Microsoft đã phát hiện một cuộc tấn công Ransomware nhiều giai đoạn, được theo dõi với tên Storm-0501. Đây là một chiến dịch tấn công ransomware tinh vi, nhắm mục tiêu vào môi trường điện toán đám mây (Hybrid Cloud) nhằm khai thác các lỗ hổng bảo mật để xâm nhập vào hệ thống, đánh cắp thông tin đăng nhập và mã hóa dữ liệu. 

Hybrid Cloud đã không còn an toàn trước Ransomware 

Hybrid Cloud là một mô hình điện toán đám mây, nơi các công ty, doanh nghiệp có thể truy cập, lưu trữ và sử dụng dữ liệu trên cả public cloud và private cloud nhằm lưu trữ dữ liệu ở nhiều vị trí khác nhau, giảm chi phí lưu trữ và tăng cường bảo mật. 

Tuy nhiên gần đây nhất, Microsoft đã đưa ra cảnh báo về một cuộc tấn công ransomware tinh vi vào Hybrid Cloud. Mục tiêu của cuộc tấn công ransomware lần này nhắm vào nhiều lĩnh vực và cơ sở hạ tầng quan trọng của Mỹ như cơ quan chính phủ, các doanh nghiệp sản xuất, lĩnh vực giao thông vận tải hay các bộ ngành luật.

Nhóm này hiện đang mở rộng hoạt động bằng cách nhắm vào các bệnh viện tại Mỹ, làm dấy lên mối lo ngại nghiêm trọng về cả an toàn cộng đồng và an ninh mạng.

Chiến dịch tấn công đa giai đoạn này được thiết kế để xâm nhập vào Hybrid Cloud và thực hiện tấn công mạng ngang hàng từ môi trường lưu tại chỗ sang môi trường lưu trữ đám mây, cuối cùng dẫn đến việc rò rỉ dữ liệu, đánh cắp thông tin xác thực, cấy backdoors và triển khai ransomware.

Microsoft cho biết Storm-0501 sử dụng Cobalt Strike để tấn công mạng ngang hàng bằng thông tin đăng nhập bị đánh cắp và kết thúc bằng việc truy cập vào bộ điều khiển hệ thống và sau đó là đánh cắp dữ liệu và triển khai ransomware. Việc trích xuất dữ liệu từ môi trường lưu trữ tại chỗ được thực hiện bằng cách sử dụng Rclone để chuyển dữ liệu đến lưu trữ đám mây MegaSync.

Việc chuyển sang lưu trữ đám mây có thể xảy ra nếu tài khoản người dùng Microsoft Entra Connect Sync bị xâm nhập hoặc nếu kẻ tấn công chiếm quyền truy cập vào tài khoản quản trị viên mà không có xác thực đa yếu tố (MFA).

Tuy nhiên, các cuộc tấn công gần đây đã khiến các nhà nghiên cứu lo ngại. Trong giai đoạn thu thập thông tin xác thực, Storm-0501 đã sử dụng thông tin xác thực bị đánh cắp Entra ID để chuyển từ môi trường lưu trữ tại chỗ sang môi trường đám mây, nơi chúng sẽ thiết lập quyền truy cập thông qua backdoor.

Những kẻ tấn công đã sử dụng hai phương pháp khác nhau để kiểm soát Entra ID, phương pháp đầu tiên đầu tiên là xâm nhập vào tài khoản dịch vụ Entra Connect Sync được lưu dưới dạng mã hóa, và thứ hai là tấn công tài khoản quản trị miền không được bảo vệ bằng MFA.

Dịch vụ đồng bộ hóa không khả dụng cho những loại tài khoản này trong Entra, vì vậy kẻ tấn công phải đủ may mắn mới tìm được một tài khoản không được bảo vệ bằng MFA và cũng sử dụng cùng một mật khẩu với tài khoản trong môi trường lưu trữ tại chỗ.

Việc bật MFA sẽ khiến con đường tấn công này phức tạp hơn nhiều và ít có khả năng thành công hơn. Trong trường hợp này, kẻ tấn công sẽ phải can thiệp vào chính biện pháp bảo vệ MFA hoặc thực hiện các bước bổ sung để xâm phạm thiết bị của người dùng. Dù lựa chọn cách nào, chúng thường cấy backdoor để giữ quyền truy cập lâu dài, cho phép xác thực như bất kỳ người dùng nào trong Entra ID.

Trước tình hình diễn biến ngày càng phức tạp của nhóm ransomware, Microsoft đã đưa ra một số biện pháp nhằm giúp các doanh nghiệp bảo vệ hệ thống:

1. Thường xuyên theo dõi định kỳ và vá lỗi hệ thống để giải quyết các lỗ hổng trong hệ thống.
2. Sử dụng xác thực đa yếu tố (MFA) để ngăn chặn các lượt truy cập trái phép.
3. Sử dụng các phần mềm, dịch vụ, công cụ phát hiện mối đe dọa để xác định và ngăn chặn sớm các cuộc tấn công ransomware.
4. Tăng cường đào tạo nhân viên về cách nhận biết lừa đảo và các cuộc tấn công mạng khác.

Công bố này đã nhấn mạnh nhu cầu cấp thiết về các biện pháp tăng cường bảo mật thông tin trên môi trường Hybrid Cloud. Các đội ngũ an ninh thông tin nên ưu tiên tăng cường quản lý hệ thống và quyền truy cập, đảm bảo vá lỗi kịp thời cho các hệ thống Internet. Ngoài ra, việc triển khai các giải pháp nâng cao bảo mật email và tin nhắn có thể giúp ngăn chặn các nỗ lực truy cập ban đầu thông qua các hành vi lừa đảo của các cuộc tấn công tinh vi này.

Nhóm Ransomware gieo rắc nỗi sợ hãi

Theo gã khổng lồ công nghệ Microsoft, Storm-0501 nổi lên như một nhóm ransomware, tập trung vào việc khai thác các lỗ hổng để xâm nhập vào hệ thống và yêu cầu thanh toán tiền chuộc. Mục đích chính của nhóm là phá vỡ các dịch vụ quan trọng và đánh cắp dữ liệu nhạy cảm để kiếm lợi nhuận. 

Tuy mới chỉ hoạt động từ năm 2021,  nhóm tin tặc này đã thực hiện rất nhiều cuộc tấn công nhắm mục tiêu vào các tổ chức giáo dục bằng phần mềm ransomware Sabbath (54bb47h) trước khi gia nhập với tư cách là thành viên của nhóm cung cấp ransomware-as-a-Service (RaaS), cung cấp nhiều loại phần mềm ransomware khác nhau trong nhiều năm, bao gồm Hive, BlackCat (ALPHV), Hunters International, LockBit và Embargo.

Những tên tội phạm mạng đứng sau Storm-0501 sử dụng các công cụ tinh vi, bao gồm email lừa đảo để lừa nạn nhân cấp quyền truy cập vào các hệ thống nội bộ, từ đó khai thác các lỗ hổng trong các hệ thống lỗi thời hoặc các mạng bảo mật kém. Sau khi hoàn thành xâm nhập, chúng bắt đầu triển khai ransomware, mã hóa các tệp và yêu cầu thanh toán số tiền lớn để khôi phục quyền truy cập. 

Microsoft cho biết nhóm tin tặc sử dụng các chiến thuật tống tiền kép, chúng không chỉ mã hóa dữ liệu mà còn đe dọa sẽ công khai thông tin nhạy cảm nếu yêu cầu của chúng không được đáp ứng.

Tuy nhiên, các bằng chứng Windows thu thập được cho thấy không phải tất cả các cuộc tấn công đều dẫn đến việc triển khai ransomware, một số trường hợp chỉ dừng lại sau khi backdoors được thiết lập nhằm duy trì quyền truy cập vào mạng. 

Công bố này được đưa ra trong bối cảnh nhóm ransomware DragonForce đang nhắm mục tiêu vào các công ty trong lĩnh vực sản xuất, bất động sản và vận tải bằng cách sử dụng một biến thể của LockBit3.0 bị rò rỉ và phiên bản đã sửa đổi của Conti.

Việc Storm-0501 chuyển mục tiêu sang bệnh viện đã dấy lên sự lo ngại đối với sự an toàn thông tin của một trong những cơ sở hạ tầng quan trọng của Mỹ. Các cuộc tấn công ransomware vào các tổ chức y tế chăm sóc sức khỏe có thể gây ra hậu quả nghiêm trọng, xâm phạm hồ sơ y tế bí mật của quốc gia. Đây được xem là vấn đề đặc biệt đáng lo ngại vì nhiều bệnh viện đang hoạt động bằng các hệ thống đã cũ và lỗi thời, khiến chúng trở thành mục tiêu chính của các mối đe dọa ngày càng tinh vi và phức tạp.

Nguồn tham khảo: Thehackernews, Microsoft