Proxmox (hay còn gọi là Proxmox VE) là một nền tảng ảo hóa mã nguồn mở, cung cấp giải pháp quản lý và triển khai máy ảo (VM) và container. Proxmox hỗ trợ hai công nghệ ảo hóa chính là KVM (Kernel-based Virtual Machine) và LXC (Linux Containers), giúp người dùng có thể linh hoạt lựa chọn phương pháp ảo hóa phù hợp với nhu cầu và các ứng dụng của mình.

Bên cạnh các tính năng ảo hóa mạnh mẽ, dòng phiên bản mới nhất Proxmox VE 9.x mang đến nhiều cải tiến đáng kể về hiệu năng, lưu trữ và mạng, giúp nền tảng trở nên phù hợp hơn cho các môi trường hạ tầng hiện đại và datacenter. Proxmox VE 9.x được xây dựng trên nền Debian 13 (Trixie) và sử dụng Linux Kernel thế hệ mới, đi kèm với các thành phần cập nhật như QEMU, LXC, ZFS và Ceph, giúp cải thiện khả năng hỗ trợ phần cứng, tăng hiệu năng hệ thống và nâng cao mức độ bảo mật.

Mục tiêu bài viết này nhằm:

• Hướng dẫn backup máy ảo riêng lẻ
• Hướng dẫn backup các máy ảo theo lịch trình
• Hướng dẫn restore (khôi phục) máy ảo từ file backup.

Để backup máy ảo riêng lẻ, thực hiện như sau:

Chọn VM cần backup -> Backup -> Backup now

Sau đó nhập các thông tin sau:

• Storage: chọn nơi lưu file backup (vd: Nas Storage)
• Mode: chọn chế độ backup (ví dụ: Snapshot)
• Compression: chọn phương thức nén file backup (khuyến nghị ZSTD)
• Notification: Chọn cách nhận thông báo về mail (ví dụ: Use global settings)
• Protected: Tick nếu muốn bảo vệ bản backup không xóa bởi cơ chế dọn dẹp prune.

Sau đó nhấn nút Backup để bắt đầu tiến trình sao lưu.

Để lên lịch backup cho các VM, thực hiện như sau:

Chọn Datacenter -> Backup -> Add

Chọn các thông tin sau:

• Node: Chọn node chứa VM cần backup
• Storage: Chọn nơi lưu trữ file backup (ví dụ: NAS Storage)
• Schedule: Thiết lập thời gian chạy backup theo lịch trình (ví dụ: sun 01:00)
• Compression: Chọn phương thức nén backup (khuyến nghị ZSTD)
• Enable: Tick để kích hoạt job backup

Sau đó chọn các máy ảo cần được backup (ví dụ: máy ảo VMID 114, VMID 120)

Nhấn Create

Sau khi tạo, job backup sẽ hiển thị như hình dưới và đúng lịch trình sẽ tự động chạy.

Để restore (khôi phục) máy ảo từ bản backup, thực hiện như sau:

Chọn máy ảo -> Backup -> Chọn bản backup tại thời điểm cần khôi phục -> Nhấn Restore

Giữ mặc định hoặc có thể tùy chỉnh các thông tin trước khi restore.

Nhấn Restore để bắt đầu tiến trình khôi phục máy ảo.

Đến bước này là đã hoành tất việc restore VM trên Proxmox VE.

Proxmox (hay còn gọi là Proxmox VE) là một nền tảng ảo hóa mã nguồn mở, cung cấp giải pháp quản lý và triển khai máy ảo (VM) và container. Proxmox hỗ trợ hai công nghệ ảo hóa chính là KVM (Kernel-based Virtual Machine) và LXC (Linux Containers), giúp người dùng có thể linh hoạt lựa chọn phương pháp ảo hóa phù hợp với nhu cầu và các ứng dụng của mình.

Bên cạnh các tính năng ảo hóa mạnh mẽ, dòng phiên bản mới nhất Proxmox VE 9.x mang đến nhiều cải tiến đáng kể về hiệu năng, lưu trữ và mạng, giúp nền tảng trở nên phù hợp hơn cho các môi trường hạ tầng hiện đại và datacenter. Proxmox VE 9.x được xây dựng trên nền Debian 13 (Trixie) và sử dụng Linux Kernel thế hệ mới, đi kèm với các thành phần cập nhật như QEMU, LXC, ZFS và Ceph, giúp cải thiện khả năng hỗ trợ phần cứng, tăng hiệu năng hệ thống và nâng cao mức độ bảo mật.

Mục tiêu bài viết này nhằm: Hướng dẫn cài đặt Proxmox VE 9.x trên thiết bị/máy chủ sử dụng USB Boot.

Đầu tiên, tiến hành tải Proxmox VE ISO về máy tính.

https://www.proxmox.com/en/downloads/proxmox-virtual-environment

Rufus là một công cụ miễn phí dùng để tạo USB Boot từ các file ISO như Windows, Linux hoặc các hệ điều hành khác. Công cụ này giúp người dùng nhanh chóng chuẩn bị USB cài đặt hệ điều hành để khởi động và cài đặt trên máy tính hoặc máy chủ.

Bài viết này sẽ sử dụng Rufus để tạo USB Boot, download phần mềm Rufus ở link sau:

https://rufus.ie/en

Tiếp theo cắm USB vào máy tính.

Mở phần mềm Rufus lên để thực hiện Boot Proxmox ISO vào USB.

Nhấn Select để chọn file ISO.

Proxmox ISO sẽ được viết dạng DD image. Nhấn OK

Nhấn Start để bắt đầu

Sau khi đã Boot USB, thực hiện tháo USB khỏi máy, và cắm vào thiết bị/ máy chủ cần cài đặt Proxmox VE.

Khi khởi động thiết bị/máy chủ đã cắm USB Boot, nhấn các phím F2, F10, F11 hoặc F12 để truy cập menu khởi động

Ở trên giao diện Boot Proxmox VE ISO, chọn Install Proxmox VE (Graphical)

Ở màn hình chấp nhận điều khoản sử dụng, nhấn I agree để tiếp tục cài đặt.

Tiếp theo là màn hình lựa chọn ổ đĩa cài đặt trên Proxmox VE.

Nhấn Options để tùy chỉnh nâng cao phân vùng sử dụng cho ổ đĩa hệ thống (ext4, xfs, zfs,…)

Nhấn Next.

Tiếp tục, chọn Country, Time zone, Keyboard layout.

Nhấn Next.

Kế tiếp, nhập Password cho tài khoản root và Email để nhận thông báo từ hệ thống.

Nhấn Next.

Điền các thông tin sau:

• Management Interface: Chọn card mạng sẽ sử dụng
• Hostname (FQDN): Đặt tên máy chủ (ví dụ: pve1.vacif.com)
• IP Address (CIDR): Đặt IP tĩnh cho Proxmox (ví dụ: 10.10.10.50)
• Gateway: Đặt gateway cho mạng Proxmox (ví dụ: 10.10.10.1)
• DNS Server: Nhập địa chỉ máy chủ DNS để phân giải tên miền (ví dụ: 8.8.8.8)

Sau khi nhập hoàn tất, nhấn Install

Quá trình cài đặt sẽ diễn ra.

Sau khi cài đặt hoàn thành, tiếp tục bước tiếp theo.

Mở trình duyệt web, vả truy cập đường dẫn sau tại port 8006:

https://[IP_ADDRESS_PROXOX]:8006

Bỏ qua cảnh báo bảo mật, đăng nhập bằng tài khoản root và mật khẩu đã thiết lập khi cài đặt.

Giao diện quản trị sau khi đăng nhập sẽ như bên dưới.

Đến đây là kết thúc bài viết và đã hoàn tất việc cài đặt Proxmox VE.

Cho đến vài năm trước, chỉ có một số ít chuyên gia quản lý danh tính và quyền truy cập (IAM) biết đến tài khoản dịch vụ. Tuy nhiên, trong những năm gần đây, các tài khoản Non-Human Identities (NHI) này đã trở thành mục tiêu tấn công phổ biến và bị xâm nhập. Các báo cáo đánh giá cho thấy, hơn 70% các cuộc tấn công ransomware liên quan đến sự xâm phạm tài khoản dịch vụ, đóng vai trò quan trọng trong việc di chuyển ngang trên hệ thống. Mặc dù vậy, có một sự chênh lệch đáng lo ngại giữa mức độ phơi nhiễm và tác động tiềm ẩn của việc xâm phạm tài khoản dịch vụ, và các biện pháp bảo mật sẵn có để giảm thiểu rủi ro này.

Bài viết này khám phá lý do tại sao tài khoản dịch vụ lại trở thành mục tiêu hấp dẫn, tại sao chúng lại vượt ra ngoài phạm vi kiểm soát của hầu hết các biện pháp bảo mật, và cách tiếp cận mới về bảo mật danh tính hợp nhất có thể ngăn chặn việc tài khoản dịch vụ bị xâm phạm và lạm dụng.

Trong môi trường Active Directory (AD), tài khoản dịch vụ là tài khoản người dùng không liên quan đến con người mà được dùng để giao tiếp giữa các máy móc. Chúng được tạo ra bởi quản trị viên để tự động hóa các tác vụ lặp lại hoặc khi cài đặt phần mềm tại chỗ. Ví dụ, nếu bạn có một hệ thống EDR, tài khoản dịch vụ sẽ chịu trách nhiệm tải các bản cập nhật về cho các máy chủ và điểm cuối.

Các tài khoản dịch vụ thường là mục tiêu của kẻ tấn công vì chúng có quyền truy cập cao vào nhiều máy khác nhau, nhưng lại ít được chú ý và thường không được áp dụng các biện pháp bảo mật như xác thực hai yếu tố (MFA) hay quản lý tài khoản đặc quyền (PAM). Điều này khiến chúng trở nên dễ bị lợi dụng để thực hiện các cuộc tấn công như ransomware.

Nền tảng bảo mật danh tính của Silverfort cung cấp một giải pháp mới để bảo vệ tài khoản dịch vụ bằng cách phát hiện, phân tích hành vi và tạo các biện pháp phòng ngừa tự động dựa trên hành vi chuẩn của tài khoản. Qua đó, giúp ngăn chặn kẻ tấn công lợi dụng các tài khoản dịch vụ để thực hiện các hành vi độc hại.

Ngày 30 tháng 8 năm 2024

FortiGuard Labs thu thập dữ liệu về các biến thể ransomware đáng quan tâm đang thu hút sự chú ý trong các tập dữ liệu của chúng tôi và cộng đồng OSINT. Báo cáo Ransomware Roundup nhằm mục đích cung cấp cho độc giả những hiểu biết ngắn gọn về bối cảnh ransomware đang phát triển và các giải pháp Fortinet bảo vệ chống lại các biến thể đó.

Phiên bản này của Ransomware Roundup đề cập đến ransomware Underground.

Nền tảng bị ảnh hưởng:  Microsoft Windows
Các bên bị ảnh hưởng:  Microsoft Windows
Tác động:  Mã hóa tệp của nạn nhân và yêu cầu tiền chuộc để giải mã tệp
Mức độ nghiêm trọng:  Cao

Tổng quan về Ransomware ngầm

Mẫu đầu tiên của ransomware Underground được phát hiện lần đầu tiên vào đầu tháng 7 năm 2023, trên một trang web quét tệp công khai. Điều này gần như trùng khớp với thời điểm nạn nhân đầu tiên được đăng trên trang web rò rỉ dữ liệu của họ vào ngày 13 tháng 7 năm 2023.

Giống như hầu hết các phần mềm tống tiền khác, phần mềm tống tiền này mã hóa các tập tin trên máy tính Windows của nạn nhân và yêu cầu tiền chuộc để giải mã thông qua các ghi chú đòi tiền chuộc.

Vectơ lây nhiễm

Các báo cáo trực tuyến cho biết nhóm RomCom có ​​trụ sở tại Nga, còn được gọi là Storm-0978, đang triển khai ransomware Underground. Nhóm đe dọa này được biết là khai thác CVE-2023-36884 (Lỗ hổng RCE HTML của Microsoft Office và Windows), có thể là vectơ lây nhiễm cho ransomware.

FortiGuard Labs đã công bố Cảnh báo bùng phát về CVE-2023-36884 vào ngày 13 tháng 7 năm 2024.

• Cảnh báo bùng phát: Lỗ hổng RCE HTML của Microsoft Office và Windows

Nhóm này cũng có thể sử dụng các phương thức lây nhiễm phổ biến khác như email và mua quyền truy cập từ Nhà môi giới truy cập ban đầu (IAB).

Phương pháp tấn công

Sau khi thực thi, ransomware Underground sẽ xóa các bản sao ẩn bằng lệnh sau:

• vssadmin.exe xóa bóng tối /all /quiet

Phần mềm tống tiền đặt thời gian tối đa mà phiên RemoteDesktop/TerminalServer có thể duy trì hoạt động trên máy chủ là 14 ngày (14 ngày sau khi người dùng ngắt kết nối) bằng lệnh sau:

• reg.exe thêm HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services / v MaxDisconnectionTime / t REG_DWORD / d 1209600000 / f

Sau đó dừng dịch vụ MS SQL Server bằng lệnh sau:

• net.exe dừng MSSQLSERVER /f /m

Sau đó, phần mềm tống tiền sẽ tạo và thả một ghi chú đòi tiền chuộc có tên “!!readme!!!.txt”:

Hình 1: Ghi chú về tiền chuộc ransomware Underground

Mặc dù ransomware mã hóa các tập tin nhưng nó không thay đổi hoặc thêm phần mở rộng tập tin.

Hình 2: Một tập tin văn bản trước khi mã hóa tập tin

Hình 3: Một tập tin văn bản sau khi mã hóa tập tin

Nó cũng tránh mã hóa các tập tin có phần mở rộng sau:

Phần mềm tống tiền này tạo và thực thi temp.cmd, thực hiện các hành động sau:

• Xóa tệp ransomware gốc
• Lấy danh sách các bản ghi Sự kiện Windows và xóa chúng

Trang web về nạn nhân và rò rỉ dữ liệu

Ransomware Underground có một trang web rò rỉ dữ liệu đăng thông tin nạn nhân, bao gồm dữ liệu bị đánh cắp từ nạn nhân. Hiện tại, trang web rò rỉ dữ liệu liệt kê 16 nạn nhân, với nạn nhân gần đây nhất được đăng vào ngày 3 tháng 7 năm 2024. Dưới đây là phân tích chi tiết về các nạn nhân và ngành dọc của họ:

Hình 4: Trang web rò rỉ dữ liệu của ransomware Underground

Trang web rò rỉ dữ liệu cũng bao gồm hộp thả xuống với danh sách các ngành mà nhóm ransomware đang nhắm tới hoặc được phép nhắm tới.

Hình 5: Một trong những nạn nhân trên trang web rò rỉ dữ liệu

Nhóm ransomware Underground cũng có kênh Telegram được tạo vào ngày 21 tháng 3 năm 2024.

Hình 6: Kênh Telegram ransomware Underground

Theo kênh Telegram, nhóm ransomware đã công khai thông tin bị đánh cắp của nạn nhân trên Mega, một nhà cung cấp dịch vụ lưu trữ đám mây đang bị lạm dụng.

Hình 7: Kênh Telegram chứa liên kết đến thông tin bị đánh cắp trên Mega

Bảo vệ Fortinet

Phần mềm tống tiền Underground được mô tả trong báo cáo này được FortiGuard Antivirus phát hiện và chặn như sau:

• W64/IndustrySpy.C!tr.ransom
• W64/Filecoder_IndustrialSpy.C!tr.ransom
• Phần mềm quảng cáo/Filecoder_IndustrialSpy
• Phần mềm rủi ro/Tiền chuộc

FortiGate, FortiMail, FortiClient và FortiEDR hỗ trợ dịch vụ FortiGuard AntiVirus . Công cụ FortiGuard AntiVirus là một phần của mỗi giải pháp đó. Do đó, khách hàng có các sản phẩm này với các biện pháp bảo vệ cập nhật sẽ được bảo vệ.

Vui lòng đọc cảnh báo về dịch bệnh để bảo vệ bản thân khỏi tác nhân lây nhiễm tiềm ẩn (CVE-2023-36884) bị ransomware Underground lợi dụng:

• Cảnh báo bùng phát: Lỗ hổng RCE HTML của Microsoft Office và Windows

IOCs

IOC tệp ransomware ngầm

Hướng dẫn FortiGuard Labs

Do dễ bị gián đoạn, gây thiệt hại cho hoạt động hàng ngày, tác động tiềm ẩn đến danh tiếng của tổ chức và việc phá hủy hoặc tiết lộ thông tin nhận dạng cá nhân (PII) không mong muốn, v.v., nên việc cập nhật tất cả các chữ ký AV và IPS là rất quan trọng.

Vì phần lớn phần mềm tống tiền được phát tán qua lừa đảo, các tổ chức nên cân nhắc sử dụng các giải pháp của Fortinet được thiết kế để đào tạo người dùng hiểu và phát hiện các mối đe dọa lừa đảo:

Dịch  vụ mô phỏng lừa đảo FortiPhish  sử dụng các mô phỏng thực tế để giúp các tổ chức kiểm tra nhận thức và mức độ cảnh giác của người dùng đối với các mối đe dọa lừa đảo và đào tạo cũng như củng cố các biện pháp thực hành phù hợp khi người dùng gặp phải các cuộc tấn công lừa đảo có chủ đích.

Khóa đào tạo Fortinet Certified Fundamentals (FCF) MIỄN PHÍ   về An ninh mạng của chúng tôi. Khóa đào tạo được thiết kế để giúp người dùng cuối tìm hiểu về bối cảnh đe dọa hiện nay và sẽ giới thiệu các khái niệm và công nghệ an ninh mạng cơ bản.

Các tổ chức sẽ cần thực hiện những thay đổi cơ bản về tần suất, vị trí và bảo mật cho các bản sao lưu dữ liệu của mình để xử lý hiệu quả rủi ro đang phát triển và mở rộng nhanh chóng của phần mềm tống tiền. Khi kết hợp với sự xâm phạm chuỗi cung ứng kỹ thuật số và lực lượng lao động làm việc từ xa vào mạng, có nguy cơ thực sự rằng các cuộc tấn công có thể đến từ bất kỳ đâu. Các giải pháp bảo mật dựa trên đám mây, chẳng hạn như  SASE , để bảo vệ các thiết bị ngoài mạng; bảo mật điểm cuối tiên tiến, chẳng hạn như  các giải pháp EDR  (phát hiện và phản hồi điểm cuối) có thể phá vỡ phần mềm độc hại giữa cuộc tấn công; và  Zero Trust Access  và các chiến lược phân đoạn mạng hạn chế quyền truy cập vào các ứng dụng và tài nguyên dựa trên chính sách và bối cảnh, tất cả đều nên được nghiên cứu để giảm thiểu rủi ro và giảm tác động của một cuộc tấn công phần mềm tống tiền thành công.

Là một phần của Security Fabric tích hợp đầy đủ hàng đầu trong ngành  , mang lại sự hiệp lực và tự động hóa trong toàn bộ hệ sinh thái bảo mật của bạn, Fortinet cũng cung cấp danh mục công nghệ và dịch vụ theo yêu cầu của con người. Các dịch vụ này được hỗ trợ bởi đội ngũ chuyên gia an ninh mạng dày dạn kinh nghiệm của FortiGuard toàn cầu.

FortiRecon  là Dịch vụ Phòng ngừa Rủi ro Kỹ thuật số dựa trên SaaS được các chuyên gia an ninh mạng hỗ trợ để cung cấp thông tin tình báo về mối đe dọa vô song về hoạt động mới nhất của tác nhân đe dọa trên dark web, cung cấp hiểu biết sâu sắc về động cơ và TTP của tác nhân đe dọa. Dịch vụ có thể phát hiện bằng chứng về các cuộc tấn công đang diễn ra, cho phép khách hàng phản ứng nhanh chóng và ngăn chặn các mối đe dọa đang hoạt động.

Tốt nhất không trả tiền chuộc

Các tổ chức như CISA, NCSC,  FBI và HHS cảnh báo nạn nhân ransomware không nên trả tiền chuộc một phần vì khoản thanh toán không đảm bảo rằng các tệp sẽ được khôi phục. Theo  khuyến cáo của Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ , các khoản thanh toán tiền chuộc cũng có thể khuyến khích kẻ thù nhắm mục tiêu vào các tổ chức khác, khuyến khích các tác nhân tội phạm khác phân phối ransomware và/hoặc tài trợ cho các hoạt động bất hợp pháp có khả năng là bất hợp pháp. Đối với các tổ chức và cá nhân bị ảnh hưởng bởi ransomware, FBI có trang Khiếu nại về Ransomware,  nơi  nạn nhân có thể gửi các mẫu hoạt động ransomware thông qua Trung tâm Khiếu nại về Tội phạm Internet (IC3) của họ.

Fortinet có thể giúp gì

Dịch vụ ứng phó sự cố khẩn cấp của FortiGuard Labs   cung cấp phản hồi nhanh chóng và hiệu quả khi phát hiện sự cố.  Dịch vụ đăng ký sẵn sàng ứng phó sự cố của chúng tôi  cung cấp các công cụ và hướng dẫn để giúp bạn chuẩn bị tốt hơn cho sự cố mạng thông qua các đánh giá về mức độ sẵn sàng, phát triển sổ tay hướng dẫn ứng phó sự cố an ninh mạng và thử nghiệm sổ tay hướng dẫn ứng phó sự cố an ninh mạng (bài tập thực hành).

Ngoài ra,  FortiRecon Digital Risk Protection (DRP)  là dịch vụ dựa trên SaaS cung cấp cái nhìn về những gì kẻ thù đang nhìn thấy, làm và lập kế hoạch để giúp bạn chống lại các cuộc tấn công ở giai đoạn trinh sát và giảm đáng kể rủi ro, thời gian và chi phí giảm thiểu mối đe dọa ở giai đoạn sau.

Phần mềm ransomware quen thuộc phát triển nhu cầu sử dụng mật khẩu cho các trang web của bên thứ ba.

Viết bởi Lee Kirkpatrick, Paul Jacobs, Harshal Gosalia, Robert Weiland

August 22, 2024

Trong một cuộc điều tra gần đây về một vụ tấn công bằng phần mềm tống tiền Qilin, nhóm Sophos X-Ops đã phát hiện hoạt động của kẻ tấn công dẫn đến việc đánh cắp hàng loạt thông tin đăng nhập được lưu trữ trong trình duyệt Google Chrome trên một số thiết bị đầu cuối của mạng – một kỹ thuật thu thập thông tin đăng nhập có thể gây ra hậu quả vượt xa tổ chức nạn nhân ban đầu. Đây là một chiến thuật không thường thấy, và có thể là một yếu tố nhân rộng thêm sự hỗn loạn vốn đã có sẵn trong các tình huống bị tấn công bằng phần mềm tống tiền.

Qilin là cái gì?

Nhóm phần mềm tống tiền Qilin đã hoạt động được hơn hai năm. Họ xuất hiện trên tin tức vào tháng 6 năm 2024 do S, một nhà cung cấp dịch vụ chính phủ cho nhiều cơ sở y tế và bệnh viện ở Vương quốc Anh.

Trước hoạt động được mô tả trong bài viết này, các cuộc tấn công của Qilin thường liên quan đến “tống tiền kép” – tức là đánh cắp dữ liệu của nạn nhân, mã hóa hệ thống của họ, và sau đó đe dọa tiết lộ hoặc bán dữ liệu bị đánh cắp nếu nạn nhân không trả tiền để lấy khóa giải mã. Đây là một chiến thuật đã được thảo luận trong nghiên cứu “Turning the Screws” gần đây.

Nhóm Sophos IR quan sát thấy hoạt động được mô tả trong bài viết này vào tháng 7 năm 2024. Để cung cấp bối cảnh, hoạt động này được phát hiện trên một bộ điều khiển tên miền (domain controller) trong miền Active Directory của mục tiêu. Các bộ điều khiển tên miền khác trong miền AD đó cũng bị nhiễm, nhưng bị ảnh hưởng khác nhau bởi Qilin.

Diễn tập mở màn

Kẻ tấn công đã xâm nhập ban đầu vào môi trường thông qua thông tin đăng nhập bị xâm phạm. Đáng tiếc là phương pháp xâm nhập ban đầu này không phải là mới đối với Qilin (hay các nhóm phần mềm tống tiền khác). Cuộc điều tra của chúng tôi cho thấy cổng VPN thiếu bảo vệ xác thực đa yếu tố (MFA).

Thời gian ẩn náu của kẻ tấn công giữa lúc xâm nhập ban đầu vào mạng và các hành động tiếp theo là 18 ngày, điều này có thể hoặc không cho thấy một Nhà môi giới Truy cập Ban đầu (IAB) đã thực hiện cuộc xâm nhập thực sự. Dù sao đi nữa, 18 ngày sau khi xâm nhập ban đầu xảy ra, hoạt động của kẻ tấn công trên hệ thống tăng lên, với các dấu vết cho thấy sự di chuyển ngang đến một bộ điều khiển tên miền sử dụng thông tin đăng nhập bị xâm phạm.

Khi kẻ tấn công đã đến được bộ điều khiển tên miền đó, họ chỉnh sửa chính sách tên miền mặc định để đưa vào một Đối tượng Chính sách Nhóm (GPO) dựa trên đăng nhập chứa hai mục. Mục đầu tiên, một script PowerShell có tên IPScanner.ps1, được viết vào một thư mục tạm thời trong chia sẻ SYSVOL (SYStem VOLume) (thư mục NTFS được chia sẻ nằm trên mỗi bộ điều khiển tên miền trong một miền Active Directory) trên bộ điều khiển tên miền cụ thể liên quan. Nó chứa một script 19 dòng cố gắng thu thập dữ liệu thông tin đăng nhập được lưu trữ trong trình duyệt Chrome.

Mục thứ hai, một script batch có tên logon.bat, chứa các lệnh để thực thi script đầu tiên. Sự kết hợp này dẫn đến việc thu thập thông tin đăng nhập được lưu trong trình duyệt Chrome trên các máy tính được kết nối với mạng. Vì hai script này nằm trong một GPO đăng nhập, chúng sẽ được thực thi trên mỗi máy khách khi nó đăng nhập.

Trên các Endpoint.

Bất cứ khi nào đăng nhập xảy ra trên một điểm cuối, logon.bat sẽ khởi chạy tập lệnh IPScanner.ps1, tập lệnh này lần lượt tạo ra hai tệp – một tệp cơ sở dữ liệu SQLite có tên LD và một tệp văn bản có tên temp.log, như trong Hình 1.

Hình 1: Chúng tôi gọi thiết bị demo này là Hemlock vì nó độc hại: Hai tệp được tạo bởi tập lệnh khởi động trên máy bị nhiễm

Các tệp này được ghi lại vào thư mục mới được tạo trên phần chia sẻ SYSVOL của miền và được đặt tên theo tên máy chủ của (các) thiết bị mà chúng được thực thi trên đó (trong ví dụ của chúng tôi là Hemlock

Tệp cơ sở dữ liệu LD chứa cấu trúc như trong Hình 2.

Hình 2: Bên trong LD, tệp cơ sở dữ liệu SQLite được thả vào SYSVOL

Thể hiện sự tự tin rằng họ sẽ không bị bắt hoặc mất quyền truy cập vào mạng, kẻ tấn công đã để GPO này hoạt động trên mạng trong hơn ba ngày. Điều này tạo cơ hội đầy đủ cho người dùng đăng nhập vào thiết bị của họ và, mà họ không hề biết, kích hoạt script thu thập thông tin đăng nhập trên hệ thống của họ. Một lần nữa, vì tất cả điều này được thực hiện bằng GPO đăng nhập, mỗi người dùng sẽ trải qua việc thu thập thông tin đăng nhập này mỗi khi họ đăng nhập.

Để gây khó khăn hơn trong việc đánh giá mức độ xâm phạm, sau khi các tệp chứa thông tin đăng nhập đã thu thập bị đánh cắp và chuyển ra ngoài, kẻ tấn công đã xóa tất cả các tệp và xóa sạch nhật ký sự kiện cho cả bộ điều khiển tên miền và các máy bị nhiễm. Sau khi xóa bằng chứng, họ tiến hành mã hóa các tệp và thả thông báo đòi tiền chuộc, như được hiển thị trong Hình 3. Phần mềm tống tiền này để lại một bản sao của thông báo trong mỗi thư mục trên thiết bị mà nó chạy.

Hình 3: Thông báo đòi tiền chuộc Qilin

Nhóm Qilin lại sử dụng GPO làm cơ chế tác động đến mạng bằng cách yêu cầu nó tạo một tác vụ theo lịch trình để chạy một tệp bó có tên run.bat, tệp này đã tải xuống và thực thi phần mềm ransomware.

Sự va chạm

Trong cuộc tấn công này, script IPScanner.ps1 nhắm vào trình duyệt Chrome – về mặt thống kê đây là lựa chọn có khả năng mang lại nhiều mật khẩu nhất, vì Chrome hiện chiếm hơn 65 phần trăm thị phần trình duyệt. Sự thành công của mỗi nỗ lực sẽ phụ thuộc vào chính xác những thông tin đăng nhập mà mỗi người dùng đang lưu trữ trong trình duyệt. (Về số lượng mật khẩu có thể thu được từ mỗi máy bị nhiễm, một khảo sát gần đây cho thấy trung bình mỗi người dùng có 87 mật khẩu liên quan đến công việc, và khoảng gấp đôi số đó là mật khẩu cá nhân.)

Một cuộc xâm phạm thành công kiểu này có nghĩa là không chỉ các nhà bảo vệ phải thay đổi tất cả mật khẩu Active Directory; về lý thuyết, họ cũng nên yêu cầu người dùng cuối thay đổi mật khẩu của họ cho hàng chục, có thể hàng trăm trang web của bên thứ ba mà người dùng đã lưu tổ hợp tên người dùng-mật khẩu trong trình duyệt Chrome. Tất nhiên, các nhà bảo vệ sẽ không có cách nào bắt người dùng làm điều đó. Về trải nghiệm của người dùng cuối, mặc dù hầu như mọi người dùng internet ở thời điểm này đều đã nhận được ít nhất một thông báo “thông tin của bạn đã bị xâm phạm” từ một trang web đã mất kiểm soát dữ liệu của người dùng, nhưng trong tình huống này thì ngược lại – một người dùng, hàng chục hoặc hàng trăm vụ xâm phạm riêng biệt.

Có lẽ điều thú vị là, trong cuộc tấn công cụ thể này, các bộ điều khiển tên miền khác trong cùng miền Active Directory đã bị mã hóa, nhưng bộ điều khiển tên miền nơi GPO cụ thể này được cấu hình ban đầu lại không bị mã hóa bởi phần mềm tống tiền. Điều này có thể là gì – một sai sót, một sơ suất, hay việc kiểm tra A/B của kẻ tấn công – nằm ngoài phạm vi điều tra của chúng tôi (và bài đăng này).

Phần kết luận

Có thể dự đoán được, các nhóm ransomware tiếp tục thay đổi chiến thuật và mở rộng các kỹ thuật của chúng. Nhóm ransomware Qilin có thể đã quyết định rằng, chỉ bằng cách nhắm mục tiêu vào tài sản mạng của các tổ chức mục tiêu, họ đã bỏ lỡ cơ hội. 

Nếu họ hoặc những kẻ tấn công khác cũng quyết định khai thác thông tin xác thực được lưu trữ ở điểm cuối – điều này có thể tạo cơ hội cho mục tiêu tiếp theo hoặc kho thông tin về các mục tiêu có giá trị cao sẽ bị khai thác bằng các phương tiện khác – thì một điều đen tối mới chương có thể đã mở ra trong câu chuyện đang diễn ra về tội phạm mạng.

Lời cảm ơn

Anand Ajjan của SophosLabs, cũng như Ollie Jones và Alexander Giles từ nhóm Ứng phó sự cố, đã đóng góp cho phân tích này.

Phản hồi và khắc phục

Các tổ chức và cá nhân nên dựa vào các ứng dụng quản lý mật khẩu sử dụng các phương pháp hay nhất trong ngành để phát triển phần mềm và được bên thứ ba độc lập kiểm tra thường xuyên. Việc sử dụng trình quản lý mật khẩu dựa trên trình duyệt đã nhiều lần được chứng minh là không an toàn, với bài viết này là bằng chứng gần đây nhất. 

Xác thực đa yếu tố sẽ là một biện pháp phòng ngừa hiệu quả trong tình huống này, như chúng tôi đã nói ở nơi khác. Mặc dù việc sử dụng MFA tiếp tục gia tăng, một nghiên cứu Lastpass năm 2024 chỉ ra rằng mặc dù việc áp dụng MFA tại các công ty có hơn 10.000 nhân viên là 87% không quá khủng khiếp, nhưng mức độ áp dụng đó giảm nhanh chóng – từ 78% đối với các công ty có 1.001-1000 nhân viên. giảm tỷ lệ chấp nhận xuống còn 27% đối với các doanh nghiệp có 25 nhân viên trở xuống. Nói thẳng ra, các doanh nghiệp phải làm tốt hơn vì sự an toàn của chính họ – và trong trường hợp này là sự an toàn của các công ty khác.

Truy vấn Powershell.01 của chúng tôi là công cụ xác định các lời khen ngợi PowerShell đáng ngờ được thực hiện trong quá trình tấn công. Truy vấn đó được cung cấp miễn phí trên Github của chúng tôi, cùng với nhiều truy vấn khác.

Sophos phát hiện ransomware Qilin dưới dạng Troj/Qilin-B và phát hiện hành vi như Impact_6a & Lateral_8a. Tập lệnh được mô tả ở trên được phát hiện là Troj/Ransom-HDV.

Tổng quan.

Ransomware là một loại phần mềm độc hại mà tội phạm mạng sử dụng để mã hóa các tệp của mục tiêu hoặc khóa hệ thống máy tính của chúng, khiến dữ liệu không thể truy cập được. Sau đó, những kẻ tấn công yêu cầu nạn nhân tiền chuộc để đổi lấy khóa giải mã có thể mở khóa các tệp hoặc hệ thống được mã hóa. Với mức độ phổ biến ngày càng tăng và mối đe dọa nghiêm trọng mà nó gây ra cho các doanh nghiệp và người dùng cá nhân, việc hiểu rõ về ransomware là điều tối quan trọng trong thời đại kỹ thuật số ngày nay.

Theo truyền thống, ransomware lây lan chủ yếu qua email lừa đảo hoặc do người dùng vô tình truy cập trang web bị nhiễm virus. Tuy nhiên, các phương pháp phân phối phức tạp hơn hiện đang được tội phạm mạng sử dụng, bao gồm khai thác lỗ hổng phần mềm và sử dụng các kỹ thuật lừa đảo xã hội. Do đó, nguy cơ trở thành nạn nhân của một cuộc tấn công ransomware cao hơn bao giờ hết. Do đó, điều quan trọng nhất là không chỉ hiểu ransomware là gì mà còn hiểu cách thức hoạt động của nó để bảo vệ bạn tốt hơn trước nó.

Hiểu về Ransomware

Ransomware là một ngành kinh doanh béo bở cho tội phạm mạng. Động cơ đằng sau các cuộc tấn công chủ yếu là lợi ích tài chính. Không giống như các cuộc tấn công mạng khác, khi thủ phạm cần bán thông tin bị đánh cắp để kiếm lời, trong trường hợp ransomware, nguồn doanh thu là trực tiếp và tức thời. Các nạn nhân bị ép phải trả tiền chuộc để lấy lại quyền truy cập vào thông tin riêng tư và có giá trị của họ.

Các cuộc tấn công bằng ransomware có thể được phân loại thành hai loại: ransomware tiền điện tử và ransomware khóa. Cái trước tập trung vào việc mã hóa các tệp quan trọng trên máy tính và khiến chúng không thể truy cập được, trong khi cái sau khóa nạn nhân hoàn toàn khỏi thiết bị của họ, thay vào đó hiển thị thông báo đòi tiền chuộc trên màn hình đăng nhập. Tuy nhiên, cả hai loại đều có chung mô típ là tống tiền, đòi tiền chuộc từ nạn nhân để đổi lấy chìa khóa mở khóa hệ thống hoặc giải mã các tập tin của họ.

Vòng đời của một cuộc tấn công ransomware.

Vòng đời của một cuộc tấn công ransomware thường bao gồm bốn giai đoạn: Thỏa hiệp ban đầu, thiết lập, mã hóa và yêu cầu tiền chuộc. Sự xâm phạm ban đầu thường xảy ra khi người dùng nhấp vào liên kết độc hại hoặc tải xuống tệp độc hại được ngụy trang. Trong giai đoạn thiết lập, ransomware tạo ra một cửa hậu, cho phép nó tồn tại lâu dài và tồn tại sau khi khởi động lại.

Giai đoạn mã hóa bắt đầu khi ransomware bắt đầu mã hóa các tập tin hoặc khóa hệ thống. Quá trình này liên quan đến việc ransomware tìm kiếm và mã hóa dữ liệu có giá trị, chẳng hạn như tệp tài liệu và hình ảnh, bằng thuật toán mã hóa mạnh. Giai đoạn cuối cùng là yêu cầu tiền chuộc, trong đó nạn nhân sẽ thấy thông báo đòi tiền chuộc, hướng dẫn cách trả tiền chuộc, thường bằng loại tiền kỹ thuật số không thể theo dõi như Bitcoin.

Trong hầu hết các trường hợp, đồng hồ tính giờ được đính kèm với yêu cầu tiền chuộc, góp phần tạo ra cảm giác cấp bách cho nạn nhân. Đồng hồ đếm ngược này cho biết nạn nhân phải trả bao nhiêu thời gian để trả tiền chuộc trước khi giá tăng hoặc trước khi dữ liệu của họ bị phá hủy vĩnh viễn. Điều đáng lưu ý là việc trả tiền chuộc không đảm bảo rằng khóa giải mã sẽ được cung cấp hoặc sẽ giải mã thành công các tệp.

Biện pháp phòng ngừa.

Cách tốt nhất để đối phó với ransomware là ngăn chặn nó xảy ra ngay từ đầu. Điều này đòi hỏi một cách tiếp cận nhiều lớp bao gồm cả các biện pháp kỹ thuật và đào tạo người dùng. Một số biện pháp phòng ngừa chính bao gồm thường xuyên cập nhật và vá lỗi phần mềm để khắc phục các lỗ hổng bảo mật tiềm ẩn, sử dụng phần mềm chống vi-rút uy tín, thường xuyên sao lưu dữ liệu và thực hành thói quen duyệt web an toàn.

Ngoài ra, điều quan trọng là phải đào tạo người dùng về sự nguy hiểm khi nhấp vào các liên kết đáng ngờ, mở tệp đính kèm email không xác định hoặc tải xuống phần mềm từ các nguồn không đáng tin cậy.

Tìm hiểu các loại ransomware.

Có nhiều loại ransomware khác nhau mà người ta cần phải biết. Các loại phổ biến nhất bao gồm Scareware, Screen Lockers và Encrypting Ransomware. Phần mềm đe dọa bao gồm phần mềm bảo mật giả mạo và lừa đảo hỗ trợ kỹ thuật. Bạn có thể nhận được một thông báo bật lên thông báo rằng có vô số vấn đề đã được phát hiện trên máy tính của bạn. Đây chỉ đơn giản là một chiến thuật nhằm đe dọa bạn gọi đến số hỗ trợ kỹ thuật, số này sẽ cố gắng lừa bạn cấp cho họ quyền truy cập vào máy tính của bạn và trả tiền cho các dịch vụ hỗ trợ không cần thiết.

Phần mềm tống tiền khóa màn hình, hay còn gọi là tủ khóa, khóa hoàn toàn bạn khỏi PC của mình. Khi khởi động, một cửa sổ kích thước đầy đủ sẽ xuất hiện, thường đi kèm với con dấu chính thức của Cục Điều tra Liên bang hoặc Bộ Tư pháp Hoa Kỳ, cho biết hoạt động bất hợp pháp đã được phát hiện trên máy tính của bạn và bạn phải nộp phạt. Tuy nhiên, cơ quan chức năng thực sự sẽ không bao giờ đóng băng máy tính của bạn hoặc yêu cầu thanh toán. Mã hóa ransomware bao gồm các loại như CryptoLocker, CryptoWall, v.v. Đây là những loại phần mềm độc hại đặc biệt có hại mã hóa các tập tin của bạn và yêu cầu bạn trả tiền chuộc cho khóa giải mã

Tác động của các cuộc tấn công ransomware.

Các cuộc tấn công ransomware có thể có tác động lớn đối với các cá nhân và doanh nghiệp. Đối với các cá nhân, điều này có thể dẫn đến mất thông tin cá nhân nhạy cảm, tổn thất tài chính do phải trả tiền chuộc, giảm năng suất và căng thẳng về mặt cảm xúc. Đối với các doanh nghiệp, một cuộc tấn công ransomware thành công có thể dẫn đến mất dữ liệu lớn, tổn thất tài chính do gián đoạn hoạt động kinh doanh và trả tiền chuộc, gây tổn hại đến danh tiếng thương hiệu, mất niềm tin của khách hàng và các hậu quả pháp lý tiềm ẩn phát sinh từ việc mất dữ liệu khách hàng.

Hơn nữa, các cuộc tấn công ransomware đã và đang mở rộng mục tiêu, không chỉ ảnh hưởng đến máy tính mà còn các thiết bị khác được kết nối với internet. Điều này bao gồm các thiết bị di động, máy chủ web và thậm chí cả thiết bị Internet of Things (IoT). Với sự gia tăng của các thiết bị nhà thông minh, có khả năng ransomware sẽ phá vỡ các thiết bị quản lý các khía cạnh quan trọng trong hoạt động của ngôi nhà, gây ra các mức độ rủi ro mới đối với an toàn và sức khỏe cá nhân.

Cuối cùng.

Ransomware là một mối đe dọa đáng kể trong thời đại kỹ thuật số có thể gây ra hậu quả lớn, cả về tài chính và tinh thần, cho các cá nhân và doanh nghiệp. Hiểu ransomware là gì, cách thức hoạt động và tác động tiềm ẩn của nó là điều cần thiết trong việc giảm thiểu rủi ro.

Nguồn: https://s.net.vn/t1VI 

Tổng quan.

Ransomware là một loại phần mềm độc hại mà tội phạm mạng sử dụng để mã hóa các tệp của mục tiêu hoặc khóa hệ thống máy tính của chúng, khiến dữ liệu không thể truy cập được. Sau đó, những kẻ tấn công yêu cầu nạn nhân tiền chuộc để đổi lấy khóa giải mã có thể mở khóa các tệp hoặc hệ thống được mã hóa. Với mức độ phổ biến ngày càng tăng và mối đe dọa nghiêm trọng mà nó gây ra cho các doanh nghiệp và người dùng cá nhân, việc hiểu rõ về ransomware là điều tối quan trọng trong thời đại kỹ thuật số ngày nay.

Theo truyền thống, ransomware lây lan chủ yếu qua email lừa đảo hoặc do người dùng vô tình truy cập trang web bị nhiễm virus. Tuy nhiên, các phương pháp phân phối phức tạp hơn hiện đang được tội phạm mạng sử dụng, bao gồm khai thác lỗ hổng phần mềm và sử dụng các kỹ thuật lừa đảo xã hội. Do đó, nguy cơ trở thành nạn nhân của một cuộc tấn công ransomware cao hơn bao giờ hết. Do đó, điều quan trọng nhất là không chỉ hiểu ransomware là gì mà còn hiểu cách thức hoạt động của nó để bảo vệ bạn tốt hơn trước nó.

Hiểu về Ransomware

Ransomware là một ngành kinh doanh béo bở cho tội phạm mạng. Động cơ đằng sau các cuộc tấn công chủ yếu là lợi ích tài chính. Không giống như các cuộc tấn công mạng khác, khi thủ phạm cần bán thông tin bị đánh cắp để kiếm lời, trong trường hợp ransomware, nguồn doanh thu là trực tiếp và tức thời. Các nạn nhân bị ép phải trả tiền chuộc để lấy lại quyền truy cập vào thông tin riêng tư và có giá trị của họ.

Các cuộc tấn công bằng ransomware có thể được phân loại thành hai loại: ransomware tiền điện tử và ransomware khóa. Cái trước tập trung vào việc mã hóa các tệp quan trọng trên máy tính và khiến chúng không thể truy cập được, trong khi cái sau khóa nạn nhân hoàn toàn khỏi thiết bị của họ, thay vào đó hiển thị thông báo đòi tiền chuộc trên màn hình đăng nhập. Tuy nhiên, cả hai loại đều có chung mô típ là tống tiền, đòi tiền chuộc từ nạn nhân để đổi lấy chìa khóa mở khóa hệ thống hoặc giải mã các tập tin của họ.

Vòng đời của một cuộc tấn công ransomware.

Vòng đời của một cuộc tấn công ransomware thường bao gồm bốn giai đoạn: Thỏa hiệp ban đầu, thiết lập, mã hóa và yêu cầu tiền chuộc. Sự xâm phạm ban đầu thường xảy ra khi người dùng nhấp vào liên kết độc hại hoặc tải xuống tệp độc hại được ngụy trang. Trong giai đoạn thiết lập, ransomware tạo ra một cửa hậu, cho phép nó tồn tại lâu dài và tồn tại sau khi khởi động lại.

Giai đoạn mã hóa bắt đầu khi ransomware bắt đầu mã hóa các tập tin hoặc khóa hệ thống. Quá trình này liên quan đến việc ransomware tìm kiếm và mã hóa dữ liệu có giá trị, chẳng hạn như tệp tài liệu và hình ảnh, bằng thuật toán mã hóa mạnh. Giai đoạn cuối cùng là yêu cầu tiền chuộc, trong đó nạn nhân sẽ thấy thông báo đòi tiền chuộc, hướng dẫn cách trả tiền chuộc, thường bằng loại tiền kỹ thuật số không thể theo dõi như Bitcoin.

Trong hầu hết các trường hợp, đồng hồ tính giờ được đính kèm với yêu cầu tiền chuộc, góp phần tạo ra cảm giác cấp bách cho nạn nhân. Đồng hồ đếm ngược này cho biết nạn nhân phải trả bao nhiêu thời gian để trả tiền chuộc trước khi giá tăng hoặc trước khi dữ liệu của họ bị phá hủy vĩnh viễn. Điều đáng lưu ý là việc trả tiền chuộc không đảm bảo rằng khóa giải mã sẽ được cung cấp hoặc sẽ giải mã thành công các tệp.

Biện pháp phòng ngừa.

Cách tốt nhất để đối phó với ransomware là ngăn chặn nó xảy ra ngay từ đầu. Điều này đòi hỏi một cách tiếp cận nhiều lớp bao gồm cả các biện pháp kỹ thuật và đào tạo người dùng. Một số biện pháp phòng ngừa chính bao gồm thường xuyên cập nhật và vá lỗi phần mềm để khắc phục các lỗ hổng bảo mật tiềm ẩn, sử dụng phần mềm chống vi-rút uy tín, thường xuyên sao lưu dữ liệu và thực hành thói quen duyệt web an toàn.

Ngoài ra, điều quan trọng là phải đào tạo người dùng về sự nguy hiểm khi nhấp vào các liên kết đáng ngờ, mở tệp đính kèm email không xác định hoặc tải xuống phần mềm từ các nguồn không đáng tin cậy.

Tìm hiểu các loại ransomware.

Có nhiều loại ransomware khác nhau mà người ta cần phải biết. Các loại phổ biến nhất bao gồm Scareware, Screen Lockers và Encrypting Ransomware. Phần mềm đe dọa bao gồm phần mềm bảo mật giả mạo và lừa đảo hỗ trợ kỹ thuật. Bạn có thể nhận được một thông báo bật lên thông báo rằng có vô số vấn đề đã được phát hiện trên máy tính của bạn. Đây chỉ đơn giản là một chiến thuật nhằm đe dọa bạn gọi đến số hỗ trợ kỹ thuật, số này sẽ cố gắng lừa bạn cấp cho họ quyền truy cập vào máy tính của bạn và trả tiền cho các dịch vụ hỗ trợ không cần thiết.

Phần mềm tống tiền khóa màn hình, hay còn gọi là tủ khóa, khóa hoàn toàn bạn khỏi PC của mình. Khi khởi động, một cửa sổ kích thước đầy đủ sẽ xuất hiện, thường đi kèm với con dấu chính thức của Cục Điều tra Liên bang hoặc Bộ Tư pháp Hoa Kỳ, cho biết hoạt động bất hợp pháp đã được phát hiện trên máy tính của bạn và bạn phải nộp phạt. Tuy nhiên, cơ quan chức năng thực sự sẽ không bao giờ đóng băng máy tính của bạn hoặc yêu cầu thanh toán. Mã hóa ransomware bao gồm các loại như CryptoLocker, CryptoWall, v.v. Đây là những loại phần mềm độc hại đặc biệt có hại mã hóa các tập tin của bạn và yêu cầu bạn trả tiền chuộc cho khóa giải mã

Tác động của các cuộc tấn công ransomware.

Các cuộc tấn công ransomware có thể có tác động lớn đối với các cá nhân và doanh nghiệp. Đối với các cá nhân, điều này có thể dẫn đến mất thông tin cá nhân nhạy cảm, tổn thất tài chính do phải trả tiền chuộc, giảm năng suất và căng thẳng về mặt cảm xúc. Đối với các doanh nghiệp, một cuộc tấn công ransomware thành công có thể dẫn đến mất dữ liệu lớn, tổn thất tài chính do gián đoạn hoạt động kinh doanh và trả tiền chuộc, gây tổn hại đến danh tiếng thương hiệu, mất niềm tin của khách hàng và các hậu quả pháp lý tiềm ẩn phát sinh từ việc mất dữ liệu khách hàng.

Hơn nữa, các cuộc tấn công ransomware đã và đang mở rộng mục tiêu, không chỉ ảnh hưởng đến máy tính mà còn các thiết bị khác được kết nối với internet. Điều này bao gồm các thiết bị di động, máy chủ web và thậm chí cả thiết bị Internet of Things (IoT). Với sự gia tăng của các thiết bị nhà thông minh, có khả năng ransomware sẽ phá vỡ các thiết bị quản lý các khía cạnh quan trọng trong hoạt động của ngôi nhà, gây ra các mức độ rủi ro mới đối với an toàn và sức khỏe cá nhân.

Cuối cùng.

Ransomware là một mối đe dọa đáng kể trong thời đại kỹ thuật số có thể gây ra hậu quả lớn, cả về tài chính và tinh thần, cho các cá nhân và doanh nghiệp. Hiểu ransomware là gì, cách thức hoạt động và tác động tiềm ẩn của nó là điều cần thiết trong việc giảm thiểu rủi ro.

Nguồn: https://s.net.vn/t1VI 

Sophos phát hiện ra các tác nhân đe dọa đằng sau ransomware RansomHub sử dụng EDRKillShifter trong các cuộc tấn công

Viết bởi Andreas Klopsch

August 14, 2024

Các nhà phân tích của Sophos gần đây đã phát hiện ra một tiện ích diệt EDR mới đang được một nhóm tội phạm triển khai, những kẻ đang cố gắng tấn công một tổ chức bằng phần mềm tống tiền có tên là RansomHub. Mặc dù cuộc tấn công bằng phần mềm tống tiền cuối cùng đã không thành công, nhưng quá trình phân tích hậu quả của cuộc tấn công đã tiết lộ sự tồn tại của một công cụ mới được thiết kế để chấm dứt phần mềm bảo vệ điểm cuối. Chúng tôi gọi công cụ này là EDRKillShifter. 

Từ năm 2022, chúng tôi đã chứng kiến ​​sự gia tăng về mức độ tinh vi của phần mềm độc hại được thiết kế để vô hiệu hóa các hệ thống EDR trên hệ thống bị nhiễm, vì khách hàng ngày càng sử dụng công cụ EDR để bảo vệ các điểm cuối. Sophos trước đây đã công bố nghiên cứu về AuKill , một công cụ tiêu diệt EDR mà Sophos X-Ops phát hiện ra vào năm ngoái đang được bán thương mại trong các thị trường tội phạm. 

Trong sự cố vào tháng 5, những kẻ tấn công – chúng tôi ước tính với mức độ tin cậy vừa phải rằng công cụ này đang được nhiều kẻ tấn công sử dụng – đã cố gắng sử dụng EDRKillShifter để chấm dứt bảo vệ của Sophos trên máy tính mục tiêu, nhưng công cụ đã thất bại. Sau đó, chúng cố gắng chạy tệp thực thi ransomware trên máy mà chúng kiểm soát, nhưng cũng thất bại khi tính năng CryptoGuard của tác nhân điểm cuối được kích hoạt. 

EDRKillShifter hoạt động như thế nào 

Công cụ EDRKillShifter là một chương trình thực thi “loader” – một cơ chế phân phối cho trình điều khiển hợp lệ dễ bị lạm dụng (còn được gọi là công cụ “mang trình điều khiển dễ bị tấn công của riêng bạn” hoặc BYOVD). Tùy thuộc vào yêu cầu của tác nhân đe dọa, nó có thể phân phối nhiều loại tải trọng trình điều khiển khác nhau. 

Có ba bước trong quá trình thực thi của trình tải này. Kẻ tấn công phải thực thi EDRKillShifter bằng dòng lệnh bao gồm chuỗi mật khẩu. Khi chạy với mật khẩu đúng, tệp thực thi sẽ giải mã một tài nguyên nhúng có tên là BIN và thực thi nó trong bộ nhớ. 

Mã BIN giải nén và thực thi payload cuối cùng. Payload cuối cùng này, được viết bằng ngôn ngữ lập trình Go, sẽ loại bỏ và khai thác một trong nhiều trình điều khiển hợp pháp, dễ bị tấn công khác nhau để giành được các đặc quyền đủ để gỡ bỏ bảo vệ của công cụ EDR. 

Tổng quan cấp cao về quy trình thực hiện bộ tải

Lột bỏ lớp đầu tiên 

Phân tích hời hợt cho thấy tất cả các mẫu đều chia sẻ cùng một dữ liệu phiên bản. Tên tệp gốc là Loader.exe và tên sản phẩm của nó là ARK-Game. (Một số thành viên của nhóm nghiên cứu suy đoán rằng tác nhân đe dọa cố gắng ngụy trang tải trọng cuối cùng thành một trò chơi máy tính phổ biến có tên là ARK: Survival Evolved.)  

Thuộc tính ngôn ngữ của tệp nhị phân là tiếng Nga, cho biết tác giả phần mềm độc hại đã biên dịch tệp thực thi trên máy tính có cài đặt bản địa hóa tiếng Nga. 

Thông tin phiên bản của EDRKillShifter như được hiển thị trong CFF Explorer

Tất cả các mẫu đều yêu cầu mật khẩu 64 ký tự duy nhất được truyền đến dòng lệnh. Nếu mật khẩu sai (hoặc không được cung cấp), lệnh sẽ không thực thi. 

Việc thực thi sẽ không thành công nếu người dùng không cung cấp đúng mật khẩu vào bảng điều khiển khi chương trình thực thi

Khi được thực thi, EDRKillShifter tải một tài nguyên được mã hóa có tên BIN, được nhúng bên trong chính nó, vào bộ nhớ. Nó cũng sao chép dữ liệu đó vào một tệp mới có tên Config.ini và ghi tệp đó vào cùng một vị trí hệ thống tệp nơi tệp nhị phân được thực thi.  

Sau đó, mã tải sẽ phân bổ một trang bộ nhớ mới bằng VirtualAlloc và ghi nội dung được mã hóa vào trang mới được phân bổ. Sau đó, phần mềm độc hại xóa tệp config.ini và tiến hành giải mã tập hợp các tải trọng tiếp theo – trình điều khiển có thể lạm dụng và tệp nhị phân Go. Trình tải sử dụng hàm băm SHA256 của mật khẩu đầu vào làm khóa giải mã của các tải trọng lớp thứ hai. 

Mã giả của chương trình giải mã lớp thứ hai của phần mềm độc hại EDRKillShifter

Nếu phần mềm độc hại giải mã thành công dữ liệu lớp thứ hai, nó sẽ tạo một luồng mới và bắt đầu thực thi trong luồng đó. 

Tải EDR killer cuối cùng vào bộ nhớ 

Giai đoạn thứ hai được che giấu thông qua việc sử dụng kỹ thuật mã tự sửa đổi. Trong thời gian chạy, lớp thứ hai thay đổi các lệnh của chính nó. Vì các lệnh thực thi thực tế chỉ được tiết lộ trong quá trình thực thi, nên cần có thêm công cụ hoặc mô phỏng để phân tích.  

Hình bên dưới minh họa thêm về kỹ thuật này. Phần đầu tiên cho thấy sự khởi đầu của lớp mã tự sửa đổi. Tất cả các lệnh sau lệnh gọi đầu tiên trong quá trình tháo rời đều vô nghĩa tại thời điểm này. Nếu chúng ta xem lại cùng một khối lệnh sau khi thực hiện lệnh gọi đầu tiên, chúng ta sẽ thấy một tập lệnh khác. Lệnh gọi đầu tiên sửa đổi tập lệnh tiếp theo, sau đó sửa đổi tập lệnh tiếp theo, v.v.  

EDRKillShifter sử dụng mã tự sửa đổi để thay đổi mọi lệnh tiếp theo

Mục đích duy nhất của lớp giải mã cuối cùng là tải dữ liệu cuối cùng vào bộ nhớ một cách động và thực thi nó. 

Phân tích tải trọng cuối cùng 

Tất cả các mẫu chúng tôi phân tích đều thực thi một biến thể EDR killer khác nhau trong bộ nhớ. Tất cả chúng đều được viết bằng Go và được làm tối nghĩa (có thể thông qua việc sử dụng một công cụ nguồn mở có tên gobfuscate ) . Các trình làm tối nghĩa là các công cụ được thiết kế để cản trở kỹ thuật đảo ngược. Có thể có những lý do chính đáng để các kỹ sư phần mềm làm tối nghĩa phần mềm, chẳng hạn như để ngăn chặn đối thủ cạnh tranh đánh cắp tài sản trí tuệ. Tuy nhiên, tác giả phần mềm độc hại cũng sử dụng các trình làm tối nghĩa để khiến các nhà nghiên cứu bảo mật khó phân tích phần mềm độc hại hơn. 

Hầu hết các kỹ sư đảo ngược đều dựa vào dữ liệu được che giấu này khi phân tích phần mềm độc hại được viết bằng Go, nhưng trong trường hợp này, dữ liệu chính này bị che giấu trong mã đã biên dịch. Một số thông tin này bao gồm: 

• Chuỗi được mã hóa. Chúng sẽ được giải mã trong thời gian chạy. 
• Thông tin phiên bản Go đã mất. Rất nhiều công cụ kỹ thuật đảo ngược nguồn mở dựa vào thông tin phiên bản Go này để xây dựng lại các cấu trúc trong quá trình phân tách. 
• Thông tin gói hữu ích hoặc đường dẫn gói sẽ được mã hóa hoặc loại bỏ khỏi phần mềm độc hại cuối cùng. 

Tuy nhiên, chúng tôi có thể trích xuất thông tin có giá trị bằng cách sử dụng công cụ GoReSym từ Mandiant. 

Điểm tương đồng giữa các tải trọng cuối cùng 

Tất cả các trình diệt EDR chưa giải nén đều nhúng trình điều khiển dễ bị tấn công vào phần .data. Hành vi của chúng rất đơn giản, giống như các trình diệt EDR khác mà chúng tôi đã phân tích[ 1 ][ 2 ][ 3 ]. Điểm khác biệt lớn duy nhất giữa hai biến thể mà chúng tôi đã xem xét là trình điều khiển dễ bị tấn công được tải và khai thác. 

Khi thực hiện, cả hai biến thể đều có được các đặc quyền cần thiết để tải trình điều khiển và thả tệp sys có thể khai thác vào thư mục \AppData\Local\Temp. Phần mềm độc hại tạo ra một tên tệp ngẫu nhiên cho trình điều khiển mỗi khi chạy. 

Nhật ký Process Monitor cho thấy phần mềm độc hại thả trình điều khiển có thể lạm dụng vào thư mục TEMP

Sau khi phần mềm độc hại tạo một dịch vụ mới cho trình điều khiển, khởi động dịch vụ và tải trình điều khiển, nó sẽ đi vào một vòng lặp vô tận liên tục liệt kê các quy trình đang chạy, chấm dứt các quy trình nếu tên của chúng xuất hiện trong danh sách mục tiêu được mã hóa cứng. Hành vi này phù hợp với cả hai biến thể. 

Cũng đáng lưu ý rằng cả hai biến thể đều khai thác các trình điều khiển hợp lệ (mặc dù dễ bị tấn công), sử dụng các khai thác bằng chứng khái niệm có sẵn trên Github. Chúng tôi nghi ngờ rằng các tác nhân đe dọa đã sao chép một phần của các bằng chứng khái niệm này, sửa đổi chúng và chuyển mã sang ngôn ngữ Go. Đây là xu hướng phổ biến mà chúng tôi cũng đã quan sát thấy ở các trình diệt EDR khác, chẳng hạn như Terminator .  

Cùng một bộ nạp, tải trọng cuối cùng khác nhau 

Mẫu với SHA256 451f5aa55eb207e73c5ca53d249b95911d3fad6fe32eee78c58947761336cc60 lạm dụng trình điều khiển dễ bị tấn công cũng đã được nhìn thấy bị lạm dụng trong các cuộc tấn công và tự gọi mình là RentDrv2. Bằng chứng khái niệm để khai thác trình điều khiển này có sẵn trên Github .  

Biến thể này cũng có thể nhận thêm đối số dòng lệnh “–list”, cho phép kẻ tấn công truyền thêm danh sách tên quy trình làm mục tiêu. 

Biến thể đầu tiên cũng có thể chấp nhận các đối số dòng lệnh bổ sung làm đầu vào, bao gồm danh sách tùy chỉnh các quy trình cần nhắm mục tiêu

Ngược lại, biến thể với SHA256 d0f9eae1776a98c77a6c6d66a3fd32cee7ee6148a7276bc899c1a1376865d9b0 lại lợi dụng một trình điều khiển dễ bị tấn công được biết đến có tên là ThreatFireMonitor, một thành phần của một gói giám sát hệ thống đã lỗi thời. Một bằng chứng về khái niệm cho trình điều khiển cụ thể này cũng có sẵn trên Github .

Ánh xạ EDRKillShifter vào bối cảnh mối đe dọa lớn hơn 

Tải trọng cuối cùng được nhúng vào trình tải thay đổi theo từng sự cố (và có lẽ là từ người tạo ra nó). Nếu chúng ta thử ánh xạ EDRKillShifter vào bối cảnh mối đe dọa lớn hơn, thì cũng có khả năng trình tải và tải trọng cuối cùng được phát triển bởi các tác nhân đe dọa riêng biệt. 

Bán trình tải hoặc trình che giấu là một hoạt động kinh doanh béo bở trên dark net. Sophos X-Ops nghi ngờ rằng mục đích duy nhất của trình tải là triển khai tải trọng BYOVD cuối cùng và tải trọng này có thể đã được mua trên dark net. Sau đó, các tải trọng EDR killer cuối cùng chỉ được phân phối bởi chính trình tải, bao gồm lớp 1 và 2 mà chúng tôi đã mô tả trong phân tích ở trên. 

Ví dụ về quảng cáo công cụ che giấu được bán trên diễn đàn tội phạm dark net

Điều đáng lưu ý là chúng tôi không thể xác nhận giả thuyết này vào thời điểm này. 

Biện pháp giảm thiểu và tư vấn

Sophos hiện phát hiện EDRKillShifter là Troj/KillAV-KG . Hơn nữa, các quy tắc bảo vệ hành vi bảo vệ chống lại việc trốn tránh phòng thủ và leo thang đặc quyền chặn các cuộc gọi hệ thống này đi qua. Các doanh nghiệp và cá nhân cũng có thể thực hiện các bước bổ sung để bảo vệ máy của họ khỏi việc trình điều khiển lạm dụng: 

• Sophos X-Ops khuyến cáo bạn nên kiểm tra xem sản phẩm bảo mật điểm cuối của bạn có triển khai và kích hoạt bảo vệ chống giả mạo hay không. Tính năng này cung cấp một lớp mạnh mẽ chống lại loại tấn công như vậy. Nếu bạn sử dụng sản phẩm Sophos nhưng hiện tại không bật bảo vệ chống giả mạo Sophos, hãy bật ngay hôm nay. 
• Thực hành vệ sinh mạnh mẽ cho các vai trò bảo mật Windows. Cuộc tấn công này chỉ có thể xảy ra nếu kẻ tấn công leo thang các đặc quyền mà chúng kiểm soát hoặc nếu chúng có thể có được quyền quản trị viên. Việc tách biệt giữa các đặc quyền của người dùng và quản trị viên có thể giúp ngăn chặn kẻ tấn công dễ dàng tải trình điều khiển. 
• Luôn cập nhật hệ thống của bạn. Từ năm ngoái, Microsoft đã bắt đầu đưa ra các bản cập nhật hủy chứng nhận các trình điều khiển đã ký được biết là đã bị lạm dụng trong quá khứ.  

Viết bởi Puja Mahendru] x

MAY 28, 2024

Nghiên cứu thường niên mới nhất của Sophos về trải nghiệm ransomware trong thế giới thực của các tổ chức sản xuất khám phá toàn bộ hành trình của nạn nhân, từ tỷ lệ tấn công và nguyên nhân cốt lõi đến tác động hoạt động và kết quả kinh doanh.

Báo cáo năm nay kết hợp các lĩnh vực nghiên cứu mới cho lĩnh vực này, bao gồm cả việc tìm hiểu nhu cầu tiền chuộc và các khoản thanh toán tiền chuộc. Ngoài ra, lần đầu tiên, nó làm sáng tỏ vai trò của cơ quan thực thi pháp luật trong việc khắc phục ransomware.

Tải xuống báo cáo để có được những phát hiện đầy đủ.

1. Tỷ lệ tấn công và chi phí phục hồi đều tăng lên

65% các tổ chức sản xuất cho biết họ đã bị tấn công bởi ransomware vào năm ngoái. Đây là mức tăng đáng chú ý so với hai năm trước (56% vào năm 2023 và 55% vào năm 2022) và thể hiện mức tăng 41% kể từ năm 2020.

93% các tổ chức sản xuất bị ransomware tấn công trong năm qua cho biết tội phạm mạng đã cố gắng xâm phạm các bản sao lưu của họ trong cuộc tấn công. Trong số đó, 53% nỗ lực thỏa hiệp sao lưu đã thành công.

Ngoài ra, ba trong số bốn cuộc tấn công bằng ransomware vào các tổ chức sản xuất (74%) dẫn đến mã hóa dữ liệu, tỷ lệ mã hóa cao nhất trong lĩnh vực này trong 5 năm qua. Tỷ lệ này cũng cao hơn mức bình quân liên ngành năm 2024 là 70%.

Vào năm 2024, các tổ chức sản xuất đã báo cáo chi phí trung bình là 1,67 triệu USD để phục hồi sau một cuộc tấn công bằng ransomware, tăng so với mức 1,08 triệu USD được báo cáo vào năm 2023.

2. Các thiết bị bị ảnh hưởng trong cuộc tấn công ransomware.

Trung bình, 44% máy tính trong sản xuất và sản xuất bị ảnh hưởng bởi cuộc tấn công bằng ransomware. Việc mã hóa toàn bộ môi trường của bạn là cực kỳ hiếm, chỉ có 4% tổ chức báo cáo rằng 91% thiết bị trở lên của họ bị ảnh hưởng.

3. Sáu trong mười nạn nhân hiện đang trả tiền chuộc

Trong khi 58% sản xuất đã khôi phục dữ liệu được mã hóa bằng cách sử dụng bản sao lưu, thì 62% trả tiền chuộc để lấy lại dữ liệu. Tỷ lệ các tổ chức sản xuất trả tiền chuộc đã tăng gần gấp đôi so với nghiên cứu năm 2023 của chúng tôi khi lĩnh vực này báo cáo một trong những tỷ lệ trả tiền chuộc thấp nhất (34%) trong tất cả các lĩnh vực.

Một thay đổi đáng chú ý trong năm qua là xu hướng nạn nhân sử dụng nhiều phương pháp khác nhau để khôi phục dữ liệu được mã hóa (ví dụ: trả tiền chuộc và sử dụng bản sao lưu) ngày càng tăng. Lần này, gần một nửa số tổ chức sản xuất (45%) đã mã hóa dữ liệu cho biết họ sử dụng nhiều phương pháp, cao hơn gấp đôi tỷ lệ được báo cáo vào năm 2023 (19%).

4. Các khoản thanh toán tiền chuộc đã tăng vọt – nhưng nạn nhân hiếm khi trả số tiền được yêu cầu

157 người trả lời ngành sản xuất có tổ chức trả tiền chuộc đã chia sẻ số tiền thực tế được trả, tiết lộ rằng khoản thanh toán trung bình (trung bình) đã tăng 167% so với năm ngoái, từ 450.000 USD lên 1,2 triệu USD.

Trong khi khoản thanh toán tiền chuộc đã tăng lên, chỉ có 27% nạn nhân trong ngành sản xuất cho biết khoản thanh toán của họ phù hợp với yêu cầu ban đầu. 65% trả ít hơn nhu cầu ban đầu, trong khi chỉ có 8% trả nhiều hơn.

Tải xuống báo cáo đầy đủ để biết thêm thông tin chi tiết về thanh toán tiền chuộc và nhiều lĩnh vực khác.

5. Về cuộc khảo sát.

Báo cáo này dựa trên kết quả của một cuộc khảo sát độc lập, không phân biệt nhà cung cấp do Sophos ủy quyền với 5.000 nhà lãnh đạo CNTT/an ninh mạng trên 14 quốc gia ở Châu Mỹ, EMEA và Châu Á Thái Bình Dương, bao gồm 585 người từ lĩnh vực sản xuất và chế tạo. Tất cả những người trả lời đều đại diện cho các tổ chức có từ 100 đến 5.000 nhân viên. Cuộc khảo sát được chuyên gia nghiên cứu Vanson Bourne thực hiện trong khoảng thời gian từ tháng 1 đến tháng 2 năm 2024 và những người tham gia được yêu cầu trả lời dựa trên kinh nghiệm của họ trong năm trước.

Viết bởi Paul Murray

NGÀY 14 THÁNG 2 NĂM 2024

Các tổ chức sử dụng Veeam Backup & Replication giờ đây có thể tăng cường khả năng phòng thủ chống lại ransomware bằng Sophos MDR và Sophos XDR. Đọc tiếp để tìm hiểu cách tích hợp mới của Sophos với Veeam mang lại khả năng hiển thị tốt hơn để phát hiện và ngăn chặn các mối đe dọa nhắm mục tiêu vào dữ liệu sao lưu.

Sao lưu và phục hồi là một phần không thể thiếu trong chiến lược an ninh mạng toàn diện. Kẻ thù cố gắng giả mạo các giải pháp sao lưu để ngăn chặn quá trình phục hồi sau các cuộc tấn công bằng ransomware – việc phát hiện sớm hoạt động độc hại này là rất quan trọng.

Sự tích hợp mới của Sophos với Veeam trao đổi liền mạch thông tin bảo mật khi mối đe dọa xuất hiện, mở rộng khả năng hiển thị để giúp phát hiện, điều tra và ứng phó với các cuộc tấn công đang hoạt động.

Mối quan hệ hợp tác mới mạnh mẽ này mang đến sự an tâm rằng dữ liệu sao lưu luôn sẵn có và được bảo vệ, cho phép các tổ chức phát hiện các mối đe dọa, điều tra hoạt động đáng ngờ và cuối cùng là khôi phục dữ liệu nhanh chóng.

Với Sophos và Veeam, các tổ chức có thể đảm bảo tính toàn vẹn và sẵn có của các bản sao lưu, giảm nguy cơ mất dữ liệu do phần mềm độc hại, vô tình xóa, các mối đe dọa bảo mật nội bộ và các tình huống mất dữ liệu khác.

• Dịch vụ Sophos MDR cung cấp khả năng giám sát bảo mật 24/7, lọc các cảnh báo dư thừa và điều tra các mối đe dọa đối với môi trường Veeam, như các nỗ lực xóa kho lưu trữ sao lưu, vô hiệu hóa xác thực đa yếu tố, xóa mật khẩu mã hóa, v.v.
• Các tổ chức sử dụng giải pháp Sophos XDR để điều tra và phản hồi nội bộ cũng có thể tích hợp phép đo từ xa Veeam để xác định hoạt động độc hại tiềm ẩn, kết hợp với phát hiện mối đe dọa từ các nguồn khác trong một nền tảng và bảng điều khiển thống nhất.

Sự bảo vệ mạnh mẽ nhất chống lại các cuộc tấn công ransomware

Giải pháp Sophos XDR và dịch vụ Sophos MDR bao gồm công nghệ CryptoGuard hàng đầu trong ngành có khả năng phát hiện và ngăn chặn phần mềm tống tiền trên toàn cầu trước khi nó tác động đến hệ thống của khách hàng, bao gồm các biến thể mới cũng như mã hóa cục bộ và từ xa .

Khả năng ngăn chặn, phát hiện và phản hồi vượt trội của Sophos, kết hợp với các bản sao lưu và phiên bản bất biến do Veeam cung cấp, đảm bảo dữ liệu sao lưu vẫn được an toàn và có thể phục hồi.

Nâng cao khả năng phòng thủ của bạn với tích hợp Veeam mới của Sophos

Tích hợp Veeam mới hiện có sẵn dưới dạng tiện ích bổ sung cho đăng ký Sophos MDR và Sophos XDR thông qua giấy phép Gói tích hợp “Sao lưu và phục hồi” mới.

Để tìm hiểu thêm và khám phá cách Sophos MDR và Sophos XDR có thể giúp tổ chức của bạn bảo vệ tốt hơn trước các đối thủ đang hoạt động, bao gồm các cuộc tấn công nhắm vào kho lưu trữ dự phòng của bạn, hãy trao đổi với cố vấn Sophos hoặc đối tác Sophos của bạn.

Đã là khách hàng của Sophos MDR hoặc Sophos XDR? Kích hoạt tích hợp Veeam trong bảng điều khiển Sophos Central của bạn ngay hôm nay.

Giới thiệu Sophos Managed Risk, Được cung cấp bởi Tenable

Sophos Managed Risk kết hợp công nghệ quản lý lỗ hổng từ Tenable với kiến thức chuyên môn về mối đe dọa của Sophos như một dịch vụ được quản lý hoàn toàn.

Viết bởi Paul Murray

Ngày 03 tháng 4 năm 2024

Theo báo cáo trong Báo cáo về Ransomware năm 2024 của Sophos, các lỗ hổng chưa được vá bị khai thác là nguyên nhân gốc rễ hàng đầu dẫn đến các cuộc tấn công thành công.

Bề mặt tấn công hiện đại đã mở rộng ra ngoài ranh giới CNTT tại chỗ truyền thống , với việc các tổ chức thường xuyên vận hành một số lượng tài sản bên ngoài và tài sản trên Internet chưa được vá hoặc chưa được bảo vệ, khiến chúng dễ bị tấn công mạng.

Trước nhu cầu cấp thiết này, chúng tôi rất vui mừng được giới thiệu Sophos Managed Risk, được cung cấp bởi Tenable . Dịch vụ mới này cho phép các tổ chức tìm và loại bỏ các điểm mù cũng như đón đầu các cuộc tấn công tiềm ẩn bằng cách hiểu rõ và ưu tiên các mức độ rủi ro cao nhất, với sự hướng dẫn chuyên môn từ đội ngũ tận tâm của Sophos.

Rủi ro được quản lý của Sophos mang lại:

Khả năng hiển thị bề mặt tấn công
Bề mặt tấn công hiện đại tiếp tục phát triển vượt ra ngoài biên giới của CNTT truyền thống và hầu hết các tổ chức hiện nay đều có tài sản truy cập internet mà họ không nhận ra là mình sở hữu, cung cấp các mục tiêu dễ dàng cho các tác nhân đe dọa. Sophos Managed Risk phát hiện các tài sản trên Internet của tổ chức và phân tích bề mặt tấn công bên ngoài của chúng.

Giám sát liên tục
Các nhóm bảo mật và CNTT nội bộ có thể thiếu kiến thức và kinh nghiệm sâu sắc về bối cảnh khai thác cần thiết để hiểu đầy đủ về tình hình bảo mật trên bề mặt tấn công của tổ chức họ. Sophos Managed Risk cung cấp hướng dẫn chuyên môn và giúp đặt ra các ưu tiên khắc phục.

Ưu tiên lỗ hổng dựa trên rủi ro
Các lỗ hổng mới được phát hiện nhanh hơn mức mà hầu hết các tổ chức có thể khắc phục chúng. Hiểu được cái nào có liên quan và thứ tự nào để vá chúng là một thách thức đáng kể. Sophos Managed Risk xác định và ưu tiên các mức độ phơi nhiễm bằng cách sử dụng phạm vi bảo hiểm dễ bị tổn thương rộng rãi và công nghệ ưu tiên dựa trên rủi ro từ Tenable.

Chủ động thông báo về các nguy cơ rủi ro cao
Những kẻ tấn công tìm kiếm điểm yếu trong môi trường từ lâu trước khi các tổ chức biết chúng ở đó. Việc xác định nhanh chóng các nguy cơ rủi ro cao là rất quan trọng. Sophos Managed Risk cung cấp thông báo chủ động khi phát hiện ra các lỗ hổng nghiêm trọng mới ảnh hưởng đến tài sản của tổ chức.

“Một trong những thách thức lớn nhất mà các tổ chức phải đối mặt khi cải thiện tình trạng bảo mật của mình là ưu tiên xử lý những gì trước tiên. Craig Robinson, phó chủ tịch nghiên cứu của Dịch vụ bảo mật, IDC cho biết loại hướng dẫn này giúp giải quyết vấn đề đó và giảm khối lượng công việc cho các nhóm bảo mật được giao nhiệm vụ giải quyết quản lý lỗ hổng và khả năng tiếp xúc. “Các giải pháp như Sophos Managed Risk có thể là điểm khác biệt bằng cách cho phép các nhóm có áp lực quá lớn thực hiện cách tiếp cận toàn diện hơn để giám sát liên tục và quản lý mối đe dọa.”

Liên minh Sophos-Tenable

Sophos Managed Risk kết hợp công nghệ hàng đầu trong ngành từ Tenable với kiến thức chuyên môn về mối đe dọa từ Sophos, được cung cấp dưới dạng dịch vụ quản lý bề mặt tấn công chủ động. Mối quan hệ hợp tác độc đáo này quy tụ hai công ty dẫn đầu thị trường an ninh mạng có uy tín cao để mang lại kết quả bảo mật vượt trội cho khách hàng và đối tác.

“Sophos và Tenable là hai công ty bảo mật hàng đầu trong ngành cùng nhau giải quyết các thách thức bảo mật khẩn cấp, lan rộng mà các tổ chức liên tục gặp khó khăn để kiểm soát. Giờ đây, chúng tôi có thể giúp các tổ chức xác định và ưu tiên khắc phục các lỗ hổng trong tài sản, thiết bị và phần mềm bên ngoài thường bị bỏ qua. Điều quan trọng là các tổ chức phải quản lý những rủi ro phơi nhiễm này, vì nếu không được giám sát, chúng chỉ dẫn đến các vấn đề tốn kém và mất thời gian hơn và thường là nguyên nhân gốc rễ của những vi phạm nghiêm trọng ,” Rob Harrison, phó chủ tịch cấp cao về quản lý sản phẩm hoạt động bảo mật và điểm cuối tại cho biết. Sophos. “Chúng tôi biết từ dữ liệu khảo sát toàn cầu của Sophos rằng 32% các cuộc tấn công bằng ransomware bắt đầu từ một lỗ hổng chưa được vá và rằng việc khắc phục các cuộc tấn công này là tốn kém nhất. Các lớp bảo mật lý tưởng để ngăn chặn những vấn đề này bao gồm cách tiếp cận tích cực nhằm cải thiện tình hình bảo mật bằng cách giảm thiểu nguy cơ vi phạm với Sophos Managed Risk, Sophos Endpoint và phạm vi bảo hiểm 24×7 của Sophos MDR .”

Greg Goetz, phó chủ tịch phụ trách đối tác chiến lược toàn cầu và MSSP, cho biết: “Mặc dù ngày số 0 mới nhất có thể chiếm ưu thế trên các mặt báo, nhưng mối đe dọa lớn nhất đối với các tổ chức, nhìn chung, vẫn là các lỗ hổng đã được biết đến – hoặc các lỗ hổng đã có bản vá sẵn có”. Có thể thuê được. “Một cách tiếp cận hiệu quả bao gồm ưu tiên dựa trên rủi ro với các phân tích dựa trên ngữ cảnh để chủ động giải quyết các rủi ro trước khi chúng trở thành vấn đề. Rủi ro được quản lý của Sophos, được hỗ trợ bởi Nền tảng quản lý phơi nhiễm Tenable One, cung cấp giải pháp quản lý rủi ro phòng ngừa được thuê ngoài, cho phép các tổ chức lường trước các cuộc tấn công và giảm rủi ro mạng.”

Hợp tác với dịch vụ MDR đáng tin cậy nhất thế giới

Sophos Managed Risk có sẵn dưới dạng dịch vụ mở rộng với Sophos MDR , dịch vụ này đã bảo vệ hơn 21.000 tổ chức trên toàn cầu. Nhóm Quản lý Rủi ro Sophos tận tâm đã được Tenable chứng nhận và hợp tác chặt chẽ với Sophos MDR để chia sẻ thông tin cần thiết về zero-day, các lỗ hổng đã biết và rủi ro phơi nhiễm để đánh giá và điều tra các môi trường có thể bị khai thác. Các tổ chức được hưởng lợi thông qua tương tác thường xuyên, bao gồm các cuộc họp đã lên lịch với các chuyên gia của Sophos để xem xét những khám phá gần đây, hiểu biết sâu sắc về bối cảnh mối đe dọa hiện tại cũng như các đề xuất về biện pháp khắc phục và các hành động ưu tiên.

Ví dụ: khi Sophos phát hiện ra lỗ hổng zero-day mới có rủi ro cao có thể khiến tổ chức bị lộ, Sophos Managed Risk sẽ quét tài sản của họ để tìm khả năng khai thác và chủ động thông báo cho khách hàng. Các tổ chức có thể kết nối với nhóm Rủi ro được quản lý của Sophos và quản lý thuận tiện các trường hợp leo thang lỗ hổng bảo mật cùng với các cuộc điều tra MDR trong một bảng điều khiển Sophos hợp nhất.

Sắp ra mắt

Với việc các chuyên gia về Rủi ro được quản lý của Sophos cung cấp thông tin chi tiết về các lỗ hổng bề mặt tấn công, các tổ chức thuộc mọi quy mô có thể giảm rủi ro mạng, đẩy nhanh các chương trình vá lỗi và cải thiện khả năng bảo hiểm. Dịch vụ mới sẽ khả dụng vào cuối tháng 4 năm 2024.

Để tìm hiểu thêm về Sophos Managed Risk và cách nó có thể hỗ trợ bạn, hãy truy cập trang web của chúng tôi hoặc nói chuyện với chuyên gia bảo mật ngay hôm nay.