Nhóm Nefilim Ransomware nhắm vào mục tiêu để tống tiền là doanh nghiệp có doanh thu 1 tỷ USD/năm

ĐẶC KHU HÀNH CHÍNH HỒNG KÔNG – Media OutReach – Trend Micro Incorporated (có cổ phiếu giao dịch tại Sở giao dịch chứng khoán Tokyo, Nhật Bản, với mã TYO: 4704; TSE: 4704) – công ty hàng đầu thế giới về bảo mật đám mây vừa công bố một báo cáo dưới dạng case study (tạm dịch: nghiên cứu tình huống hay sự việc thực tế) về Nhóm Nefilim ransomware (chuyên tạo ra mã độc tống tiền). Theo đó, Trend Micro cung cấp các thông tin sâu, chi tiết về cách thức hoạt động bên trong của các cuộc tấn công ransomware (mã độc tống tiền) hiện đại.

Với tiêu đề “Modern Ransomware’s Double Extortion Tactics and How to Protect Enterprises Against Them” (tạm dịch “Chiến thuật tống tiền kép của Ransomware hiện đại và cách bảo vệ doanh nghiệp chống lại chúng”), báo cáo của Trend Micro cung cấp thông tin chi tiết có giá trị về cách các nhóm ransomware đã phát triển, hoạt động và cách các nền tảng phát hiện và phản ứng mối đe dọa tiên tiến có thể giúp ngăn chặn chúng.

Cách tiếp cận của các họ ransomware hiện đại làm cho việc phát hiện và phản hồi trở nên khó khăn hơn đáng kể đối với các đội bảo mật của trung tâm điều hành an ninh (Security Operations Center – SOC) và công nghệ thông tin vốn đã luôn căng thẳng. Điều này không chỉ ảnh hưởng đáng kể đối với lợi nhuận và danh tiếng của công ty, mà còn là mối đe dọa lớn đối với tâm lý, tinh thần của các đội thuộc trung tâm điều hành an ninh.

Có thể đọc báo cáo tại https://www.trendmicro.com/vinfo/hk/security/news/cybercrime-and-digital-threats/modern-ransomwares-double-extortion-tactics-and-how-to-protect-enterprises-against-them.

Ông Bob McArdle, Giám đốc Bộ phận Nghiên cứu về tội phạm mạng của Trend Micro cho biết: “Các cuộc tấn công ransomware hiện đại có mục tiêu cao, có khả năng thích ứng và lén lút – sử dụng các phương pháp tiếp cận đã được hoàn thiện bởi các nhóm tấn công có chủ đích trong quá khứ. Bằng cách đánh cắp dữ liệu và khóa hệ thống khóa, các nhóm như Nefilim tìm cách tống tiền các tổ chức toàn cầu có lợi nhuận cao. Báo cáo mới nhất của chúng tôi là tài liệu cần phải đọc đối với bất kỳ ai trong ngành muốn hiểu nền kinh tế ngầm đang phát triển nhanh chóng từ trong ra ngoài này và cách các giải pháp như Trend Micro Vision One có thể giúp họ chống chọi lại một cách hiệu quả”.

Trong số 16 nhóm ransomware được theo dõi, nghiên cứu từ tháng 3 năm 2020 đến tháng 1 năm 2021, Conti, Doppelpaymer, Egregor và REvil dẫn đầu về số lượng nạn nhân bị phơi nhiễm và Cl0p có dữ liệu bị đánh cắp nhiều nhất được lưu trữ trực tuyến ở mức 5TB.

Tuy nhiên, với sự tàn nhẫn, độc ác tập trung vào các tổ chức có doanh thu hàng năm từ 1 tỷ USD trở lên, Nefilim đã kiếm được có khoản thu nhập từ tống tiền cao nhất.

Như báo cáo tiết lộ, một cuộc tấn công Nefilim thường bao gồm các giai đoạn sau:

-Quyền truy cập ban đầu khai thác thông tin xác thực yếu trên các dịch vụ RDP bị lộ hoặc các dịch vụ HTTP bên ngoài khác.

-Khi vào được bên trong, các công cụ quản trị hợp pháp được sử dụng để di chuyển ngang nhằm tìm ra các hệ thống có giá trị để đánh cắp và mã hóa dữ liệu.

-Hệ thống “gọi điện về nhà” được thiết lập với Cobalt Strike và các giao thức có thể vượt qua tường lửa, như HTTP, HTTPS và DNS.

-Các dịch vụ lưu trữ chống đạn được sử dụng cho các máy chủ C&C.

-Dữ liệu được trích xuất và xuất bản trên các trang web được bảo vệ bằng TOR, sau đó để tống tiền nạn nhân. Nefilim đã xuất bản khoảng 2TB dữ liệu vào năm ngoái.

-Tải trọng ransomware được khởi chạy theo cách thủ công sau khi đã lấy đủ dữ liệu.

Trước đây, Trend Micro đã từng cảnh báo về việc sử dụng rộng rãi các công cụ hợp pháp như AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec và MegaSync, để giúp những kẻ tấn công ransomware đạt được mục tiêu cuối cùng, trong khi vẫn ẩn náu. Điều này có thể gây khó khăn cho các nhà phân tích của các trung tâm điều hành an ninh khác nhau khi xem xét nhật ký sự kiện từ các phần khác nhau của môi trường để xem bức tranh lớn hơn và phát hiện các cuộc tấn công.

Nền tảng Trend Micro Vision One giám sát và so sánh các hành vi đáng ngờ trên nhiều lớp – điểm cuối, email, máy chủ và khối lượng công việc đám mây – để đảm bảo không có không gian ẩn náu cho các tác nhân đe dọa. Điều này làm cho thời gian phản hồi sự cố nhanh hơn và các nhóm thường có thể dừng các cuộc tấn công trước khi họ có cơ hội gây ảnh hưởng nghiêm trọng đến tổ chức, doanh nghiệp.

Thông tin về Trend Micro

Trend Micro, một công ty hàng đầu thế giới về an ninh mạng, giúp làm cho thế giới an toàn trong việc trao đổi thông tin kỹ thuật số. Được thúc đẩy bởi nhiều thập kỷ chuyên môn bảo mật, nghiên cứu mối đe dọa toàn cầu và đổi mới liên tục, nền tảng an ninh mạng của Trend Micro bảo vệ hàng trăm nghìn tổ chức và hàng triệu cá nhân trên các đám mây, mạng, thiết bị và điểm cuối.

Là công ty hàng đầu trong lĩnh vực an ninh mạng doanh nghiệp và đám mây, Trend Micro cung cấp một loạt các kỹ thuật phòng thủ mối đe dọa tiên tiến mạnh mẽ được tối ưu hóa cho các môi trường như Amazon Web Services (AWS), Microsoft và Google, đồng thời khả năng hiển thị trung tâm để phát hiện và phản ứng nhanh hơn, tốt hơn. Với 7.000 nhân viên làm việc tại 65 quốc gia và vùng lãnh thổ trên thế giới, Trend Micro cho phép các tổ chức đơn giản hóa và bảo mật thế giới được kết nối của họ. www.trendmicro.com.hk

#TrendMicro