Gần đây, các nhóm tội phạm mạng đã tích cực khai thác lỗ hổng bảo mật trong Veeam Backup & Replication (VBR), được xác định là CVE-2024-40711, để triển khai Akira và Fog ransomware. Lỗ hổng này đã được Veeam vá vào đầu tháng 9 năm 2024, có điểm số CVSS lên đến 9.8, cho phép thực thi mã từ xa không xác thực.
Chuyên gia bảo mật Florian Hauser từ CODE WHITE, cho biết rằng kẻ tấn công thường bắt đầu bằng cách truy cập thông qua các cổng VPN dễ bị xâm phạm mà không có xác thực đa yếu tố, lợi dụng thông tin đăng nhập VPN bị xâm phạm để tạo tài khoản cục bộ và triển khai phần mềm tống tiền ransomware.
Trong một số trường hợp, Fog ransomware đã được phát tán vào các máy chủ Hyper-V không được bảo vệ, trong khi kẻ tấn công sử dụng rclone để đánh cắp dữ liệu.
CVE-2024-40711, được đánh giá 9,8 trên 10,0 theo thang điểm CVSS, đề cập đến lỗ hổng nghiêm trọng cho phép thực thi mã từ xa không xác thực. Veeam đã giải quyết lỗi này trong bản cập nhật Backup & Replication phiên bản 12.2 vào đầu tháng 9 năm 2024.
watchTowr Labs đã công bố một bản phân tích kỹ thuật vào ngày 9 tháng 9. Tuy nhiên, họ đã quyết định hoãn việc công bố mã khai thác cho đến ngày 15 tháng 9. Điều này được thực hiện để các quản trị viên có đủ thời gian bảo vệ máy chủ của họ.
Sự chậm trễ này là do các doanh nghiệp đang sử dụng phần mềm Veeam Backup & Replication (VBR) để bảo vệ dữ liệu và phục hồi sau cuộc tấn công. Phần mềm này giúp sao lưu, khôi phục và sao chép dữ liệu trên các thiết bị. Điều này khiến VBR trở thành mục tiêu hấp dẫn cho những kẻ tấn công muốn truy cập nhanh vào dữ liệu sao lưu của công ty.
Sophos cho biết: “Trong mỗi trường hợp, kẻ tấn công ban đầu truy cập mục tiêu bằng cách sử dụng các cổng VPN bị xâm phạm mà không bật xác thực đa yếu tố. Một số VPN này đang chạy các phiên bản phần mềm không được hỗ trợ.”
Kẻ tấn công khai thác Veeam trên URI /trigger trên cổng 8000, kích hoạt Veeam.Backup.MountService.exe để tạo ra net.exe. Khai thác này tạo ra một tài khoản cục bộ, “point”, thêm nó vào nhóm Quản trị viên cục bộ và Người dùng máy tính từ xa.
Trong một trường hợp, kẻ tấn công đã phát tán Fog ransomware, trong khi một cuộc tấn công khác diễn ra trong cùng thời gian đã cố gắng triển khai Akira ransomware. Sophos X-Ops cho biết rằng các chỉ số trong cả bốn trường hợp đều trùng lặp với các cuộc tấn công trước đó liên quan đến Akira và Fog ransomware.
Trong cuộc tấn công dẫn đến việc triển khai ransomware Fog, những kẻ đe dọa được cho là đã phát tán ransomware vào một máy chủ Hyper-V không được bảo vệ, trong khi sử dụng rclone để đánh cắp dữ liệu.
Không phải là lỗ hổng đầu tiên của Veeam bị nhắm mục tiêu trong các cuộc tấn công ransomware. Năm ngoái, vào ngày 7 tháng 3 năm 2023, Veeam cũng đã vá một lỗ hổng nghiêm trọng trong phần mềm Sao lưu & Sao chép (CVE-2023-27532) có thể bị khai thác để xâm phạm các máy chủ hạ tầng sao lưu.
Vài tuần sau đó, vào cuối tháng 3, công ty an ninh mạng WithSecure từ Phần Lan phát hiện ra lỗ hổng CVE-2023-27532. Lỗ hổng này đã được nhóm tội phạm FIN7, nổi tiếng với các hoạt động ransomware như Conti, REvil, Maze, Egregor và BlackBasta, khai thác trong các cuộc tấn công động cơ tài chính.
Nhiều tháng sau đó, lỗ hổng tương tự trong phần mềm Veeam Backup & Replication (VBR) cũng đã bị sử dụng trong các cuộc tấn công ransomware của nhóm Cuba, nhắm vào cơ sở hạ tầng quan trọng của Hoa Kỳ và các công ty công nghệ thông tin tại Mỹ Latinh.
Veeam cho biết sản phẩm của họ đang được hơn 550.000 khách hàng trên toàn thế giới sử dụng, trong đó có ít nhất 74% trong tổng số 2.000 công ty lớn toàn cầu.
Cảnh báo trước nguy cơ gia tăng Ransomware
Việc khai thác lỗ hổng CVE-2024-40711 đã khiến NHS England đưa ra cảnh báo rằng các ứng dụng sao lưu và phục hồi dữ liệu của doanh nghiệp đang trở thành mục tiêu hấp dẫn cho các nhóm tội phạm mạng.
Cảnh báo này được đưa ra trong bối cảnh Unit 42 của Palo Alto Networks thông báo về phần mềm ransomware mới có tên Lynx, đã hoạt động từ tháng 7 năm 2024 và nhắm tới các tổ chức trong lĩnh vực bán lẻ, bất động sản, kiến trúc, tài chính và dịch vụ môi trường tại Hoa Kỳ và Vương quốc Anh.
Lynx được cho là phát triển từ mã nguồn của ransomware INC, đã được bán trên thị trường tội phạm ngầm vào đầu tháng 3 năm 2024. Theo Unit 42, Lynx ransomware chia sẻ nhiều mã nguồn với INC ransomware, loại ransomware này lần đầu xuất hiện vào tháng 8 năm 2023 và có các phiên bản tương thích với cả Windows và Linux.
Thông báo này cũng đi kèm với cảnh báo từ Trung tâm điều phối an ninh mạng ngành y tế (HC3) thuộc Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ. Họ cho biết ít nhất một tổ chức chăm sóc sức khỏe trong nước đã bị tấn công bởi Trinity ransomware, một loại ransomware mới xuất hiện lần đầu vào tháng 5 năm 2024. Trinity được cho là phiên bản đổi tên của các phần mềm độc hại 2023Lock và Venus ransomware.
HC3 giải thích rằng Trinity ransomware xâm nhập vào hệ thống thông qua nhiều phương thức tấn công, như email lừa đảo, trang web độc hại và khai thác lỗ hổng phần mềm. Sau khi xâm nhập, Trinity ransomware áp dụng chiến lược tống tiền kép để nhắm đến nạn nhân.
Ngoài ra, một nhóm tin tặc hoạt động từ tháng 10 năm 2022 đã phát hiện ra một biến thể ransomware khác có tên BabyLockerKZ, thuộc MedusaLocker, và chủ yếu nhắm vào các nước EU và Nam Mỹ.
Các nhà nghiên cứu Talos cho biết kẻ tấn công này sử dụng một số công cụ tấn công công khai và các tệp nhị phân (LoLBins). Những công cụ này được phát triển bởi cùng một tác nhân đe dọa, có thể là kẻ tấn công, nhằm giúp lấy cắp thông tin đăng nhập và thực hiện di chuyển trong các tổ chức đã bị xâm nhập.
Những công cụ này chủ yếu được thiết kế để làm việc cùng với các công cụ có sẵn công khai, bổ sung thêm các chức năng giúp quy trình tấn công trở nên dễ dàng hơn.
Doanh nghiệp cần làm gì để ứng phó trước Ransomware
Trong thời đại công nghệ số, các mối đe dọa an ninh mạng ngày càng gia tăng và phức tạp, liên tiếp các cuộc tấn công mạng xảy ra nhưng việc xử lý chưa triệt để như mong muốn, thậm chí còn mang lại những kết quả không tốt trong quá trình xử lý.
Để có thể ứng phó hiệu quả khi tấn công mã độc ransomware xảy ra, đầu tiên doanh nghiệp cần hiểu đủ và đúng về ransomware và những kỹ năng điều tra, xử lý sự cố An toàn thông tin nhanh chóng và hiệu quả. Đây là tiền đề vững chắc giúp doanh nghiệp tối ưu cách ngăn chặn các cuộc tấn công này.
Theo đó Chính phủ Anh và Singapore đã công bố một tài liệu hướng dẫn ứng phó Ransomware nhằm giúp nạn nhân ứng phó với các cuộc tấn công ransomware và hạn chế hậu quả thiệt hại xảy ra.
Theo khuyến cáo, nạn nhân nên báo cáo các cuộc tấn công hay bất kỳ yêu cầu hoặc khoản thanh toán tiền chuộc nào cho các cơ quan chức năng liên quan để xử lý. Quyết định trả tiền chuộc chỉ được đưa ra khi nạn nhân đảm bảo rằng việc này có thể khôi phục dữ liệu hoặc hệ thống, đặc biệt khi thiệt hại lớn hơn số tiền chuộc và sau khi đã tham khảo ý kiến từ các chuyên gia cố vấn.
Các chuyên gia khuyến cáo khi bị tấn công, bên cạnh tìm cách khôi phục lại hệ thống, cần phải bảo vệ chứng cứ, xác minh điều tra yếu tố bên trong và bên ngoài, làm rõ trách nhiệm để tránh xảy ra chuyện tương tự với cơ quan khác. Nạn nhân cũng cần lưu ý rằng các hình phạt theo quy định có thể được áp dụng nếu xảy ra vi phạm dữ liệu.
Nguồn: VSEC tổng hợp