Các nhà nghiên cứu phát hiện ra rằng các cuộc tấn công ransomware nhắm vào các cơ sở hạ tầng VMware ESXi đều tuân theo một mô hình cụ thể bất kể loại mã độc mã hóa tệp nào được triển khai.
Công ty an ninh mạng Sygnia cho biết: “Nền tảng ảo hóa là thành phần cốt lõi của cơ sở hạ tầng CNTT của tổ chức, tuy nhiên chúng thường mắc phải các lỗ hổng vốn có từ lâu và các lỗi cấu hình sai, khiến chúng trở thành mục tiêu ưa thích của các tác nhân đe dọa”.
Thông qua các nỗ lực ứng phó sự cố liên quan đến nhiều loại ransomware khác nhau như LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat và Cheerscrypt, Sygnia nhận thấy rằng các cuộc tấn công vào môi trường ảo hóa đều tuân theo một chuỗi hành động tương tự, bao gồm các bước sau:
- Giành quyền truy cập ban đầu thông qua các cuộc tấn công lừa đảo, tải xuống tệp độc hại và khai thác các lỗ hổng đã biết trong các thiết bị, ứng dụng có kết nối Internet;
- Leo thang quyền để có được thông tin xác thực cho máy chủ ESXi hoặc vCenter thông qua tấn công brute-force hoặc các phương pháp khác;
- Xác thực quyền truy cập vào cơ sở hạ tầng ảo hóa và triển khai ransomware;
- Xóa hoặc mã hóa hệ thống sao lưu hoặc thay đổi mật khẩu trong một số trường hợp để gây khó khăn cho việc khôi phục;
- Trích xuất dữ liệu sang các kho lưu trữ bên ngoài như Mega.io, Dropbox hoặc dịch vụ lưu trữ của riêng họ;
- Thực thi ransomware để mã hóa thư mục "/vmfs/volumes" của hệ thống tệp ESXi;
- Lây lan ransomware sang các máy chủ và máy trạm vật lý để mở rộng phạm vi tấn công.
Để giảm thiểu rủi ro do các mối đe dọa như vậy gây ra, các tổ chức nên đảm bảo giám sát và ghi log đầy đủ, áp dụng cơ chế sao lưu mạnh mẽ, các biện pháp xác thực mạnh và gia cố môi trường cũng như thực hiện các giới hạn truy cập để ngăn chặn lây lan tấn công trong mạng.
Sự phát triển này diễn ra khi công ty an ninh mạng Rapid7 cảnh báo về một chiến dịch đang diễn ra kể từ đầu tháng 3 năm 2024, sử dụng quảng cáo độc hại trên các công cụ tìm kiếm phổ biến để phát tán phần mềm độc hại trojan cho WinSCP và PuTTY với mục đích cuối cùng là triển khai ransomware.
Nguồn: thehackernews.com.
Một cuộc kiểm tra bảo mật mở rộng đối với QNAP QTS, hệ điều hành dành cho các sản phẩm NAS của công ty, đã phát hiện 15 lỗ hổng với các mức độ nghiêm trọng khác nhau, 11 lỗ hổng trong số này vẫn chưa được vá.
Tín nhiệm mạng | Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong thư viện (package) Python llama_cpp_python có thể bị các tác nhân đe dọa khai thác để thực thi mã tùy ý
Tín nhiệm mạng | GitHub đã triển khai các bản vá bảo mật để giải quyết một lỗ hổng có độ nghiêm trọng tối đa trong GitHub Enterprise Server (GHES) có thể cho phép kẻ tấn công vượt qua các biện pháp bảo vệ xác thực.
Một lỗ hổng nghiêm trọng của Fluent Bit có thể bị khai thác trong các cuộc tấn công từ chối dịch vụ và thực thi mã từ xa, ảnh hưởng đến tất cả các nhà cung cấp dịch vụ cloud lớn và nhiều công ty công nghệ lớn.
Các tác nhân đe dọa đứng sau trojan ngân hàng Grandoreiro đã quay trở lại trong một chiến dịch toàn cầu bắt đầu từ tháng 3 năm 2024 sau khi bị cơ quan thực thi pháp luật triệt phá vào tháng 1.
Thứ Năm vừa qua, cơ quan An ninh cơ sở hạ tầng và an ninh mạng Mỹ (CISA) đã bổ sung hai lỗ hổng bảo mật ảnh hưởng đến bộ định tuyến D-Link vào danh mục Các lỗ hổng bị khai thác đã biết (KEV).
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
