TỔNG HỢP VỀ RANSOMWARE – UNDERGROUND

Ngày 30 tháng 8 năm 2024

FortiGuard Labs thu thập dữ liệu về các biến thể ransomware đáng quan tâm đang thu hút sự chú ý trong các tập dữ liệu của chúng tôi và cộng đồng OSINT. Báo cáo Ransomware Roundup nhằm mục đích cung cấp cho độc giả những hiểu biết ngắn gọn về bối cảnh ransomware đang phát triển và các giải pháp Fortinet bảo vệ chống lại các biến thể đó.

Phiên bản này của Ransomware Roundup đề cập đến ransomware Underground.

Nền tảng bị ảnh hưởng:  Microsoft Windows
Các bên bị ảnh hưởng:  Microsoft Windows
Tác động:  Mã hóa tệp của nạn nhân và yêu cầu tiền chuộc để giải mã tệp
Mức độ nghiêm trọng:  Cao

Tổng quan về Ransomware ngầm

Mẫu đầu tiên của ransomware Underground được phát hiện lần đầu tiên vào đầu tháng 7 năm 2023, trên một trang web quét tệp công khai. Điều này gần như trùng khớp với thời điểm nạn nhân đầu tiên được đăng trên trang web rò rỉ dữ liệu của họ vào ngày 13 tháng 7 năm 2023.

Giống như hầu hết các phần mềm tống tiền khác, phần mềm tống tiền này mã hóa các tập tin trên máy tính Windows của nạn nhân và yêu cầu tiền chuộc để giải mã thông qua các ghi chú đòi tiền chuộc.

Vectơ lây nhiễm

Các báo cáo trực tuyến cho biết nhóm RomCom có ​​trụ sở tại Nga, còn được gọi là Storm-0978, đang triển khai ransomware Underground. Nhóm đe dọa này được biết là khai thác CVE-2023-36884 (Lỗ hổng RCE HTML của Microsoft Office và Windows), có thể là vectơ lây nhiễm cho ransomware.

FortiGuard Labs đã công bố Cảnh báo bùng phát về CVE-2023-36884 vào ngày 13 tháng 7 năm 2024.

Nhóm này cũng có thể sử dụng các phương thức lây nhiễm phổ biến khác như email và mua quyền truy cập từ Nhà môi giới truy cập ban đầu (IAB).

Phương pháp tấn công

Sau khi thực thi, ransomware Underground sẽ xóa các bản sao ẩn bằng lệnh sau:

  • vssadmin.exe xóa bóng tối /all /quiet

Phần mềm tống tiền đặt thời gian tối đa mà phiên RemoteDesktop/TerminalServer có thể duy trì hoạt động trên máy chủ là 14 ngày (14 ngày sau khi người dùng ngắt kết nối) bằng lệnh sau:

  • reg.exe thêm HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services / v MaxDisconnectionTime / t REG_DWORD / d 1209600000 / f

Sau đó dừng dịch vụ MS SQL Server bằng lệnh sau:

  • net.exe dừng MSSQLSERVER /f /m

Sau đó, phần mềm tống tiền sẽ tạo và thả một ghi chú đòi tiền chuộc có tên “!!readme!!!.txt”:

Hình 1: Ghi chú về tiền chuộc ransomware Underground

Hình 1: Ghi chú về tiền chuộc ransomware Underground

Mặc dù ransomware mã hóa các tập tin nhưng nó không thay đổi hoặc thêm phần mở rộng tập tin.

Hình 2: Một tập tin văn bản trước khi mã hóa tập tin

Hình 2: Một tập tin văn bản trước khi mã hóa tập tin

Hình 3: Một tập tin văn bản sau khi mã hóa tập tin

Hình 3: Một tập tin văn bản sau khi mã hóa tập tin

Nó cũng tránh mã hóa các tập tin có phần mở rộng sau:

.sys.exe.dll.bat.bin.cmd
.com.cpl.gadget.inf1.ins.inx
.isu.job.jse.lnk.msc.msi
.mst.paf.pif.ps1.reg.rgs
.scr.sct.shbshs.u3p.vb
.vbe.vbs.vbscript.ws.wsh.wsf

Phần mềm tống tiền này tạo và thực thi temp.cmd, thực hiện các hành động sau:

  • Xóa tệp ransomware gốc
  • Lấy danh sách các bản ghi Sự kiện Windows và xóa chúng

Trang web về nạn nhân và rò rỉ dữ liệu

Ransomware Underground có một trang web rò rỉ dữ liệu đăng thông tin nạn nhân, bao gồm dữ liệu bị đánh cắp từ nạn nhân. Hiện tại, trang web rò rỉ dữ liệu liệt kê 16 nạn nhân, với nạn nhân gần đây nhất được đăng vào ngày 3 tháng 7 năm 2024. Dưới đây là phân tích chi tiết về các nạn nhân và ngành dọc của họ:

Ngày đăngVị trí của nạn nhânNgành
2024/07/03Hoa KỳSự thi công
2024/07/01PhápDược phẩm
2024/06/17Hoa KỳDịch vụ chuyên nghiệp
27/05/2024Hoa KỳNgân hàng
2024/05/15Hoa KỳThuốc
2024/05/01Hoa KỳNgành công nghiệp
2024/04/09Hoa KỳDịch vụ kinh doanh
2024/04/09Hoa KỳSự thi công
2024/03/25Hoa KỳChế tạo
2024/03/06Hàn QuốcChế tạo
2024/02/12Tây ban nhaChế tạo
2024/02/02ĐứcNgành công nghiệp
2023/07/31SlovakiaDịch vụ kinh doanh
2024/07/18Đài LoanNgành công nghiệp
2024/07/18SingaporeChế tạo
2024/07/14CanadaChế tạo
Hình 4: Trang web rò rỉ dữ liệu của ransomware Underground

Hình 4: Trang web rò rỉ dữ liệu của ransomware Underground

Trang web rò rỉ dữ liệu cũng bao gồm hộp thả xuống với danh sách các ngành mà nhóm ransomware đang nhắm tới hoặc được phép nhắm tới.

ngành công nghiệp ransomware ngầm
Hình 5: Một trong những nạn nhân trên trang web rò rỉ dữ liệu

Hình 5: Một trong những nạn nhân trên trang web rò rỉ dữ liệu

Nhóm ransomware Underground cũng có kênh Telegram được tạo vào ngày 21 tháng 3 năm 2024.

Hình 6: Kênh Telegram ransomware Underground

Theo kênh Telegram, nhóm ransomware đã công khai thông tin bị đánh cắp của nạn nhân trên Mega, một nhà cung cấp dịch vụ lưu trữ đám mây đang bị lạm dụng.

Hình 7: Kênh Telegram chứa liên kết đến thông tin bị đánh cắp trên Mega

Bảo vệ Fortinet

Phần mềm tống tiền Underground được mô tả trong báo cáo này được FortiGuard Antivirus phát hiện và chặn như sau:

  • W64/IndustrySpy.C!tr.ransom
  • W64/Filecoder_IndustrialSpy.C!tr.ransom
  • Phần mềm quảng cáo/Filecoder_IndustrialSpy
  • Phần mềm rủi ro/Tiền chuộc

FortiGate, FortiMail, FortiClient và FortiEDR hỗ trợ dịch vụ FortiGuard AntiVirus . Công cụ FortiGuard AntiVirus là một phần của mỗi giải pháp đó. Do đó, khách hàng có các sản phẩm này với các biện pháp bảo vệ cập nhật sẽ được bảo vệ.

Vui lòng đọc cảnh báo về dịch bệnh để bảo vệ bản thân khỏi tác nhân lây nhiễm tiềm ẩn (CVE-2023-36884) bị ransomware Underground lợi dụng:

IOCs

IOC tệp ransomware ngầm

SHA2Ghi chú
9543f71d7c4e394223c9d41ccef71541e1f1eb0cc76e8fa0f632b8365069af64  Phần mềm tống tiền ngầm
9f702b94a86558df87de316611d9f1bfe99a6d8da9fa9b3d7bb125a12f9ad11f
eb8ed3b94fa978b27a02754d4f41ffc95ed95b9e62afb492015d0eb25f89956f
9d41b2f7c07110fb855c62b5e7e330a597860916599e73dd3505694fd1bbe163
cc80c74a3592374341324d607d877dcf564d326a1354f3f2a4af58030e716813
d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666

Hướng dẫn FortiGuard Labs

Do dễ bị gián đoạn, gây thiệt hại cho hoạt động hàng ngày, tác động tiềm ẩn đến danh tiếng của tổ chức và việc phá hủy hoặc tiết lộ thông tin nhận dạng cá nhân (PII) không mong muốn, v.v., nên việc cập nhật tất cả các chữ ký AV và IPS là rất quan trọng.

Vì phần lớn phần mềm tống tiền được phát tán qua lừa đảo, các tổ chức nên cân nhắc sử dụng các giải pháp của Fortinet được thiết kế để đào tạo người dùng hiểu và phát hiện các mối đe dọa lừa đảo:

Dịch  vụ mô phỏng lừa đảo FortiPhish  sử dụng các mô phỏng thực tế để giúp các tổ chức kiểm tra nhận thức và mức độ cảnh giác của người dùng đối với các mối đe dọa lừa đảo và đào tạo cũng như củng cố các biện pháp thực hành phù hợp khi người dùng gặp phải các cuộc tấn công lừa đảo có chủ đích.

Khóa đào tạo Fortinet Certified Fundamentals (FCF) MIỄN PHÍ   về An ninh mạng của chúng tôi. Khóa đào tạo được thiết kế để giúp người dùng cuối tìm hiểu về bối cảnh đe dọa hiện nay và sẽ giới thiệu các khái niệm và công nghệ an ninh mạng cơ bản.

Các tổ chức sẽ cần thực hiện những thay đổi cơ bản về tần suất, vị trí và bảo mật cho các bản sao lưu dữ liệu của mình để xử lý hiệu quả rủi ro đang phát triển và mở rộng nhanh chóng của phần mềm tống tiền. Khi kết hợp với sự xâm phạm chuỗi cung ứng kỹ thuật số và lực lượng lao động làm việc từ xa vào mạng, có nguy cơ thực sự rằng các cuộc tấn công có thể đến từ bất kỳ đâu. Các giải pháp bảo mật dựa trên đám mây, chẳng hạn như  SASE , để bảo vệ các thiết bị ngoài mạng; bảo mật điểm cuối tiên tiến, chẳng hạn như  các giải pháp EDR  (phát hiện và phản hồi điểm cuối) có thể phá vỡ phần mềm độc hại giữa cuộc tấn công; và  Zero Trust Access  và các chiến lược phân đoạn mạng hạn chế quyền truy cập vào các ứng dụng và tài nguyên dựa trên chính sách và bối cảnh, tất cả đều nên được nghiên cứu để giảm thiểu rủi ro và giảm tác động của một cuộc tấn công phần mềm tống tiền thành công.

Là một phần của Security Fabric tích hợp đầy đủ hàng đầu trong ngành  , mang lại sự hiệp lực và tự động hóa trong toàn bộ hệ sinh thái bảo mật của bạn, Fortinet cũng cung cấp danh mục công nghệ và dịch vụ theo yêu cầu của con người. Các dịch vụ này được hỗ trợ bởi đội ngũ chuyên gia an ninh mạng dày dạn kinh nghiệm của FortiGuard toàn cầu.

FortiRecon  là Dịch vụ Phòng ngừa Rủi ro Kỹ thuật số dựa trên SaaS được các chuyên gia an ninh mạng hỗ trợ để cung cấp thông tin tình báo về mối đe dọa vô song về hoạt động mới nhất của tác nhân đe dọa trên dark web, cung cấp hiểu biết sâu sắc về động cơ và TTP của tác nhân đe dọa. Dịch vụ có thể phát hiện bằng chứng về các cuộc tấn công đang diễn ra, cho phép khách hàng phản ứng nhanh chóng và ngăn chặn các mối đe dọa đang hoạt động.

Tốt nhất không trả tiền chuộc

Các tổ chức như CISA, NCSC,  FBI và HHS cảnh báo nạn nhân ransomware không nên trả tiền chuộc một phần vì khoản thanh toán không đảm bảo rằng các tệp sẽ được khôi phục. Theo  khuyến cáo của Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ , các khoản thanh toán tiền chuộc cũng có thể khuyến khích kẻ thù nhắm mục tiêu vào các tổ chức khác, khuyến khích các tác nhân tội phạm khác phân phối ransomware và/hoặc tài trợ cho các hoạt động bất hợp pháp có khả năng là bất hợp pháp. Đối với các tổ chức và cá nhân bị ảnh hưởng bởi ransomware, FBI có trang Khiếu nại về Ransomware,  nơi  nạn nhân có thể gửi các mẫu hoạt động ransomware thông qua Trung tâm Khiếu nại về Tội phạm Internet (IC3) của họ.

Fortinet có thể giúp gì

Dịch vụ ứng phó sự cố khẩn cấp của FortiGuard Labs   cung cấp phản hồi nhanh chóng và hiệu quả khi phát hiện sự cố.  Dịch vụ đăng ký sẵn sàng ứng phó sự cố của chúng tôi  cung cấp các công cụ và hướng dẫn để giúp bạn chuẩn bị tốt hơn cho sự cố mạng thông qua các đánh giá về mức độ sẵn sàng, phát triển sổ tay hướng dẫn ứng phó sự cố an ninh mạng và thử nghiệm sổ tay hướng dẫn ứng phó sự cố an ninh mạng (bài tập thực hành).

Ngoài ra,  FortiRecon Digital Risk Protection (DRP)  là dịch vụ dựa trên SaaS cung cấp cái nhìn về những gì kẻ thù đang nhìn thấy, làm và lập kế hoạch để giúp bạn chống lại các cuộc tấn công ở giai đoạn trinh sát và giảm đáng kể rủi ro, thời gian và chi phí giảm thiểu mối đe dọa ở giai đoạn sau.