Công ty an ninh mạng Adlumin vừa phát hiện một loại ransomware (mã độc tống tiền) có tên Play đang được cung cấp cho những kẻ tấn công dưới dạng dịch vụ. Việc không có bất kỳ sự khác biệt nhỏ nào giữa các cuộc tấn công đã cho thấy rằng chúng đang được thực hiện bởi các đối tượng đã mua Play dưới dạng dịch vụ (ransomware-as-a-service – RaaS) và tiến hành theo từng bước từ các tài liệu hướng dẫn đi kèm.
Phát hiện này dựa trên các cuộc tấn công ransomware Play được Adlumin theo dõi. Chúng trải rộng trong nhiều lĩnh vực khác nhau, kết hợp các chiến thuật gần như giống hệt và theo cùng một trình tự. Điều này bao gồm việc sử dụng thư mục âm nhạc công cộng (C:…\public\music) để ẩn tệp độc hại, sử dụng cùng mật khẩu để tạo tài khoản có đặc quyền cao, và đều dùng chung các câu lệnh.
Mã độc Play, hay còn được gọi là Balloonfly và PlayCrypt, lần đầu tiên xuất hiện vào tháng 6 năm 2022. Nó lợi dụng các lỗ hổng bảo mật trong Microsoft Exchange Server (ProxyNotShell và OWASSRF) để xâm nhập vào mạng và triển khai các công cụ quản lý từ xa như AnyDesk và cuối cùng là ransomware. Ngoài việc sử dụng các công cụ thu thập dữ liệu tùy chỉnh như Grixba để tống tiền kép, một điều đáng chú ý khiến Play khác biệt so với các nhóm ransomware khác là việc những người khai thác phát triển mã độc cũng là người thực hiện các cuộc tấn công. Chính điều này đã đánh dấu sự thay đổi và hoàn tất quá trình chuyển sang hoạt động RaaS, biến nó thành một lựa chọn sinh lời cho các tội phạm mạng.
Theo Adlumin, khi các nhà phát triển RaaS quảng cáo bộ kit ransomware có đầy đủ mọi thứ mà một kẻ tấn công sẽ cần, bao gồm tài liệu, diễn đàn, hỗ trợ kỹ thuật và hỗ trợ đòi tiền chuộc, những “script kiddies” sẽ dễ dàng bị cám dỗ. Và vì có lẽ ngày nay đang dần có nhiều người thích sử dụng các công cụ hoặc chạy các script có sẵn hơn là trở thành một “kẻ tấn công thực sự”, các tổ chức doanh nghiệp và cơ quan chính quyền nên chú ý và sẵn sàng chuẩn bị cho làn sóng sự cố ngày càng gia tăng.
Nguồn: The Hacker News
