REvil ransomware xâm nhập 1 triệu thiết bị dịch vụ Kaseya , đòi tiền chuộc tới 70 triệu USD
Vn-Z.vn Ngày 06 tháng 07 năm 2021, Vừa có thông tin cho rằng 3 ngày sau khi phần mềm quản lý dịch vụ CNTT từ xa Kaseya VSA bị tấn công bởi ransomware, ảnh hưởng và phạm vi của vụ việc dần dần được sáng tỏ. Kẻ tấn công tuyên bố trong vụ đòi tiền chuộc mới nhất rằng họ đã tấn công hơn 1 triệu máy tính và yêu cầu 70 triệu USD tiền chuộc để giải mã các thiết bị nhiễm ransomware này.
Vụ tấn cống vào Nhà cung cấp dịch vụ lưu trữ sử dụng phần mềm của Kaseya quản lý dịch vụ dự án CNTT từ xa diễn ra vào ngày 2/7, nhóm tấn công ransomware REvil được cho là có mối liên kết với Nga đã triển khai bản cập nhật phần mềm độc hại gây thiệt hại cho nhà cung cấp và khách hàng của Kaseya.
Theo Viện theo dõi tấn công "Tiết Lộ và Tổn thương" của Hà Lan (DIVD) tiết lộ rằng lỗ hổng được sử dụng trong cuộc tấn công này có vẻ giống với lỗ hổng mà họ đã phát hiện trong quá trình họ đang xử lý vấn đề này thì cuộc tấn công xảy ra. "Chúng tôi đã tiến hành các cuộc điều tra sâu rộng về các công cụ sao lưu và quản lý hệ thống cũng như các lỗ hổng bảo mật của chúng." DIVD cho biết, "Kaseya VSA là một trong những sản phẩm mà chúng tôi đã điều tra. Chúng tôi đã tìm thấy các lỗ hổng nghiêm trọng trong sản phẩm này và đã gửi báo cáo cho Kaseya "
Giám đốc điều hành Kaseya, Fred Vocolla cho biết, “Chúng tôi có rất ít khách hàng bị ảnh hưởng và ước tính hiện có ít hơn 40 khách hàng trên toàn thế giới.” Ross McChart, Phó chủ tịch của công ty an ninh mạng Sophos (Ross McKerchar) tiết lộ trong một tuyên bố vào Chủ nhật tuần trước. : "Đây là cuộc tấn công ransomware lây lan nhanh nhất mà Sophos từng chứng kiến cho đến nay. Bằng chứng chúng tôi thu được cho đến nay cho thấy hơn 70 nhà cung cấp dịch vụ lưu trữ đã bị ảnh hưởng. Hơn 350 tổ chức đã bị ảnh hưởng. Chúng tôi ước tính rằng số lượng tổ chức thực tế bị ảnh hưởng nhiều hơn con số được báo cáo bởi bất kỳ công ty bảo mật nào. "
Anne Neuberger, Phó Cố vấn An ninh Quốc gia phụ trách mạng và các công nghệ mới nổi, cho biết thêm: "Cục Điều tra Liên bang (FBI) và Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) sẽ tiếp tục liên hệ với các nạn nhân để cung cấp hỗ trợ dựa trên đánh giá rủi ro của quốc gia. "
Công ty bảo mật Huntress Labs cũng tham gia vào các hoạt động ứng phó với cuộc tấn công và lưu trữ hầu hết các thông tin có sẵn. Công ty cho biết cuộc tấn công đã ảnh hưởng đến hơn 1.000 công ty được họ theo dõi.
Sophos, Huntress và các công ty bảo mật khác đều đề cập đến một bài báo được đăng bởi REvil trên trang Happy Blog của mình với tuyên bố rằng hơn 1 triệu thiết bị đã bị nhiễm virus và yêu cầu thanh toán 70 triệu đô la Mỹ bằng Bitcoin để mở khóa các thiết bị này.
REvil thực hiện nhiều cuộc tấn công ransomware, bao gồm một cuộc tấn công liên quan đến Kaseya vào tháng 6 năm 2019 và cuộc tấn công nhắm vào nhà cung cấp thịt JBS vào đầu năm 2021. Tuy nhiên, nhà nghiên cứu bảo mật Marcus Hutchins tỏ ra nghi ngờ về tuyên bố của tổ chức này. Ông tin rằng họ đã phóng đại phạm vi ảnh hưởng của cuộc tấn công ransomware để đòi thêm tiền chuộc.
Cho đến nay, Coop đã trở thành một trong những công ty bị ảnh hưởng nặng nề nhất bởi cuộc tấn công.Công ty sở hữu hơn 800 cửa hàng tạp hóa ở Thụy Điển, nhưng đã buộc phải đóng cửa hàng vào thứ Bảy tuần trước do máy tính tiền bị hỏng do vụ tấn công. Công ty đã đăng thông báo trên trang web chính thức của mình rằng các cửa hàng nơi bạn có thể sử dụng ứng dụng di động Scan & Pay để mua sắm đã mở cửa trở lại nhưng các cửa hàng khác vẫn đóng cửa.
Các chuyên gia dự đoán vào thứ Ba rằng khi các công ty Mỹ kết thúc kỳ nghỉ lễ Độc lập vào thứ Ba, nhiều công ty có thể trở thành nạn nhân bị tấn công Ransomware tiếp theo.
Được biết ba ngày sau cuộc tấn công, hệ thống máy chủ đám mây SaaS của Kaseya vẫn ngoại tuyến. Công ty cho biết rằng họ sẽ cung cấp thời gian biểu mới nhất cho việc khôi phục máy chủ vào tối nay, đồng thời sẽ tiết lộ thêm các chi tiết kỹ thuật liên quan đến vụ tấn công để giúp khách hàng và các nhà nghiên cứu thực hiện các biện pháp khôi phục.
vn-z.vn
vn-z.vn
Vn-Z.vn team tổng hợp
Vụ tấn cống vào Nhà cung cấp dịch vụ lưu trữ sử dụng phần mềm của Kaseya quản lý dịch vụ dự án CNTT từ xa diễn ra vào ngày 2/7, nhóm tấn công ransomware REvil được cho là có mối liên kết với Nga đã triển khai bản cập nhật phần mềm độc hại gây thiệt hại cho nhà cung cấp và khách hàng của Kaseya.
Theo Viện theo dõi tấn công "Tiết Lộ và Tổn thương" của Hà Lan (DIVD) tiết lộ rằng lỗ hổng được sử dụng trong cuộc tấn công này có vẻ giống với lỗ hổng mà họ đã phát hiện trong quá trình họ đang xử lý vấn đề này thì cuộc tấn công xảy ra. "Chúng tôi đã tiến hành các cuộc điều tra sâu rộng về các công cụ sao lưu và quản lý hệ thống cũng như các lỗ hổng bảo mật của chúng." DIVD cho biết, "Kaseya VSA là một trong những sản phẩm mà chúng tôi đã điều tra. Chúng tôi đã tìm thấy các lỗ hổng nghiêm trọng trong sản phẩm này và đã gửi báo cáo cho Kaseya "
Giám đốc điều hành Kaseya, Fred Vocolla cho biết, “Chúng tôi có rất ít khách hàng bị ảnh hưởng và ước tính hiện có ít hơn 40 khách hàng trên toàn thế giới.” Ross McChart, Phó chủ tịch của công ty an ninh mạng Sophos (Ross McKerchar) tiết lộ trong một tuyên bố vào Chủ nhật tuần trước. : "Đây là cuộc tấn công ransomware lây lan nhanh nhất mà Sophos từng chứng kiến cho đến nay. Bằng chứng chúng tôi thu được cho đến nay cho thấy hơn 70 nhà cung cấp dịch vụ lưu trữ đã bị ảnh hưởng. Hơn 350 tổ chức đã bị ảnh hưởng. Chúng tôi ước tính rằng số lượng tổ chức thực tế bị ảnh hưởng nhiều hơn con số được báo cáo bởi bất kỳ công ty bảo mật nào. "
Anne Neuberger, Phó Cố vấn An ninh Quốc gia phụ trách mạng và các công nghệ mới nổi, cho biết thêm: "Cục Điều tra Liên bang (FBI) và Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) sẽ tiếp tục liên hệ với các nạn nhân để cung cấp hỗ trợ dựa trên đánh giá rủi ro của quốc gia. "
Công ty bảo mật Huntress Labs cũng tham gia vào các hoạt động ứng phó với cuộc tấn công và lưu trữ hầu hết các thông tin có sẵn. Công ty cho biết cuộc tấn công đã ảnh hưởng đến hơn 1.000 công ty được họ theo dõi.
Cho đến nay, Coop đã trở thành một trong những công ty bị ảnh hưởng nặng nề nhất bởi cuộc tấn công.Công ty sở hữu hơn 800 cửa hàng tạp hóa ở Thụy Điển, nhưng đã buộc phải đóng cửa hàng vào thứ Bảy tuần trước do máy tính tiền bị hỏng do vụ tấn công. Công ty đã đăng thông báo trên trang web chính thức của mình rằng các cửa hàng nơi bạn có thể sử dụng ứng dụng di động Scan & Pay để mua sắm đã mở cửa trở lại nhưng các cửa hàng khác vẫn đóng cửa.
Các chuyên gia dự đoán vào thứ Ba rằng khi các công ty Mỹ kết thúc kỳ nghỉ lễ Độc lập vào thứ Ba, nhiều công ty có thể trở thành nạn nhân bị tấn công Ransomware tiếp theo.
Được biết ba ngày sau cuộc tấn công, hệ thống máy chủ đám mây SaaS của Kaseya vẫn ngoại tuyến. Công ty cho biết rằng họ sẽ cung cấp thời gian biểu mới nhất cho việc khôi phục máy chủ vào tối nay, đồng thời sẽ tiết lộ thêm các chi tiết kỹ thuật liên quan đến vụ tấn công để giúp khách hàng và các nhà nghiên cứu thực hiện các biện pháp khôi phục.
Hướng dẫn - Tổng quan về dòng STOP Ransomware (.STOP, .Puma, .Djvu, .Promo, .Drume...)
Bài này được viết vào 3/10/19, dựa trên bài viết trên diễn đàn Bleeping Computer https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/ *** Vài lời chia sẻ Trong khoảng vài tháng vừa rồi, mình thấy nhiều bài hỏi về file bị mã hoá chủ yếu...
vn-z.vn
Tổng hợp các phần mềm Anti-Ransomware
Thấy nhiều anh em bị nhiễm Ransomware quá, mình post lại bài này. Anh em cùng nhau chia sẻ kiến thức và hiểu biết về Anti-Ransomware qua bài sau nhé :D Có hai loại phần mềm Anti-ransomware: phần mềm bảo vệ hệ thống trong thời gian thực chống lại các mối đe dọa trực tiếp , và phần...
vn-z.vn
Vn-Z.vn team tổng hợp
