Nhà nghiên cứu Chetan Raghuprasad của Cisco Talos cho biết: “Các nhóm ransomware TheGhostSec và Stormous đang cùng nhau thực hiện các cuộc tấn công ransomware ở nhiều quốc gia khác nhau”.
“GhostLocker và Stormous đã bắt đầu chương trình ransomware-as-a-service (RaaS) mới có tên STMX_GhostLocker.”
Các cuộc tấn công do nhóm này tiến hành nhắm mục tiêu vào Cuba, Argentina, Ba Lan, Trung Quốc, Lebanon, Israel, Uzbekistan, Ấn Độ, Nam Phi, Brazil, Maroc, Qatar, Turkiye, Ai Cập, Việt Nam, Thái Lan và Indonesia. Một số lĩnh vực bị ảnh hưởng nhiều nhất bao gồm công nghệ, giáo dục, sản xuất, chính phủ, giao thông vận tải, năng lượng, pháp lý y tế, bất động sản và viễn thông.
GhostSec - khác với Ghost Security Group (còn được gọi là GhostSec) - là một phần của nhóm liên minh có tên The Five Families được thành lập vào tháng 8 năm 2023, bao gồm ThreatSec, Stormous, Blackforums và SiegedSec.
Cuối năm ngoái, nhóm tội phạm mạng đã cung cấp dịch vụ ransomware GhostLocker cho các tác nhân đe dọa khác với giá 269,99 USD mỗi tháng. Ngay sau đó, nhóm Stormous đã thông báo rằng họ sẽ sử dụng ransomware này trong các cuộc tấn công của mình.
Phát hiện mới nhất từ Talos cho thấy hai nhóm đã liên kết với nhau để không chỉ tấn công ở nhiều lĩnh vực mà còn tạo ra bản cập nhật của GhostLocker vào tháng 11 năm 2023 cũng như bắt đầu chương trình RaaS mới vào năm 2024 có tên STMX_GhostLocker.
Trang web của STMX_GhostLocker liệt kê ít nhất sáu nạn nhân đến từ Ấn Độ, Uzbekistan, Indonesia, Ba Lan, Thái Lan và Argentina.
GhostLocker 2.0 (GhostLocker V2) được viết bằng Go, để lại thông báo đòi tiền chuộc yêu cầu nạn nhân liên hệ với họ trong vòng bảy ngày nếu không dữ liệu bị đánh cắp của họ bị rò rỉ.
Sau khi được triển khai, ransomware sẽ thiết lập kết nối với máy chủ kiểm soát tấn công và tiến hành mã hóa sau khi dừng các tiến trình hoặc dịch vụ đã xác định và trích xuất các tệp bị nhắm mục tiêu.
Talos cho biết họ cũng phát hiện ra hai công cụ mới có thể được GhostSec sử dụng để xâm phạm các trang web hợp pháp. Một trong số đó là 'Bộ công cụ GhostSec Deep Scan' được dùng để quét các trang web hợp pháp và một công cụ khác dùng để thực hiện các cuộc tấn công XSS được gọi là "GhostPresser".
GhostPresser được thiết kế để nhắm mục tiêu chủ yếu vào các trang web WordPress, cho phép kẻ đe dọa thay đổi cài đặt trang, thêm plugin và người dùng mới, hoặc cài đặt các theme mới.
“Công cụ Deep Scan có thể được dùng để tìm cách xâm phạm mạng mục tiêu và công cụ GhostPresser, ngoài việc xâm phạm các trang web của nạn nhân, có thể được sử dụng để triển khai các payload bổ sung khác.”
Nguồn: thehackernews.com.
Một tổ chức tài chính ở Việt Nam đã bị nhắm mục tiêu bởi một tác nhân đe dọa mới có tên Lotus Bane, được phát hiện lần đầu tiên vào tháng 3 năm 2023.
Tín nhiệm mạng | Hơn 225.000 bản ghi chứa thông tin đăng nhập OpenAI ChatGPT bị xâm phạm đã được rao bán trên thị trường ngầm từ tháng 1 đến tháng 10 năm 2023.
Tín nhiệm mạng | Ủy ban Châu Âu đã phạt Apple 1,8 tỷ euro, tương đương khoảng 1,95 triệu USD, vì lạm dụng sự thống trị thị trường trong việc phân phối ứng dụng phát nhạc trực tuyến cho người dùng iOS thông qua App Store để ngăn các nhà phát triển quảng cáo các dịch vụ rẻ hơn bên ngoài ứng dụng.
Tín nhiệm mạng |Một công cụ lừa đảo mới đã được phát hiện đang mạo danh trang đăng nhập của các dịch vụ tiền điện tử nổi tiếng trong một chiến dịch tấn công có tên CryptoChameleon chủ yếu nhắm mục tiêu vào các thiết bị di động
Tín nhiệm mạng | Nhóm tin tặc khét tiếng Lazarus Group đã khai thác lỗ hổng leo thang đặc quyền mới được vá gần đây trong Windows Kernel dưới dạng zero-day để có được quyền truy cập mức kernel và vô hiệu hóa phần mềm bảo mật trên các máy chủ bị xâm nhập
Tín nhiệm mạng | Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong một plugin WordPress phổ biến có tên Ultimate Member, với hơn 200.000 lượt cài đặt đang hoạt động.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
