Chủ đề

(Không gian mạng) - Một nhóm tin tặc mạnh mẽ được biết với tên gọi Iron Group đang tích cực phát triển một họ mã độc phá hoại mới, giả vờ yêu cầu tiền chuộc, nhưng thực chất là đánh cắp và xóa dữ liệu trên máy nạn nhân trong lúc đang tự phát tán vào mục tiêu tiếp theo.

GettyImages-994132554-Cropped

Iron, còn có tên là Rocke, là một nhóm tin tặc nói tiếng Trung nổi danh trong năm nay qua việc phát tán mã độc tấn công tiền mã hóa nhờ sử dụng một cửa hậu từ mã code rò rỉ của nhóm HackingTeam.

Các chuyên gia từ nhiều hãng bảo mật đã khuyến cáo cần phải theo dõi nhóm Iron, vì chúng liên tục cập nhập và thêm tính năng mới vào mã độc giúp thường xuyên khám phá ra cách tấn công mới.

Ngày 17/08, hãng bảo mật Palo Alto Networks (Mỹ) công bố báo cáo phát hiện, nhóm Iron đã phát triển một họ mã độc mới được gọi là Xbash, có khả năng tự sản sinh và phá hủy dữ liệu của máy nạn nhân.

Những phương thức tấn công trước đây của Iron như mã độc tống tiền và đào tiền ảo, là những cách hiển nhiên để tạo lợi nhuận thường xuyên. Và hiện vẫn chưa rõ tại sao nhóm này lại chuyển hướng sang mã độc phá hoại.

“Chúng tôi đồng ý rằng nó khá kì lạ”, Phó giám đốc tình báo đe dọa mạng (Đơn vị 42) của Palo Alto, Jen Miller-Osborn nói. “Dù không có cách nào để nạn nhân biết được tin tặc không tạo ra bản sao tài liệu của họ để trả lại (như chúng thông báo). Chỉ khi nạn nhân trả tiền chuộc và tin tặc không phục hồi lại dữ liệu cho họ, thì khi đó nạn nhân mới biết là dữ liệu của mình đã thật sự biến mất”.

Mã độc này xâm nhập vào cơ sở dữ liệu trên máy nạn nhân, xóa sạch gần như mọi thứ, tạo ra một cơ sở dữ liệu mới dưới tên “PLEASE_READ_ME_XYZ” và gửi một tin nhắn yêu cầu 0.02 BTC tiền chuộc để phục hồi lại dữ liệu đã bị xóa. Tuy nhiên, các nhà nghiên cứu cho biết, không có chứng cứ nào cho thấy tin tặc thật sự sẽ trả lại dữ liệu, hay bằng chứng về việc mã độc thậm chí còn có khả năng khôi phục lại dữ liệu đã xóa.

Các chuyên gia mô tả Xbash như “một sự kết hợp giữa botnet và mã độc tống tiền”, nhắm mục tiêu “tìm ra những dịch vụ thiếu bảo mật, xóa cơ sở dữ liệu MySQL, PostgreSQL và MongoDB trên máy nạn nhân, và đòi tiền chuộc bằng đồng Bitcoin. Xbash sử dụng 3 lỗ hổng đã biết trên Hadoop, Redis và ActiveMQ để tự sinh sản hoặc lây nhiễm hệ thống Windows.

Một vài chức năng, bao gồm khả năng dò quét máy chủ dễ tổn thương bên trong một mạng cục bộ của doanh nghiệp, hiện vẫn còn chưa kích hoạt.

Tính tới thời điểm hiện tại, đã có 48 giao dịch trả tiền chuộc được thực hiện, với giá trị 0,964 BTC, tương đương 6.000 USD.

Lâm Quang Dũng (Lược dịch từ: Cyberscoop)

Thích và chia sẻ bài này trên:
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]