiềm ẩn, vì điều này có thể cung cấp dấu hiệu cho thấy có điều gì đó không ổn - và các nhóm bảo mật thông tin có thể thực hiện hành động để ngăn chặn một cuộc tấn công toàn diện bằng ransomware.

Kamble nói: “Bất kỳ tổ chức nào phát hiện ra sự lây nhiễm Bumblebee trên mạng của mình nên xử lý sự cố này với mức độ ưu tiên cao vì nó có thể là con đường dẫn đến một số mối đe dọa ransomware nguy hiểm”.

Quốc Huy
Theo Zdnet
CÙNG CHUYÊN MỤC
ĐỌC THÊM