Khuyến cáo bảo mật từ FBI để ứng phó với mã độc LockerGoga và MegaCortex

LockerGoga và MegaCortex hiện đang là 2 trong số trong các chủng mã độc tống tiền (ransomware) gây thiệt hại lớn nhất năm 2019 với hàng loạt các chiến dịch tấn công quy mô lớn trên toàn thế giới, gây thiệt hại hàng chục triệu USD. 2 chủng mã độc này thường có xu hướng được sử dụng bởi các tổ chức tội phạm mạng chuyên nghiệp, nhắm mục tiêu chủ yếu đến doanh nghiệp - đối tượng giúp chúng thu về nhiều tiền chuộc hơn.

Mã độc tống tiền

Trước thực trạng trên, Cục Điều tra Liên bang Mỹ (FBI) mới đây đã ban hành một "FBI Flash Alert" trong đó cảnh báo về mối đe dọa đến từ LockerGoga, MegaCortex và cách thức chúng vận hành, cụ thể như sau:

  • LockerGoga và MegaCortex được lây lan chủ yếu qua các phương thức khai thác lỗ hổng bảo mật hệ thống, tấn công lừa đảo, tiêm SQL và sử dụng thông tin đăng nhập bị đánh cắp.
  • Khi thâm nhập thành công vào một hệ thống, các tác nhân độc hại sẽ cài đặt công cụ kiểm tra thâm nhập có tên Cobalt Strike. Công cụ này cho phép chúng thực thi các tập lệnh PowerShell, tiến hành leo thang đặc quyền hoặc tạo ra những công cụ gián điệp trên hệ thống nạn nhân.
  • Những kẻ tấn công sẽ “cắm chốt” trong hệ thống nạn nhân một thời gian dài cho đến khi nắm được đặc điểm cụ thể của hệ thống, sau đó chúng mới triển khai ransomware.
  • Trong quá trình triển khai ransomware, trước tiên kẻ tấn công sẽ kiểm tra các quy trình và dịch vụ liên quan đến hệ thống bảo mật. Nếu tìm thấy bất kỳ công cụ, chương trình bảo mật nào trên hệ thống nạn nhân, chúng sẽ tìm cách vô hiệu hóa hoàn toàn.
  • Cả 2 trường hợp lây nhiễm ransomware này đều sử dụng thuật toán mã hóa an toàn, do đó nạn nhân sẽ gần như không thể giải mã chúng miễn phí.

Khuyến cáo từ phía FBI

Dưới đây là các quy trình hướng dẫn được FBI khuyến nghị để giảm thiểu rủi ro gây ra bởi LockerGoga và MegaCortex:

  • Đảm bảo rằng tất cả các phần mềm và hệ điều hành của mọi thiết bị trong hệ thống đã được cập nhật lên phiên bản mới nhất.
  • Áp dụng các phương thức xác thực bổ sung và mật khẩu mạnh để chặn các cuộc tấn công lừa đảo, đánh cắp thông tin đăng nhập cũng như các hành vi lừa đảo khác.
  • Giám sát tất cả các máy chủ từ xa nhằm ngăn chặn việc kẻ tấn công có thể truy cập vào hệ thống mạng nội bộ.
  • Quét các cổng mở trên hệ thống mạng, sẵn sàng ngắt quyền truy cập khi cần thiết.
  • Vô hiệu hóa SMBv1 vì có nhiều lỗ hổng và điểm yếu tồn tại trong giao thức này.
Chủ Nhật, 29/12/2019 10:22
31 👨 283
0 Bình luận
Sắp xếp theo