Ngày 30 tháng 8 năm 2024
FortiGuard Labs thu thập dữ liệu về các biến thể ransomware đáng quan tâm đang thu hút sự chú ý trong các tập dữ liệu của chúng tôi và cộng đồng OSINT. Báo cáo Ransomware Roundup nhằm mục đích cung cấp cho độc giả những hiểu biết ngắn gọn về bối cảnh ransomware đang phát triển và các giải pháp Fortinet bảo vệ chống lại các biến thể đó.
Phiên bản này của Ransomware Roundup đề cập đến ransomware Underground.
Nền tảng bị ảnh hưởng: Microsoft Windows
Các bên bị ảnh hưởng: Microsoft Windows
Tác động: Mã hóa tệp của nạn nhân và yêu cầu tiền chuộc để giải mã tệp
Mức độ nghiêm trọng: Cao
Tổng quan về Ransomware ngầm
Mẫu đầu tiên của ransomware Underground được phát hiện lần đầu tiên vào đầu tháng 7 năm 2023, trên một trang web quét tệp công khai. Điều này gần như trùng khớp với thời điểm nạn nhân đầu tiên được đăng trên trang web rò rỉ dữ liệu của họ vào ngày 13 tháng 7 năm 2023.
Giống như hầu hết các phần mềm tống tiền khác, phần mềm tống tiền này mã hóa các tập tin trên máy tính Windows của nạn nhân và yêu cầu tiền chuộc để giải mã thông qua các ghi chú đòi tiền chuộc.
Vectơ lây nhiễm
Các báo cáo trực tuyến cho biết nhóm RomCom có trụ sở tại Nga, còn được gọi là Storm-0978, đang triển khai ransomware Underground. Nhóm đe dọa này được biết là khai thác CVE-2023-36884 (Lỗ hổng RCE HTML của Microsoft Office và Windows), có thể là vectơ lây nhiễm cho ransomware.
FortiGuard Labs đã công bố Cảnh báo bùng phát về CVE-2023-36884 vào ngày 13 tháng 7 năm 2024.
Nhóm này cũng có thể sử dụng các phương thức lây nhiễm phổ biến khác như email và mua quyền truy cập từ Nhà môi giới truy cập ban đầu (IAB).
Phương pháp tấn công
Sau khi thực thi, ransomware Underground sẽ xóa các bản sao ẩn bằng lệnh sau:
- vssadmin.exe xóa bóng tối /all /quiet
Phần mềm tống tiền đặt thời gian tối đa mà phiên RemoteDesktop/TerminalServer có thể duy trì hoạt động trên máy chủ là 14 ngày (14 ngày sau khi người dùng ngắt kết nối) bằng lệnh sau:
- reg.exe thêm HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services / v MaxDisconnectionTime / t REG_DWORD / d 1209600000 / f
Sau đó dừng dịch vụ MS SQL Server bằng lệnh sau:
- net.exe dừng MSSQLSERVER /f /m
Sau đó, phần mềm tống tiền sẽ tạo và thả một ghi chú đòi tiền chuộc có tên “!!readme!!!.txt”:
Hình 1: Ghi chú về tiền chuộc ransomware Underground
Mặc dù ransomware mã hóa các tập tin nhưng nó không thay đổi hoặc thêm phần mở rộng tập tin.
Hình 2: Một tập tin văn bản trước khi mã hóa tập tin
Hình 3: Một tập tin văn bản sau khi mã hóa tập tin
Nó cũng tránh mã hóa các tập tin có phần mở rộng sau:
| .sys | .exe | .dll | .bat | .bin | .cmd |
| .com | .cpl | .gadget | .inf1 | .ins | .inx |
| .isu | .job | .jse | .lnk | .msc | .msi |
| .mst | .paf | .pif | .ps1 | .reg | .rgs |
| .scr | .sct | .shb | shs | .u3p | .vb |
| .vbe | .vbs | .vbscript | .ws | .wsh | .wsf |
Phần mềm tống tiền này tạo và thực thi temp.cmd, thực hiện các hành động sau:
- Xóa tệp ransomware gốc
- Lấy danh sách các bản ghi Sự kiện Windows và xóa chúng
Trang web về nạn nhân và rò rỉ dữ liệu
Ransomware Underground có một trang web rò rỉ dữ liệu đăng thông tin nạn nhân, bao gồm dữ liệu bị đánh cắp từ nạn nhân. Hiện tại, trang web rò rỉ dữ liệu liệt kê 16 nạn nhân, với nạn nhân gần đây nhất được đăng vào ngày 3 tháng 7 năm 2024. Dưới đây là phân tích chi tiết về các nạn nhân và ngành dọc của họ:
| Ngày đăng | Vị trí của nạn nhân | Ngành |
| 2024/07/03 | Hoa Kỳ | Sự thi công |
| 2024/07/01 | Pháp | Dược phẩm |
| 2024/06/17 | Hoa Kỳ | Dịch vụ chuyên nghiệp |
| 27/05/2024 | Hoa Kỳ | Ngân hàng |
| 2024/05/15 | Hoa Kỳ | Thuốc |
| 2024/05/01 | Hoa Kỳ | Ngành công nghiệp |
| 2024/04/09 | Hoa Kỳ | Dịch vụ kinh doanh |
| 2024/04/09 | Hoa Kỳ | Sự thi công |
| 2024/03/25 | Hoa Kỳ | Chế tạo |
| 2024/03/06 | Hàn Quốc | Chế tạo |
| 2024/02/12 | Tây ban nha | Chế tạo |
| 2024/02/02 | Đức | Ngành công nghiệp |
| 2023/07/31 | Slovakia | Dịch vụ kinh doanh |
| 2024/07/18 | Đài Loan | Ngành công nghiệp |
| 2024/07/18 | Singapore | Chế tạo |
| 2024/07/14 | Canada | Chế tạo |
Hình 4: Trang web rò rỉ dữ liệu của ransomware Underground
Trang web rò rỉ dữ liệu cũng bao gồm hộp thả xuống với danh sách các ngành mà nhóm ransomware đang nhắm tới hoặc được phép nhắm tới.
Hình 5: Một trong những nạn nhân trên trang web rò rỉ dữ liệu
Nhóm ransomware Underground cũng có kênh Telegram được tạo vào ngày 21 tháng 3 năm 2024.
Hình 6: Kênh Telegram ransomware Underground
Theo kênh Telegram, nhóm ransomware đã công khai thông tin bị đánh cắp của nạn nhân trên Mega, một nhà cung cấp dịch vụ lưu trữ đám mây đang bị lạm dụng.
Hình 7: Kênh Telegram chứa liên kết đến thông tin bị đánh cắp trên Mega
Bảo vệ Fortinet
Phần mềm tống tiền Underground được mô tả trong báo cáo này được FortiGuard Antivirus phát hiện và chặn như sau:
- W64/IndustrySpy.C!tr.ransom
- W64/Filecoder_IndustrialSpy.C!tr.ransom
- Phần mềm quảng cáo/Filecoder_IndustrialSpy
- Phần mềm rủi ro/Tiền chuộc
FortiGate, FortiMail, FortiClient và FortiEDR hỗ trợ dịch vụ FortiGuard AntiVirus . Công cụ FortiGuard AntiVirus là một phần của mỗi giải pháp đó. Do đó, khách hàng có các sản phẩm này với các biện pháp bảo vệ cập nhật sẽ được bảo vệ.
Vui lòng đọc cảnh báo về dịch bệnh để bảo vệ bản thân khỏi tác nhân lây nhiễm tiềm ẩn (CVE-2023-36884) bị ransomware Underground lợi dụng:
IOCs
IOC tệp ransomware ngầm
| SHA2 | Ghi chú |
| 9543f71d7c4e394223c9d41ccef71541e1f1eb0cc76e8fa0f632b8365069af64 | Phần mềm tống tiền ngầm |
| 9f702b94a86558df87de316611d9f1bfe99a6d8da9fa9b3d7bb125a12f9ad11f | |
| eb8ed3b94fa978b27a02754d4f41ffc95ed95b9e62afb492015d0eb25f89956f | |
| 9d41b2f7c07110fb855c62b5e7e330a597860916599e73dd3505694fd1bbe163 | |
| cc80c74a3592374341324d607d877dcf564d326a1354f3f2a4af58030e716813 | |
| d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666 |
Hướng dẫn FortiGuard Labs
Do dễ bị gián đoạn, gây thiệt hại cho hoạt động hàng ngày, tác động tiềm ẩn đến danh tiếng của tổ chức và việc phá hủy hoặc tiết lộ thông tin nhận dạng cá nhân (PII) không mong muốn, v.v., nên việc cập nhật tất cả các chữ ký AV và IPS là rất quan trọng.
Vì phần lớn phần mềm tống tiền được phát tán qua lừa đảo, các tổ chức nên cân nhắc sử dụng các giải pháp của Fortinet được thiết kế để đào tạo người dùng hiểu và phát hiện các mối đe dọa lừa đảo:
Dịch vụ mô phỏng lừa đảo FortiPhish sử dụng các mô phỏng thực tế để giúp các tổ chức kiểm tra nhận thức và mức độ cảnh giác của người dùng đối với các mối đe dọa lừa đảo và đào tạo cũng như củng cố các biện pháp thực hành phù hợp khi người dùng gặp phải các cuộc tấn công lừa đảo có chủ đích.
Khóa đào tạo Fortinet Certified Fundamentals (FCF) MIỄN PHÍ về An ninh mạng của chúng tôi. Khóa đào tạo được thiết kế để giúp người dùng cuối tìm hiểu về bối cảnh đe dọa hiện nay và sẽ giới thiệu các khái niệm và công nghệ an ninh mạng cơ bản.
Các tổ chức sẽ cần thực hiện những thay đổi cơ bản về tần suất, vị trí và bảo mật cho các bản sao lưu dữ liệu của mình để xử lý hiệu quả rủi ro đang phát triển và mở rộng nhanh chóng của phần mềm tống tiền. Khi kết hợp với sự xâm phạm chuỗi cung ứng kỹ thuật số và lực lượng lao động làm việc từ xa vào mạng, có nguy cơ thực sự rằng các cuộc tấn công có thể đến từ bất kỳ đâu. Các giải pháp bảo mật dựa trên đám mây, chẳng hạn như SASE , để bảo vệ các thiết bị ngoài mạng; bảo mật điểm cuối tiên tiến, chẳng hạn như các giải pháp EDR (phát hiện và phản hồi điểm cuối) có thể phá vỡ phần mềm độc hại giữa cuộc tấn công; và Zero Trust Access và các chiến lược phân đoạn mạng hạn chế quyền truy cập vào các ứng dụng và tài nguyên dựa trên chính sách và bối cảnh, tất cả đều nên được nghiên cứu để giảm thiểu rủi ro và giảm tác động của một cuộc tấn công phần mềm tống tiền thành công.
Là một phần của Security Fabric tích hợp đầy đủ hàng đầu trong ngành , mang lại sự hiệp lực và tự động hóa trong toàn bộ hệ sinh thái bảo mật của bạn, Fortinet cũng cung cấp danh mục công nghệ và dịch vụ theo yêu cầu của con người. Các dịch vụ này được hỗ trợ bởi đội ngũ chuyên gia an ninh mạng dày dạn kinh nghiệm của FortiGuard toàn cầu.
FortiRecon là Dịch vụ Phòng ngừa Rủi ro Kỹ thuật số dựa trên SaaS được các chuyên gia an ninh mạng hỗ trợ để cung cấp thông tin tình báo về mối đe dọa vô song về hoạt động mới nhất của tác nhân đe dọa trên dark web, cung cấp hiểu biết sâu sắc về động cơ và TTP của tác nhân đe dọa. Dịch vụ có thể phát hiện bằng chứng về các cuộc tấn công đang diễn ra, cho phép khách hàng phản ứng nhanh chóng và ngăn chặn các mối đe dọa đang hoạt động.
Tốt nhất không trả tiền chuộc
Các tổ chức như CISA, NCSC, FBI và HHS cảnh báo nạn nhân ransomware không nên trả tiền chuộc một phần vì khoản thanh toán không đảm bảo rằng các tệp sẽ được khôi phục. Theo khuyến cáo của Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ , các khoản thanh toán tiền chuộc cũng có thể khuyến khích kẻ thù nhắm mục tiêu vào các tổ chức khác, khuyến khích các tác nhân tội phạm khác phân phối ransomware và/hoặc tài trợ cho các hoạt động bất hợp pháp có khả năng là bất hợp pháp. Đối với các tổ chức và cá nhân bị ảnh hưởng bởi ransomware, FBI có trang Khiếu nại về Ransomware, nơi nạn nhân có thể gửi các mẫu hoạt động ransomware thông qua Trung tâm Khiếu nại về Tội phạm Internet (IC3) của họ.
Fortinet có thể giúp gì
Dịch vụ ứng phó sự cố khẩn cấp của FortiGuard Labs cung cấp phản hồi nhanh chóng và hiệu quả khi phát hiện sự cố. Dịch vụ đăng ký sẵn sàng ứng phó sự cố của chúng tôi cung cấp các công cụ và hướng dẫn để giúp bạn chuẩn bị tốt hơn cho sự cố mạng thông qua các đánh giá về mức độ sẵn sàng, phát triển sổ tay hướng dẫn ứng phó sự cố an ninh mạng và thử nghiệm sổ tay hướng dẫn ứng phó sự cố an ninh mạng (bài tập thực hành).
Ngoài ra, FortiRecon Digital Risk Protection (DRP) là dịch vụ dựa trên SaaS cung cấp cái nhìn về những gì kẻ thù đang nhìn thấy, làm và lập kế hoạch để giúp bạn chống lại các cuộc tấn công ở giai đoạn trinh sát và giảm đáng kể rủi ro, thời gian và chi phí giảm thiểu mối đe dọa ở giai đoạn sau.