Kể từ tháng 4, hàng triệu email lừa đảo đã được gửi qua mạng botnet Phorpiex để thực hiện chiến dịch ransomware LockBit Black quy mô lớn.
Như Cơ quan tích hợp truyền thông và an ninh mạng (NJCCIC) của New Jersey đã cảnh báo vào, những kẻ tấn công đã sử dụng tệp đính kèm ZIP chứa tệp thực thi để triển khai phần mềm độc hại LockBit Black dùng để mã hóa hệ thống của nạn nhân.
Phần mềm mã hóa LockBit Black được triển khai trong các cuộc tấn công này có khả năng được phát triển dựa trên LockBit 3.0 bị rò rỉ trên Twitter vào tháng 9 năm 2022. Tuy nhiên, các nhà nghiên cứu cho rằng chiến dịch này không có bất kỳ liên kết nào với hoạt động của ransomware LockBit.
Những email lừa đảo có tiêu đề "tài liệu của bạn" và "ảnh của bạn???" được gửi bằng tài khoản có tên "Jenny Brown" hoặc "Jenny Green" từ hơn 1.500 địa chỉ IP khác nhau trên toàn thế giới, bao gồm Kazakhstan, Uzbekistan, Iran, Nga và Trung Quốc.
Chuỗi tấn công bắt đầu khi người nhận mở tệp đính kèm ZIP độc hại và khỏi chạy tệp thực thi bên trong.
Sau đó, tệp thực thi này tải xuống phần mềm ransomware LockBit Black từ cơ sở hạ tầng của mạng botnet Phorphiex và thực thi nó trên hệ thống của nạn nhân. Sau khi khởi chạy, nó sẽ cố gắng đánh cắp dữ liệu nhạy cảm, dừng các dịch vụ và mã hóa các tập tin.
Proofpoint, công ty bảo mật đã điều tra các cuộc tấn công kiểu spray-and-pray attack này kể từ ngày 24 tháng 4, cho biết rằng các tác nhân đe dọa đang nhắm vào các công ty thuộc nhiều lĩnh vực khác nhau trên toàn thế giới.
Mặc dù cách tiếp cận này không mới, nhưng số lượng lớn email được gửi để phát tán payload (tệp/phần mềm) độc hại và phần mềm ransomware khiến nó trở nên đáng chú ý.
Các nhà nghiên cứu bảo mật của Proofpoint cho biết: “Bắt đầu từ ngày 24 tháng 4 năm 2024 và kéo dài khoảng một tuần, Proofpoint đã quan sát các chiến dịch có quy mô lớn với hàng triệu tin nhắn được gửi từ mạng botnet Phorpiex và phát tán ransomware LockBit Black”.
“Đây là lần đầu tiên Proofpoint phát hiện các mẫu ransomware LockBit Black (còn được gọi là LockBit 3.0) được phân phối qua Phorphiex với số lượng lớn như vậy.”
Thông báo đòi tiền chuộc LockBit Black (BleepingComputer)
Botnet Phorpiex (hay Trik) đã hoạt động được hơn một thập kỷ. Nó đã được dùng để gửi hàng triệu email tống tiền (gửi hơn 30.000 email mỗi giờ) và gần đây, nó đã sử dụng mô-đun clipboard hijacker để thay thế các địa chỉ ví tiền điện tử được sao chép vào bộ nhớ tạm (clipboard) của Windows bằng các địa chỉ do kẻ tấn công kiểm soát.
Trong vòng một năm sau khi bổ sung tính năng crypto-clipping, những kẻ đứng sau Phorpiex đã chiếm đoạt 969 giao dịch và đánh cắp 3,64 Bitcoin (172.300 USD), 55,87 Ether (216.000 USD) và các ERC20 token trị giá 55.000 USD.
Để phòng thủ trước các cuộc tấn công lừa đảo phát tán ransomware, NJCCIC khuyến nghị triển khai các chiến lược giảm thiểu rủi ro ransomware và sử dụng các giải pháp bảo mật thiết bị cuối cũng như giải pháp lọc email (như bộ lọc thư rác) để chặn các thư độc hại tiềm ẩn.
Nguồn: bleepingcomputer.com.
Một nhóm tin tặc đã sở hữu quyền truy cập vào số lượng lớn thông tin của bệnh nhân và đội ngũ nhân viên tại bệnh viện NHS Dumfries & Galloway (nay thuộc Scotland, Anh) sau một cuộc tấn công mạng vào thời điểm đầu tháng 3.
Mới đây, tại Kerala (Ấn Độ), một bác sĩ 53 tuổi đã bị lừa mất 34 triệu rupee (~10 tỷ 4 VNĐ) thông qua hình thức giao dịch chứng khoán trực tuyến.
Tín nhiệm mạng | CISA và FBI tiết lộ rằng băng đảng ransomware Black Basta đã xâm phạm hơn 500 tổ chức trong khoảng thời gian từ tháng 4 năm 2022 đến tháng 5 năm 2024.
Ngày 9/5, Công an tỉnh Thái Nguyên cho biết, Cơ quan Cảnh sát điều tra Công an tỉnh vừa khởi tố đối với 8 đối tượng về tội "Cưỡng đoạt tài sản", với thủ đoạn mượn danh, mạo danh cộng tác viên, phóng viên của một số báo, tạp chí để đe dọa người khác chiếm đoạt tài sản.
Công an quận Hà Đông, thành phố Hà Nội đang điều tra, xác minh vụ giả danh cán bộ Công an, lừa đảo chiếm đoạt tài sản với số tiền 15 tỷ đồng.
Tín nhiệm mạng | F5 đã vá hai lỗ hổng có độ nghiêm trọng mức cao trong BIG-IP Next Central Manager có thể bị khai thác để giành quyền kiểm soát của quản trị viên và lén lút tạo tài khoản trên bất kỳ thiết bị nào được quản lý.