Cục Điều tra Liên bang Hoa Kỳ (FBI) đã phát đi cảnh báo về mã độc tống tiền BlackCat (còn được gọi là ALPHV và Noberus), xuất hiện từ tháng 11/2021 và tính đến tháng 3/2022 đã xâm phạm ít nhất 60 tổ chức trên toàn thế giới.
BlackCat còn được gọi là ALPHV và Noberus, là phần mềm độc hại đầu tiên được viết bằng ngôn ngữ lập trình Rust với độ an toàn về bộ nhớ và cải thiện hiệu suất.
FBI cho biết: “Nhiều nhà phát triển và tội phạm rửa tiền cho BlackCat/ALPHV có liên kết với DarkSide/BlackMatter. Điều này cho thấy chúng có mạng lưới rộng lớn và kinh nghiệm với các hoạt động mã độc tống tiền”.
Tiết lộ được đưa ra vài tuần sau khi Cisco Talos và Kasperksy báo cáo phát hiện những liên kết giữa các họ mã độc tống tiền BlackCat và BlackMatter, trong đó có cả việc sử dụng phiên bản sửa đổi của công cụ lọc dữ liệu có tên là Fendr mà trước đây chỉ được quan sát thấy trong hoạt động liên quan đến BlackMatter.
Theo AT&T Alien Labs: “Bên cạnh những lợi thế đang phát triển mà ngôn ngữ lập trình Rust mang lại, những kẻ tấn công còn lợi dụng khả năng phát hiện thấp hơn từ các công cụ phân tích tĩnh, vốn thường không thích ứng với tất cả các ngôn ngữ lập trình”.
Giống như các nhóm RaaS khác, phương thức hoạt động của BlackCat liên quan đến việc đánh cắp dữ liệu của nạn nhân trước khi thực thi mã hóa tống tiền. Phần mềm độc hại này thường tận dụng thông tin đăng nhập của người dùng bị xâm phạm để chiếm quyền truy cập ban đầu vào hệ thống mục tiêu.
Nhà nghiên cứu Vedere Labs của Forescout đã phân tích một sự cố ransomware BlackCat và thấy rằng tường lửa SonicWall tiếp xúc với Internet đã bị xâm nhập để chiếm quyền truy cập ban đầu vào mạng. Sau đó, chúng sẽ mã hóa công cụ giám sát máy ảo VMware ESXi. Việc triển khai mã độc tống tiền được cho là đã diễn ra từ ngày 17/3/2022.
Cơ quan thực thi pháp luật khuyến nghị các nạn nhân báo cáo kịp thời các sự cố mã độc tống tiền, đồng thời khuyến cáo họ không nên trả tiền chuộc vì không có gì đảm bảo rằng điều này sẽ giúp họ khôi phục lại được các tệp đã được mã hóa. Tuy nhiên, các nạn nhân có thể buộc phải tuân theo những yêu cầu đó để bảo vệ cổ đông, nhân viên và khách hàng của họ.
FBI đang kêu gọi các tổ chức kiểm tra lại trình điều khiển tên miền, máy chủ, máy trạm và thư mục hoạt động cho các tài khoản người dùng mới hoặc chưa xác thực, thực hiện sao lưu ngoại tuyến, phân đoạn mạng, áp dụng cập nhật phần mềm và bảo mật tài khoản bằng xác thực đa yếu tố.
Nguồn: Tạp chí an toàn thông tin