Các tác nhân đe dọa đằng sau Venus Ransomware đang tấn công vào các dịch vụ truy cập máy tính từ xa (Remote Desktop service) có thể truy cập công khai để mã hóa các thiết bị Windows.
Venus Ransomware được cho là đã bắt đầu hoạt động vào khoảng giữa tháng 8 năm 2022. Trước đó, từ năm 2021, một ransomware khác cũng đã sử dụng cùng phần mở rộng cho tệp mã hóa với nó nhưng chưa xác định được liệu chúng có liên quan với nhau hay không.
Sau khi liên hệ với nhóm bảo mật MalwareHunterTeam để tìm kiếm thông tin về ransomwarwe, nhà nghiên cứu Linuxct cho biết các tác nhân đe dọa đã giành được quyền truy cập vào mạng công ty của nạn nhân thông qua giao thức Windows Remote Desktop (RDP).
Một nạn nhân khác cũng báo cáo rằng tin tặc đã sử dụng RDP để truy cập vào mạng của họ ngay cả khi họ đang sử dụng số cổng (port) không theo mặc định (non-standard) cho dịch vụ.
Cách Venus mã hóa các thiết bị Windows
Khi được thực thi, Venus ransomware sẽ cố gắng chấm dứt 39 tiến trình được liên kết với máy chủ cơ sở dữ liệu và các ứng dụng Microsoft Office.
Nó cũng sẽ xóa event logs, Shadow Copy Volumes và vô hiệu hóa biện pháp ngăn chặn thực thi dữ liệu (Data Execution Prevention).
Tệp dữ liệu sau khi bị mã hóa sẽ được thêm phần mở rộng “.venus”. Ví dụ: một tệp có tên test.jpg bị mã hóa sẽ đổi tên thành test.jpg.venus.
Trong mỗi tệp được mã hóa, ransomware sẽ thêm một đánh dấu tệp 'goodgamer' và các thông tin khác vào cuối tệp. Hiện vẫn chưa rõ thông tin bổ sung này là gì.
Phần mềm ransomware sẽ tạo một thông báo đòi tiền chuộc trong thư mục %Temp%. Thông báo này sẽ tự động được hiển thị sau khi phần mềm ransomware hoàn tất quá trình mã hóa thiết bị.
Thông báo đồi tiền chuộc của nhóm Venus
Thông báo đòi tiền chuộc có chứa thông tin địa chỉ TOX và địa chỉ email để nạn nhân có thể liên hệ với kẻ tấn công để thương lượng thanh toán tiền chuộc.
Tại thời điểm này, Venus ransomware đang hoạt động khá mạnh, các báo cáo mới về nó vẫn đang được báo cáo lên ID Ransomware hàng ngày.
Venus dường như đang nhắm mục tiêu đến các dịch vụ Remote Desktop công khai, ngay cả những dịch vụ này chạy trên các cổng non-standard. Vì vậy, điều tốt nhất là bạn không nên để các dịch vụ Remote Desktop công khai trên mạng mà chỉ cho phép truy cập được thông qua VPN. Nếu bắt buộc phải để công khai, hãy đặt các dịch vụ này ‘phía sau tường lửa (firewall)’ để bảo vệ các thiết bị của bạn.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Thông tin chi tiết về một lỗ hổng bảo mật trong hệ thống Windows Common Log File (CLFS) đã được các nhà nghiên cứu tiết lộ công khai. Lỗ hổng, hiện đã được vá, có thể bị kẻ tấn công khai thác để leo thang quyền trên các máy bị xâm nhập.
Tín nhiệm mạng | Mới đây, công ty bảo mật ThreatFnai cho biết tin tặc đang sử dụng các chiến thuật lừa đảo bằng giọng nói (vishing) để lừa nạn nhân cài đặt phần mềm Android độc hại trên thiết bị của họ.
Tín nhiệm mạng | Tình trạng gọi điện mạo danh Công ty Điện lực thông báo nợ tiền điện nhằm mục đích lừa đảo khách hàng đang diễn ra ngày càng nhiều. Trong trường hợp nghi ngờ cuộc gọi giả mạo Công ty Điện lực, người dùng chỉ cần truy cập vào Danh bạ tín nhiệm trên https://tinnhiemmang.vn là xác thực được số điện thoại đang liên hệ với mình có phải của các đơn vị thuộc EVN hay không.
Tín nhiệm mạng | Thời gian qua, rất nhiều người dân trên cả nước đã nhận được các cuộc gọi mạo danh cơ quan cảnh sát giao thông để thông báo về việc xử lý phạt nguội vi phạm Luật giao thông.
Tín nhiệm mạng | Bản cập nhật Patch Tuesday tháng 10 của Microsoft đã giải quyết tổng cộng 85 lỗ hổng bảo mật, bao gồm các bản vá cho lỗ hổng zero-day đã bị khai thác trong thực tế.
Tín nhiệm mạng | Tuần trước, Microsoft đã thực hiện các cải tiến đối với các phương pháp giảm thiểu giúp ngăn chặn các hành động khai thác nhằm vào hai lỗ hổng bảo mật chưa được vá trong máy chủ Exchange.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
