Nhóm tình báo về mối đe dọa của Microsoft tuyên bố rằng nhóm DEV-0270 (còn được gọi là Nemesis Kitten hoặc Phosphorus) đã lạm dụng tính năng BitLocker của Windows trong các cuộc tấn công và sử dụng nó để mã hóa dữ liệu trên ổ đĩa của nạn nhân với yêu cầu đòi tiền chuộc sau đó cho họ.
Các nhà phân tích của Microsoft cho rằng các tác nhân độc hại đang ngày càng lợi dụng LOLBIN (Living Off the Land Binaries), một kỹ thuật dựa trên việc lợi dụng các mã nhị phân của chính hệ thống để gây ra thiệt hại đáng kể trong một cuộc tấn công, với tỷ lệ phát hiện tương đối thấp trong các cuộc tấn công.
Các tác nhân độc hại sử dụng BitLocker, một tính năng bảo vệ dữ liệu cung cấp mã hóa toàn bộ dữ liệu trên các thiết bị chạy Windows 10, Windows 11 hoặc Windows Server 2016 trở lên. Theo điều tra, nhóm này sử dụng DiskCryptor, một hệ thống mã hóa ổ đĩa mã nguồn mở cho Windows cho phép mã hóa toàn bộ ổ cứng của thiết bị.
Từ việc những kẻ tấn công truy cập vào máy tính đến sự xuất hiện thông báo đòi tiền chuộc, khoảng hai ngày trôi qua và các ghi chú yêu cầu thanh toán số tiền 8.000 đô la để nhận khoá giải mã
Để phát hiện bộ điều khiển miền, kẻ tấn công sử dụng các lệnh PowerShell và WMI sau:
- “Powershell.exe” / c Get-WMIObject Win32_NTDomain | findstr DomainController
- DomainController “findstr.exe”
Microsoft cho biết nhóm kẻ tấn công này là một nhánh của nhóm “Phosphorus” do Iran hậu thuẫn (còn được gọi là Charmin Kitten và APT35), được biết đến với việc nhắm mục tiêu vào nạn nhân có liên quan đến chính phủ, tổ chức phi chính phủ và các tổ chức vận động trên khắp thế giới.
Theo các cuộc điều tra, tổ chức này cũng có liên hệ với Najee Technology Hooshmand, đặt tại Karaj, Iran.
Vì nhiều cuộc tấn công DEV-0270 đã khai thác các lỗ hổng đã biết trong Exchange (ProxyLogon) hoặc Fortinet (CVE-2018-13379), các công ty nên vá các máy chủ và thiết bị để hạn chế các rủi ro bị tấn công.
Theo https://www.securitynewspaper.com/