Nội dung chính
Những kẻ tấn công đứng sau ransomware-as-a-service (RaaS) RansomHub đã bị phát hiện lợi dụng các lỗ hổng bảo mật hiện đã được vá trong Microsoft Active Directory và giao thức Netlogon để leo thang đặc quyền và truy cập trái phép vào Domain Controller trên hệ thống mạng mục tiêu. Nhóm tin tặc này nổi lên như một mối đe dọa ransomware lớn trong năm 2024 với nhiều cuộc tấn công mạng đã được thực hiện.
Nhóm ransomware tinh vi
“RansomHub đã nhắm mục tiêu vào hơn 600 tổ chức trên toàn cầu, trải dài trên các lĩnh vực như , tài chính, chính phủ và cơ sở hạ tầng quan trọng, là nhóm ransomware hoạt động tích cực nhất vào năm 2024”, các nhà phân tích của công ty an ninh mạng Group-IB (Singapore) cho biết trong một báo cáo mới đây.
Nhóm ransomware này lần đầu tiên xuất hiện vào tháng 02/2024, khi lấy được mã nguồn liên quan đến nhóm tin tặc Knight (trước đây là Cyclops) RaaS từ diễn đàn tội phạm mạng RAMP. Khoảng năm tháng sau, một phiên bản cập nhật locker đã được quảng cáo với khả năng mã hóa dữ liệu từ xa thông qua giao thức SFTP.
RansomHub có nhiều biến thể có khả năng mã hóa các tệp trên máy chủ Windows, và SFTP. Nhóm tin tặc này cũng được quan sát thấy đang tích cực tuyển dụng các chi nhánh từ các nhóm tội phạm mạng như LockBit và BlackCat.
Trong sự cố được Group-IB phân tích, tác nhân đe dọa được cho là đã không thành công khi cố gắng khai thác lỗ hổng nghiêm trọng ảnh hưởng đến các thiết bị PAN-OS của (CVE-2024-3400) bằng cách sử dụng bằng chứng khái niệm (PoC) có sẵn công khai, trước khi xâm phạm vào hệ thống mục tiêu bằng cách tấn công Brute Force vào dịch vụ VPN.
“Nỗ lực tấn công bằng dựa trên một từ điển phong phú gồm hơn 5.000 tên người dùng và mật khẩu. Kẻ tấn công đã truy cập được thông qua một tài khoản mặc định thường được sử dụng trong các giải pháp sao lưu dữ liệu và cuối cùng đã bị xâm phạm”, các nhà nghiên cứu cho biết.
Quyền truy cập ban đầu sau đó bị lợi dụng để thực hiện cuộc tấn công bằng ransomware, trong đó cả quá trình mã hóa và đánh cắp dữ liệu đều diễn ra trong vòng 24 giờ sau khi bị xâm nhập.
Cụ thể, nó liên quan đến việc lợi dụng hai lỗ hổng bảo mật đã biết trong Active Directory (CVE-2021-42278 hay còn gọi là noPac) và giao thức Netlogon (CVE-2020-1472 hay còn gọi là ZeroLogon) để chiếm quyền kiểm soát Domain Controller và thực hiện di chuyển ngang hàng trong hệ thống mạng. Các nhà nghiên cứu chia sẻ thêm, việc khai thác các lỗ hổng trên cho phép kẻ tấn công có được quyền truy cập đặc quyền vào Domain Controller.
Sau khi hoàn tất các hoạt động đánh cắp dữ liệu, kẻ tấn công đã chuẩn bị môi trường cho giai đoạn cuối của cuộc tấn công. Các tin tặc đã xâm nhập vào tất cả dữ liệu trên mạng mục tiêu, được lưu trên các NAS khác nhau, khiến chúng hoàn toàn không thể đọc và không thể truy cập được, cũng như không thể khôi phục, với mục đích buộc nạn nhân phải trả tiền chuộc để lấy lại dữ liệu của họ.
Một khía cạnh đáng chú ý khác của cuộc tấn công là việc sử dụng PCHunter để ngăn chặn và vượt qua các giải pháp bảo mật điểm cuối, cũng như Filezilla để đánh cắp dữ liệu.
Các nhà nghiên cứu cho biết: “Nguồn gốc của nhóm như RansomHub, các hoạt động tấn công và đặc điểm trùng lặp với một số nhóm tin tặc khác, điều này minh chứng sự tồn tại của một hệ sinh thái tội phạm mạng đang phát triển. Môi trường này phát triển mạnh nhờ việc chia sẻ, tái sử dụng và đổi thương hiệu các công cụ cũng như mã nguồn, thúc đẩy một thị trường ngầm mạnh mẽ”.
Diễn biến liên quan
Sự phát triển này diễn ra khi Group-IB trình bày chi tiết hoạt động bên trong của “nhà điều hành RaaS đáng gờm” được gọi là Lynx, làm sáng tỏ quy trình làm việc liên kết của chúng, kho vũ khí ransomware đa nền tảng cho môi trường Windows, và ESXi và các chế độ mã hóa có thể tùy chỉnh.
Phân tích các phiên bản ransomware trên Windows và Linux cho thấy nó rất giống với ransomware INC, điều này cho thấy kẻ tấn công có khả năng đã lấy được mã nguồn của ransomware INC. Lynx gần đây đã thêm nhiều chế độ mã hóa khác nhau như: “nhanh”, “trung bình”, “chậm” và “toàn bộ”, giúp các tin tặc có thể tự do điều chỉnh phù hợp.
Trong những tuần đầu tháng 02/2024, các nhà nghiên cứu cũng phát hiện các cuộc tấn công có động cơ tài chính bằng cách sử dụng phần mềm độc hại botnet Phorpiex (hay còn gọi là Trik) phát tán qua email lừa đảo để phân phối ransomware LockBit.
Một vectơ lây nhiễm ban đầu quan trọng khác liên quan đến việc khai thác các thiết bị VPN chưa vá (ví dụ lỗ hổng CVE-2021-20038) để truy cập vào các thiết bị và máy chủ mạng nội bộ, cuối cùng triển khai ransomware Abyss Locker.
Các cuộc tấn công này cũng được đặc trưng bởi việc sử dụng các công cụ tạo tunnel để duy trì tính bền bỉ, cũng như tận dụng kỹ thuật Bring Your Own Vulnerable Driver (BYOVD) để vô hiệu hóa các biện pháp kiểm soát bảo vệ điểm cuối.
Các nhà nghiên cứu cho rằng, sau khi truy cập vào môi trường và thực hiện các lệnh trinh sát, các công cụ tạo tunnel này được triển khai một cách chiến lược trên các thiết bị mạng quan trọng, bao gồm máy chủ ESXi, máy chủ Windows, thiết bị và thiết bị lưu trữ kết nối mạng (NAS).
Bằng cách nhắm vào các thiết bị này, kẻ tấn công đảm bảo các kênh liên lạc mạnh mẽ và đáng tin cậy để duy trì quyền truy cập và điều phối các hoạt động độc hại của chúng trên toàn bộ mạng bị xâm phạm.
Kết luận
Bối cảnh ransomware đang tiếp tục phát triển, các tác nhân đe dọa mới và cũ vẫn tiếp tục thay đổi phương thức hoạt động, với các cuộc tấn công chuyển từ mã hóa truyền thống sang đánh cắp dữ liệu và tống tiền, ngay cả khi nạn nhân ngày càng từ chối trả tiền, dẫn đến sự sụt giảm trong các khoản thanh toán vào năm 2024.
Nguồn: Tạp chí ATTT
