Microsoft: Hơn 100 tác nhân đe dọa triển khai ransomware trong các cuộc tấn công

Hôm nay, Microsoft tiết lộ rằng các nhóm bảo mật của họ đang theo dõi hơn 100 tác nhân đe dọa triển khai phần mềm tống tiền trong các cuộc tấn công. Nói chung, công ty cho biết họ giám sát hơn 50 họ ransomware độc ​​đáo được sử dụng tích cực cho đến cuối năm ngoái.

"Một số tải trọng ransomware nổi bật nhất trong các chiến dịch gần đây bao gồm Lockbit Black, BlackCat (còn gọi là ALPHV), Play, Vice Society, Black Basta và Royal," Microsoft  cho biết .

“Tuy nhiên, các chiến lược phòng thủ nên tập trung ít hơn vào tải trọng mà tập trung nhiều hơn vào chuỗi hoạt động dẫn đến việc triển khai chúng”, vì các nhóm ransomware vẫn đang nhắm mục tiêu vào các máy chủ và thiết bị chưa được vá các lỗ hổng phổ biến hoặc được xử lý gần đây.

Hơn nữa, trong khi các dòng ransomware mới ra mắt mọi lúc, hầu hết các tác nhân đe dọa sử dụng cùng một chiến thuật khi vi phạm và lây lan qua mạng, khiến nỗ lực phát hiện hành vi đó thậm chí còn hữu ích hơn trong việc ngăn chặn các cuộc tấn công của chúng.

Như Redmond đã thêm, những kẻ tấn công ngày càng dựa vào các chiến thuật ngoài lừa đảo để thực hiện các cuộc tấn công của chúng, với các tác nhân đe dọa, chẳng hạn như DEV-0671 và DEV-0882, lợi dụng các lỗ hổng Exchange Server được vá gần đây để tấn công các máy chủ dễ bị tấn công và triển khai phần mềm tống tiền Cuba và Play.

Tuần trước, nhóm Exchange đã  kêu gọi quản trị viên  triển khai Bản cập nhật tích lũy (CU) được hỗ trợ mới nhất để bảo mật các máy chủ Exchange tại chỗ và luôn sẵn sàng cài đặt bản cập nhật bảo mật khẩn cấp.

Hơn 60.000 máy chủ Exchange tiếp xúc với Internet  vẫn dễ bị tấn công bằng  cách khai thác ProxyNotShell RCE. Đồng thời,  hàng nghìn người  vẫn đang chờ để được bảo vệ khỏi các cuộc tấn công nhắm vào lỗ hổng ProxyShell và ProxyLogon, hai trong số  những lỗ hổng bảo mật bị khai thác nhiều nhất trong năm 2021 .

Các tác nhân ransomware khác cũng đang chuyển sang hoặc sử dụng quảng cáo độc hại để cung cấp trình tải và trình tải xuống phần mềm độc hại giúp đẩy ransomware và nhiều chủng phần mềm độc hại khác, chẳng hạn như kẻ đánh cắp thông tin.

Chẳng hạn, một tác nhân đe dọa được theo dõi là DEV-0569, được cho là kẻ môi giới truy cập ban đầu cho các băng đảng tống tiền, hiện đang lạm dụng Google Ads trong các chiến dịch quảng cáo rộng rãi để phân phối phần mềm độc hại, đánh cắp mật khẩu từ các thiết bị bị nhiễm và cuối cùng giành quyền truy cập vào mạng doanh nghiệp.

Họ sử dụng quyền truy cập này như một phần trong các cuộc tấn công của mình hoặc bán nó cho các tác nhân độc hại khác, bao gồm cả băng đảng tống tiền Hoàng gia.

Năm ngoái được đánh dấu bằng sự kết thúc của hoạt động tội phạm mạng Conti và sự gia tăng của các hoạt động ransomware-as-a-service (Raas) mới, bao gồm Royal, Play và BlackBasta.

Trong khi đó, những kẻ điều hành mã độc tống tiền LockBit, Hive, Cuba, BlackCat và Ragnar vẫn tiếp tục vi phạm và cố gắng tống tiền một lượng nạn nhân ổn định trong suốt năm 2022.

Tuy nhiên, các băng nhóm ransomware đã chứng kiến  ​​​​sự sụt giảm doanh thu lớn khoảng 40%  vào năm ngoái vì chúng chỉ có thể tống tiền khoảng 456,8 triệu đô la từ các nạn nhân trong suốt năm 2022, sau khi phá kỷ lục 765 triệu đô la trong hai năm trước đó, theo công ty phân tích chuỗi khối Chainalysis.

Tuy nhiên, sự suy giảm đáng kể này không phải do ít cuộc tấn công hơn mà do nạn nhân của họ từ chối trả tiền chuộc cho những kẻ tấn công.

Năm nay đã bắt đầu với một  chiến thắng lớn trước các nhóm ransomware  sau vụ rò rỉ dữ liệu ransomware Hive và các trang web đen thanh toán Tor đã bị tịch thu như một phần của hoạt động thực thi pháp luật quốc tế liên quan đến Bộ Tư pháp Hoa Kỳ, FBI, Sở Mật vụ và Europol.

Sau khi xâm nhập vào các máy chủ của Hive, FBI đã phân phát hơn 1.300 khóa giải mã cho các nạn nhân của Hive và có quyền truy cập vào hồ sơ liên lạc của Hive, mã băm tệp phần mềm độc hại và thông tin chi tiết về 250 chi nhánh của Hive. 

Cùng ngày, Bộ Ngoại giao Hoa Kỳ  treo thưởng tới 10 triệu đô la  cho bất kỳ thông tin nào có thể giúp liên kết băng nhóm ransomware Hive (hoặc các tác nhân đe dọa khác) với các chính phủ nước ngoài.

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.