Ngày 30 tháng 8 năm 2024

FortiGuard Labs thu thập dữ liệu về các biến thể ransomware đáng quan tâm đang thu hút sự chú ý trong các tập dữ liệu của chúng tôi và cộng đồng OSINT. Báo cáo Ransomware Roundup nhằm mục đích cung cấp cho độc giả những hiểu biết ngắn gọn về bối cảnh ransomware đang phát triển và các giải pháp Fortinet bảo vệ chống lại các biến thể đó.

Phiên bản này của Ransomware Roundup đề cập đến ransomware Underground.

Nền tảng bị ảnh hưởng:  Microsoft Windows
Các bên bị ảnh hưởng:  Microsoft Windows
Tác động:  Mã hóa tệp của nạn nhân và yêu cầu tiền chuộc để giải mã tệp
Mức độ nghiêm trọng:  Cao

Tổng quan về Ransomware ngầm

Mẫu đầu tiên của ransomware Underground được phát hiện lần đầu tiên vào đầu tháng 7 năm 2023, trên một trang web quét tệp công khai. Điều này gần như trùng khớp với thời điểm nạn nhân đầu tiên được đăng trên trang web rò rỉ dữ liệu của họ vào ngày 13 tháng 7 năm 2023.

Giống như hầu hết các phần mềm tống tiền khác, phần mềm tống tiền này mã hóa các tập tin trên máy tính Windows của nạn nhân và yêu cầu tiền chuộc để giải mã thông qua các ghi chú đòi tiền chuộc.

Vectơ lây nhiễm

Các báo cáo trực tuyến cho biết nhóm RomCom có ​​trụ sở tại Nga, còn được gọi là Storm-0978, đang triển khai ransomware Underground. Nhóm đe dọa này được biết là khai thác CVE-2023-36884 (Lỗ hổng RCE HTML của Microsoft Office và Windows), có thể là vectơ lây nhiễm cho ransomware.

FortiGuard Labs đã công bố Cảnh báo bùng phát về CVE-2023-36884 vào ngày 13 tháng 7 năm 2024.

• Cảnh báo bùng phát: Lỗ hổng RCE HTML của Microsoft Office và Windows

Nhóm này cũng có thể sử dụng các phương thức lây nhiễm phổ biến khác như email và mua quyền truy cập từ Nhà môi giới truy cập ban đầu (IAB).

Phương pháp tấn công

Sau khi thực thi, ransomware Underground sẽ xóa các bản sao ẩn bằng lệnh sau:

• vssadmin.exe xóa bóng tối /all /quiet

Phần mềm tống tiền đặt thời gian tối đa mà phiên RemoteDesktop/TerminalServer có thể duy trì hoạt động trên máy chủ là 14 ngày (14 ngày sau khi người dùng ngắt kết nối) bằng lệnh sau:

• reg.exe thêm HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services / v MaxDisconnectionTime / t REG_DWORD / d 1209600000 / f

Sau đó dừng dịch vụ MS SQL Server bằng lệnh sau:

• net.exe dừng MSSQLSERVER /f /m

Sau đó, phần mềm tống tiền sẽ tạo và thả một ghi chú đòi tiền chuộc có tên “!!readme!!!.txt”:

Hình 1: Ghi chú về tiền chuộc ransomware Underground

Mặc dù ransomware mã hóa các tập tin nhưng nó không thay đổi hoặc thêm phần mở rộng tập tin.

Hình 2: Một tập tin văn bản trước khi mã hóa tập tin

Hình 3: Một tập tin văn bản sau khi mã hóa tập tin

Nó cũng tránh mã hóa các tập tin có phần mở rộng sau:

Phần mềm tống tiền này tạo và thực thi temp.cmd, thực hiện các hành động sau:

• Xóa tệp ransomware gốc
• Lấy danh sách các bản ghi Sự kiện Windows và xóa chúng

Trang web về nạn nhân và rò rỉ dữ liệu

Ransomware Underground có một trang web rò rỉ dữ liệu đăng thông tin nạn nhân, bao gồm dữ liệu bị đánh cắp từ nạn nhân. Hiện tại, trang web rò rỉ dữ liệu liệt kê 16 nạn nhân, với nạn nhân gần đây nhất được đăng vào ngày 3 tháng 7 năm 2024. Dưới đây là phân tích chi tiết về các nạn nhân và ngành dọc của họ:

Hình 4: Trang web rò rỉ dữ liệu của ransomware Underground

Trang web rò rỉ dữ liệu cũng bao gồm hộp thả xuống với danh sách các ngành mà nhóm ransomware đang nhắm tới hoặc được phép nhắm tới.

Hình 5: Một trong những nạn nhân trên trang web rò rỉ dữ liệu

Nhóm ransomware Underground cũng có kênh Telegram được tạo vào ngày 21 tháng 3 năm 2024.

Hình 6: Kênh Telegram ransomware Underground

Theo kênh Telegram, nhóm ransomware đã công khai thông tin bị đánh cắp của nạn nhân trên Mega, một nhà cung cấp dịch vụ lưu trữ đám mây đang bị lạm dụng.

Hình 7: Kênh Telegram chứa liên kết đến thông tin bị đánh cắp trên Mega

Bảo vệ Fortinet

Phần mềm tống tiền Underground được mô tả trong báo cáo này được FortiGuard Antivirus phát hiện và chặn như sau:

• W64/IndustrySpy.C!tr.ransom
• W64/Filecoder_IndustrialSpy.C!tr.ransom
• Phần mềm quảng cáo/Filecoder_IndustrialSpy
• Phần mềm rủi ro/Tiền chuộc

FortiGate, FortiMail, FortiClient và FortiEDR hỗ trợ dịch vụ FortiGuard AntiVirus . Công cụ FortiGuard AntiVirus là một phần của mỗi giải pháp đó. Do đó, khách hàng có các sản phẩm này với các biện pháp bảo vệ cập nhật sẽ được bảo vệ.

Vui lòng đọc cảnh báo về dịch bệnh để bảo vệ bản thân khỏi tác nhân lây nhiễm tiềm ẩn (CVE-2023-36884) bị ransomware Underground lợi dụng:

• Cảnh báo bùng phát: Lỗ hổng RCE HTML của Microsoft Office và Windows

IOCs

IOC tệp ransomware ngầm

Hướng dẫn FortiGuard Labs

Do dễ bị gián đoạn, gây thiệt hại cho hoạt động hàng ngày, tác động tiềm ẩn đến danh tiếng của tổ chức và việc phá hủy hoặc tiết lộ thông tin nhận dạng cá nhân (PII) không mong muốn, v.v., nên việc cập nhật tất cả các chữ ký AV và IPS là rất quan trọng.

Vì phần lớn phần mềm tống tiền được phát tán qua lừa đảo, các tổ chức nên cân nhắc sử dụng các giải pháp của Fortinet được thiết kế để đào tạo người dùng hiểu và phát hiện các mối đe dọa lừa đảo:

Dịch  vụ mô phỏng lừa đảo FortiPhish  sử dụng các mô phỏng thực tế để giúp các tổ chức kiểm tra nhận thức và mức độ cảnh giác của người dùng đối với các mối đe dọa lừa đảo và đào tạo cũng như củng cố các biện pháp thực hành phù hợp khi người dùng gặp phải các cuộc tấn công lừa đảo có chủ đích.

Khóa đào tạo Fortinet Certified Fundamentals (FCF) MIỄN PHÍ   về An ninh mạng của chúng tôi. Khóa đào tạo được thiết kế để giúp người dùng cuối tìm hiểu về bối cảnh đe dọa hiện nay và sẽ giới thiệu các khái niệm và công nghệ an ninh mạng cơ bản.

Các tổ chức sẽ cần thực hiện những thay đổi cơ bản về tần suất, vị trí và bảo mật cho các bản sao lưu dữ liệu của mình để xử lý hiệu quả rủi ro đang phát triển và mở rộng nhanh chóng của phần mềm tống tiền. Khi kết hợp với sự xâm phạm chuỗi cung ứng kỹ thuật số và lực lượng lao động làm việc từ xa vào mạng, có nguy cơ thực sự rằng các cuộc tấn công có thể đến từ bất kỳ đâu. Các giải pháp bảo mật dựa trên đám mây, chẳng hạn như  SASE , để bảo vệ các thiết bị ngoài mạng; bảo mật điểm cuối tiên tiến, chẳng hạn như  các giải pháp EDR  (phát hiện và phản hồi điểm cuối) có thể phá vỡ phần mềm độc hại giữa cuộc tấn công; và  Zero Trust Access  và các chiến lược phân đoạn mạng hạn chế quyền truy cập vào các ứng dụng và tài nguyên dựa trên chính sách và bối cảnh, tất cả đều nên được nghiên cứu để giảm thiểu rủi ro và giảm tác động của một cuộc tấn công phần mềm tống tiền thành công.

Là một phần của Security Fabric tích hợp đầy đủ hàng đầu trong ngành  , mang lại sự hiệp lực và tự động hóa trong toàn bộ hệ sinh thái bảo mật của bạn, Fortinet cũng cung cấp danh mục công nghệ và dịch vụ theo yêu cầu của con người. Các dịch vụ này được hỗ trợ bởi đội ngũ chuyên gia an ninh mạng dày dạn kinh nghiệm của FortiGuard toàn cầu.

FortiRecon  là Dịch vụ Phòng ngừa Rủi ro Kỹ thuật số dựa trên SaaS được các chuyên gia an ninh mạng hỗ trợ để cung cấp thông tin tình báo về mối đe dọa vô song về hoạt động mới nhất của tác nhân đe dọa trên dark web, cung cấp hiểu biết sâu sắc về động cơ và TTP của tác nhân đe dọa. Dịch vụ có thể phát hiện bằng chứng về các cuộc tấn công đang diễn ra, cho phép khách hàng phản ứng nhanh chóng và ngăn chặn các mối đe dọa đang hoạt động.

Tốt nhất không trả tiền chuộc

Các tổ chức như CISA, NCSC,  FBI và HHS cảnh báo nạn nhân ransomware không nên trả tiền chuộc một phần vì khoản thanh toán không đảm bảo rằng các tệp sẽ được khôi phục. Theo  khuyến cáo của Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ , các khoản thanh toán tiền chuộc cũng có thể khuyến khích kẻ thù nhắm mục tiêu vào các tổ chức khác, khuyến khích các tác nhân tội phạm khác phân phối ransomware và/hoặc tài trợ cho các hoạt động bất hợp pháp có khả năng là bất hợp pháp. Đối với các tổ chức và cá nhân bị ảnh hưởng bởi ransomware, FBI có trang Khiếu nại về Ransomware,  nơi  nạn nhân có thể gửi các mẫu hoạt động ransomware thông qua Trung tâm Khiếu nại về Tội phạm Internet (IC3) của họ.

Fortinet có thể giúp gì

Dịch vụ ứng phó sự cố khẩn cấp của FortiGuard Labs   cung cấp phản hồi nhanh chóng và hiệu quả khi phát hiện sự cố.  Dịch vụ đăng ký sẵn sàng ứng phó sự cố của chúng tôi  cung cấp các công cụ và hướng dẫn để giúp bạn chuẩn bị tốt hơn cho sự cố mạng thông qua các đánh giá về mức độ sẵn sàng, phát triển sổ tay hướng dẫn ứng phó sự cố an ninh mạng và thử nghiệm sổ tay hướng dẫn ứng phó sự cố an ninh mạng (bài tập thực hành).

Ngoài ra,  FortiRecon Digital Risk Protection (DRP)  là dịch vụ dựa trên SaaS cung cấp cái nhìn về những gì kẻ thù đang nhìn thấy, làm và lập kế hoạch để giúp bạn chống lại các cuộc tấn công ở giai đoạn trinh sát và giảm đáng kể rủi ro, thời gian và chi phí giảm thiểu mối đe dọa ở giai đoạn sau.

Nền tảng bị ảnh hưởng: Microsoft Windows
Người dùng bị ảnh hưởng: Microsoft Windows
Tác động: Thông tin bị đánh cắp có thể được sử dụng cho các cuộc tấn công trong tương lai
Mức độ nghiêm trọng: Cao

Vào tháng 8 năm 2024, FortiGuard Labs đã phát hiện ra một chương trình đánh cắp thông tin python mà chúng tôi gọi là Emansrepo được phân phối qua email bao gồm các đơn đặt hàng và hóa đơn giả mạo. Emansrepo nén dữ liệu từ trình duyệt và tệp của nạn nhân theo các đường dẫn cụ thể thành một tệp zip và gửi đến email của kẻ tấn công. Theo nghiên cứu của chúng tôi, chiến dịch này đã diễn ra từ tháng 11 năm 2023.

Kẻ tấn công đã gửi một email lừa đảo có chứa tệp HTML, được chuyển hướng đến liên kết tải xuống Emansrepo. Biến thể này được đóng gói bởi PyInstaller để có thể chạy trên máy tính mà không cần Python.

Hình 1: Luồng tấn công vào tháng 11 năm 2023

Hình 2: Liên kết tải xuống Emansrepo được nhúng trong RTGS Invoices.html.

Theo thời gian, luồng tấn công ngày càng trở nên phức tạp hơn. Dưới đây là các luồng tấn công mà chúng tôi tìm thấy vào tháng 7 và tháng 8 năm 2024:

Hình 3: Luồng tấn công vào tháng 8 và tháng 7 năm 2024

Nhiều giai đoạn khác nhau đang được thêm vào luồng tấn công trước khi tải xuống Emansrepo và nhiều hộp thư được sử dụng để nhận các loại dữ liệu bị đánh cắp khác nhau. Bài viết này sẽ cung cấp phân tích chi tiết về từng chuỗi tấn công và hành vi của nó. Sau đó, chúng tôi sẽ cung cấp tóm tắt nhanh về chiến dịch tiếp theo.

Luồng tấn công

• Chuỗi 1

Hình 4: Thư lừa đảo trong chuỗi 1 chứa trang tải xuống giả mạo

Tệp đính kèm là một dropper mô phỏng trang tải xuống. Nó tạo ra một phần tử liên kết trỏ đến dữ liệu của Purchase-Order.7z và sử dụng phương thức click() để “tải xuống” Purchase-Order.7z. Sáu giây sau, nó chuyển hướng đến một trang web hoàn toàn không liên quan.

Hình 5: Mã nguồn của tệp đính kèm

Purchase-Order.exe, tệp được nhúng trong Purchase-Order.7z, là tệp thực thi được biên dịch bởi AutoIt. Tệp này không bao gồm bất kỳ tệp nào và tập lệnh AutoIt xác định hành vi của tệp. Tập lệnh có nhiều hàm không sử dụng, gây cản trở cho quá trình phân tích của tệp. Mã có ý nghĩa duy nhất là tải preoffice.zip xuống thư mục Temp và giải nén tệp này vào % TEMP%\PythonTemp. Tệp zip chứa các mô-đun Python cần thiết và tester.py, tập lệnh độc hại để đánh cắp thông tin.

Hình 6: Tập lệnh AutoIt tải xuống thông tin đánh cắp của Python

• Chuỗi 2

Hình 7: Thư lừa đảo trong chuỗi 2

Tệp trong cùng trong PO7z là tệp HTA. Tệp nguồn của nó là tệp JavaScript hiển thị cửa sổ ẩn có tên PowerShell Script Runner và tải xuống tập lệnh PowerShell, script.ps1, với VBScript cho giai đoạn tiếp theo.

Hình 8: Thuật toán giải mã của tệp JavaScript và kết quả

Hành vi của script.ps1 tương tự như tập lệnh AutoIt trong chuỗi 1. Nó tải preoffice.zip vào thư mục Temp và giải nén vào %TEMP%\PythonTemp, nhưng nó thực thi Emansrepo bằng run.bat.

Hình 9: script.ps1 thực thi run.bat để chạy infostealer

• Chuỗi 3

Hình 10: Thư lừa đảo trong chuỗi 3

Tệp 7z trong liên kết trong email lừa đảo có chứa tệp lệnh được BatchShield ẩn đi.

Hình 11: Tệp lệnh đã được làm tối nghĩa

Sau khi giải mã, chúng ta có thể thấy rằng nó không phức tạp như thoạt nhìn. Nó chỉ cần tải xuống và thực thi script.ps1 bằng PowerShell.

Hình 12: Tệp hàng loạt đã được giải mã

Kẻ đánh cắp thông tin Python

Theo email nhận dữ liệu, hành vi đánh cắp thông tin có thể được chia thành ba phần. Nó tạo các thư mục để lưu trữ tạm thời dữ liệu bị đánh cắp cho từng phần và xóa chúng sau khi gửi dữ liệu cho kẻ tấn công. Dữ liệu bị đánh cắp được đính kèm vào email gửi cho kẻ tấn công.

• Phần 1 – Thông tin người dùng và tập tin văn bản

Trong phần 1, kẻ đánh cắp Python sẽ thu thập dữ liệu đăng nhập, thông tin thẻ tín dụng, lịch sử web, lịch sử tải xuống, tự động điền và các tệp văn bản (nhỏ hơn 0,2 MB) từ các thư mục Desktop, Document và Downloads.

Phần 1 bao gồm các tính năng ban đầu của Emansrepo vì chỉ có mã cho phần 1 trong biến thể tháng 11 năm 2023 (e346f6b36569d7b8c52a55403a6b78ae0ed15c0aaae4011490404bdb04ff28e5). Cần lưu ý rằng báo cáo emans841 đã được sử dụng làm bộ chia trong Saved_Passwords.txt kể từ biến thể tháng 12 năm 2023 (ae2a5a02d0ef173b1d38a26c5a88b796f4ee2e8f36ee00931c468cd496fb2b5a). Vì lý do này, chúng tôi gọi nó là Emansrepo.

Hình 13: Nội dung của Saved_Passwords.txt

Phiên bản được sử dụng vào tháng 11 năm 2023 sử dụng Prysmax Premium làm bộ chia.

Khi so sánh phiên bản vào tháng 11 năm 2023 với phiên bản đầu tiên của Prysmax stealer được chia sẻ trên GitHub, chúng tôi thấy chúng có nhiều chức năng tương tự, mặc dù Emansrepo stealer có ít tính năng hơn. Tuy nhiên, khi phần 2 và 3 được thêm vào Emansrepo, nó đã trở nên khá khác biệt so với Prysmax stealer.

Hình 14: Trái: Biến thể vào tháng 11 năm 2023. Phải: Phiên bản đầu tiên của Prysmax Stealer trên GitHub

• Phần 2 – Tệp PDF, tiện ích mở rộng, ví tiền điện tử và nền tảng trò chơi

Phần 2 sao chép các tệp PDF (nhỏ hơn 0,1 MB) từ các thư mục Desktop, Document, Downloads và Recents và nén các thư mục tiện ích mở rộng của trình duyệt, ví tiền điện tử và nền tảng trò chơi thành các tệp zip.

• Phần 3 – Cookie

Phần 3 sao chép các tệp cookie và nén chúng vào {process_name}_cookies.zip.

Chiến dịch mới

Gần đây chúng tôi đã phát hiện ra một chiến dịch tấn công khác sử dụng phần mềm độc hại Remcos, mà chúng tôi tin là có liên quan đến cùng một kẻ tấn công vì đã gửi email lừa đảo.

Hình 15: Bên trái: email của kẻ đánh cắp thông tin Python. Bên phải: Email của Remcos.

Như ảnh chụp màn hình ở trên cho thấy, các cuộc tấn công này có cùng nội dung nhưng sử dụng các phương pháp khác nhau để phân phối phần mềm độc hại. Luồng tấn công đối với Remcos đơn giản hơn nhiều. Kẻ tấn công chỉ gửi email lừa đảo có tệp đính kèm độc hại. Tệp đính kèm là DBatLoader, tải xuống và giải mã dữ liệu cho payload. Payload là Remcos được bảo vệ bởi một packer.

Hình 16: Luồng tấn công của chiến dịch Remcos mới

Phần kết luận

Emansrepo đã hoạt động ít nhất là từ tháng 11 năm ngoái và phương pháp tấn công liên tục phát triển. Các vectơ tấn công và phần mềm độc hại luôn thay đổi và lan rộng, do đó, điều quan trọng đối với các tổ chức là duy trì nhận thức về an ninh mạng. FortiGuard sẽ tiếp tục giám sát các chiến dịch tấn công này và cung cấp các biện pháp bảo vệ phù hợp khi cần thiết.

Bảo vệ Fortinet

Phần mềm độc hại được mô tả trong báo cáo này được FortiGuard Antivirus phát hiện và chặn như sau:

• W32/Kryptik.EB!tr
  JS/Agent.FEI!tr
  BAT/Downloader.2C22!tr

FortiGate, FortiMail, FortiClient và FortiEDR hỗ trợ dịch vụ FortiGuard AntiVirus. Công cụ FortiGuard AntiVirus là một phần của mỗi giải pháp. Do đó, khách hàng có các sản phẩm này với các biện pháp bảo vệ cập nhật đã được bảo vệ.

Dịch vụ FortiGuard CDR (giải trừ và tái thiết nội dung) có thể giải trừ đối tượng liên kết nhúng bên trong tài liệu Excel.

Để cập nhật thông tin về các mối đe dọa mới và đang nổi lên, bạn có thể  đăng ký  nhận cảnh báo trong tương lai.

Chúng tôi cũng đề xuất độc giả tham gia khóa  đào tạo miễn phí Fortinet Cybersecurity Fundamentals (FCF) , một mô-đun về các mối đe dọa Internet được thiết kế để giúp người dùng cuối tìm hiểu cách xác định và bảo vệ bản thân khỏi các cuộc tấn công lừa đảo.

Dịch vụ bảo mật FortiGuard IP Reputation và Anti-Botnet chủ động chặn các cuộc tấn công này bằng cách tổng hợp dữ liệu IP nguồn độc hại từ mạng lưới phân tán Fortinet gồm các cảm biến đe dọa, CERT, MITRE, các đối thủ cạnh tranh hợp tác và các nguồn toàn cầu khác cộng tác để cung cấp thông tin tình báo về mối đe dọa mới nhất về các nguồn thù địch.

Nếu bạn tin rằng mối đe dọa an ninh mạng này hoặc bất kỳ mối đe dọa nào khác đã tác động đến tổ chức của bạn, vui lòng liên hệ với  Nhóm ứng phó sự cố FortiGuard toàn cầu của chúng tôi .