🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Venus Ransomware đang nhắm mục tiêu vào các dịch vụ Remote Desktop công khai

18/10/2022

Các tác nhân đe dọa đằng sau Venus Ransomware đang tấn công vào các dịch vụ truy cập máy tính từ xa (Remote Desktop service) có thể truy cập công khai để mã hóa các thiết bị Windows.

Venus Ransomware được cho là đã bắt đầu hoạt động vào khoảng giữa tháng 8 năm 2022. Trước đó, từ năm 2021, một ransomware khác cũng đã sử dụng cùng phần mở rộng cho tệp mã hóa với nó nhưng chưa xác định được liệu chúng có liên quan với nhau hay không.

Sau khi liên hệ với nhóm bảo mật MalwareHunterTeam để tìm kiếm thông tin về ransomwarwe, nhà nghiên cứu Linuxct cho biết các tác nhân đe dọa đã giành được quyền truy cập vào mạng công ty của nạn nhân thông qua giao thức Windows Remote Desktop (RDP).

Một nạn nhân khác cũng báo cáo rằng tin tặc đã sử dụng RDP để truy cập vào mạng của họ ngay cả khi họ đang sử dụng số cổng (port) không theo mặc định (non-standard) cho dịch vụ.

Cách Venus mã hóa các thiết bị Windows

Khi được thực thi, Venus ransomware sẽ cố gắng chấm dứt 39 tiến trình được liên kết với máy chủ cơ sở dữ liệu và các ứng dụng Microsoft Office.

Nó cũng sẽ xóa event logs, Shadow Copy Volumes và vô hiệu hóa biện pháp ngăn chặn thực thi dữ liệu (Data Execution Prevention).

Tệp dữ liệu sau khi bị mã hóa sẽ được thêm phần mở rộng “.venus”. Ví dụ: một tệp có tên test.jpg bị mã hóa sẽ đổi tên thành test.jpg.venus.

Trong mỗi tệp được mã hóa, ransomware sẽ thêm một đánh dấu tệp 'goodgamer' và các thông tin khác vào cuối tệp. Hiện vẫn chưa rõ thông tin bổ sung này là gì.

Phần mềm ransomware sẽ tạo một thông báo đòi tiền chuộc trong thư mục %Temp%. Thông báo này sẽ tự động được hiển thị sau khi phần mềm ransomware hoàn tất quá trình mã hóa thiết bị.

Thông báo đồi tiền chuộc của nhóm Venus

Thông báo đòi tiền chuộc có chứa thông tin địa chỉ TOX và địa chỉ email để nạn nhân có thể liên hệ với kẻ tấn công để thương lượng thanh toán tiền chuộc.

Tại thời điểm này, Venus ransomware đang hoạt động khá mạnh, các báo cáo mới về nó vẫn đang được báo cáo lên ID Ransomware hàng ngày.

Venus dường như đang nhắm mục tiêu đến các dịch vụ Remote Desktop công khai, ngay cả những dịch vụ này chạy trên các cổng non-standard. Vì vậy, điều tốt nhất là bạn không nên để các dịch vụ Remote Desktop công khai trên mạng mà chỉ cho phép truy cập được thông qua VPN. Nếu bắt buộc phải để công khai, hãy đặt các dịch vụ này ‘phía sau tường lửa (firewall)’ để bảo vệ các thiết bị của bạn.

Nguồn: bleepingcomputer.com.

 
scrolltop