Một công ty ở Hàn Quốc nhiễm Erebus ransomware, cảnh báo mã độc tống tiền tấn công máy chủ dữ liệu.
Một công ty ở Hàn Quốc nhiễm Erebus ransomware, cảnh báo mã độc tống tiền tấn công máy chủ dữ liệu.
7 year ago 2352

Cập nhập 26/06/2017:

Với giá trị gia tăng bitcoin trong những tuần gần đây và khoản
thanh toán tiền chuộc trị giá hơn 1 triệu USD được trả bởi công ty lưu trữ web
Nayana đã gây ra những vụ tống tiền Bitcoint mới với các cuộc tấn công DDoS tại
Hàn Quốc (DDoS-for-Bitcoin Attacks).

Theo các phương tiện truyền thông tại Hàn Quốc đưa tin, có bảy
ngân hàng đã nhận được email của nhóm tấn công yêu cầu phải trả tiền chuộc gần
315.000 USD hoặc phải chịu thiệt hại do các cuộc tấn công DDoS, nhóm này đã đưa
ra các cuộc tấn công mạng 5Gbps demo đối với những ngân hàng này. Đã có 5 trong
số 7 ngân hàng đã công khai và xác nhận vụ việc bao gồm: Ngân hàng KB Kookmin,
Ngân hàng Shinhan, Ngân hàng Woori, Ngân hàng KEB Hana và Ngân hàng NH. Đây là
những ngân hàng lớn nhất Hàn Quốc.

 Nhóm yêu cầu đòi tiền
chuộc là  "Armada Collective",
nhóm này lần đầu tiên xuất hiện vào năm 2015 và được coi là một trong những
nhóm hacker phổ biến về các vụ tấn công DDoS hoặc RDoS (Ransom DDoS). Ban đầu,
nhóm nhắm đến mục tiêu là các ngân hàng, dịch vụ thương mại điện tử và trung
tâm lưu trữ dữ liệu...và tung ra các cuộc tấn công demo DDoS trong vòng 15 phút
đến 30 phút để chứng minh và sau đó gửi email đến nạn nhân và ép họ phải trả
tiền chuộc. Vào tháng 11 năm 2015, Armada Collective đã phát động một trong
những cuộc tấn công ransomware nổi tiếng nhất của họ. Nhóm đã nhắm mục tiêu một
số nhà cung cấp dịch vụ email như ProtonMail, NeomailBox, VFEmail, HushMail,
FastMail, Zoho và Runbo. Sau khi tống tiền thành công dịch vụ email an toàn
ProtonMail, nhóm này  đã thu hút rất
nhiều sự quan tâm của giới truyền thông, sau đó nhóm dường như đã lẩn trốn,
nhưng rồi lại tiếp tục quay lại hoạt động vào năm 2016 nhưng hầu như không được
chú ý bởi sự thành công của DD4BC (một nhóm tấn công DDos khác - nhóm này sau
đó đã bị Europol bắt) và rất nhiều nhóm mới tham gia vào thị trường đòi tiền
chuộc DDoS như: New World Hackers, Lizard Squad, Kadyrovtsy, RedDoor, ezBTC,
Borya Collective, Stealth Ravens, XMR Squad, ZZb00t, Meridian Collective, Xball
Team...

Thanh toán của Nayana là khoản thanh toán tiền chuộc lớn nhất
từng được thực hiện và có thể là tiền đề cho tất cả các nhóm đòi tiền chuộc
ransomware, DDoS, RDoS, hoặc các nhóm tấn công khác khai thác nhắm đến các cơ sở
kinh doanh, doanh nghiệp. Và cũng có thể trong tương lai nạn nhân sẽ trả số
tiền chuộc cao hơn cho vấn nạn của các cuộc tấn công.

Cập nhập 20/06/2017:

Trong bản cập nhật vào ngày 14 tháng 6, Nayana đã thương lượng
một khoản thanh toán là 397,6 BTC (khoảng 1,01 triệu USD tính đến ngày 19 tháng
6 năm 2017) và đề nghị được thanh toán từng phần. Sau đó ngày 17 tháng 6, lần
thứ hai trong ba lần thanh toán đã được thực hiện. Vào ngày 18 tháng 6 , Naya
bắt đầu quá trình phục hồi các máy chủ theo lô. Một số máy chủ trong lô thứ hai
hiện đang gặp lỗi cơ sở dữ liệu (DB). Quá trình phục hồi khó khăn và sẽ mất
thời gian. Lần thanh toán lần thứ ba cũng dự kiến ​​sẽ được thanh toán sau khi
các lô máy chủ thứ nhất và thứ hai đã được khôi phục thành công.

          Tiền
chuộc lần này là một khoản thanh toán kỷ lục. Việc thanh toán này có khả năng
khuyến khích kẻ tấn công mở ra các cuộc tấn công ransomware mới sau này. Sau
khi chỉ nhắm mục tiêu đến các máy tính chạy hệ điều hành Microsoft Windows,
Erebus gần đây đã được sửa đổi để các biến thể sẽ hoạt động với các hệ thống
Linux. Bên cạnh đó , các dịch vụ lưu trữ web thường sử dụng hệ thống mã nguồn
mở, nhiều lỗi bảo mật và không trang bị phần mềm antivirus. Đây là những nguyên
nhân để kẻ tấn công dễ dàng khai thác. 



Bản tin 10/06/2017:

Ngày hôm nay, một cuộc tấn công của ransomware
đã  xảy ra tại một công ty lưu trữ web, lây lan hàng ngàn trang web của
Hàn Quốc, yêu cầu tiền chuộc rất cao và  đáng kinh ngạc.

Công ty bị thiệt hại là Nayana, cho biết
153 máy chủ Linux của họ đã bị nhiễm Erebus ransomware, hệ thống lưu trữ khoảng
3.400 trang web trên các máy chủ của công ty lưu trữ web cũng bị nhiễm bệnh.

Erebus ransomware được phát hành lần đầu
khoảng tháng 09/2016, sau được nâng cấp vào tháng 02/2017. Không giống như
WannaCry tấn công các mục tiêu ngẫu nhiên, Erebus tấn công các mục tiêu được
chỉ định, sử dụng vòng bỏ qua UAC (User Account Control) cho phép ransomware
chạy ở các đặc quyền cao mà  không cần cảnh báo người dùng. Erebus sao
chép chính nó vào một tập tin được đặt tên ngẫu nhiên và sửa đổi đăng ký để
chiếm quyền điều khiển cho phần mở rộng tệp tin .msc để Eerbus sẽ thực hiện
thay thế.

Tuy nhiên phiên bản Erebus đã tấn công
Nayana lần này đã được thiết kế để nhắm mục tiêu các máy chủ Web. Về cách thức,
Erebus đã tận dụng các lỗ hổng và khai thác Linux cục bộ. Qua kiểm tra, trang
web của Nayana chạy trên Linux kernel 2.6.24.2, được biên dịch lại vào năm
2008. Các lỗ hổng bảo mật như DIRTY COW có thể cung cấp cho kẻ tấn công truy
cập root vào các hệ thống Linux. Ngoài ra, trang web của Naya còn sử dụng
Apache phiên bản 1.3.36 và PHP phiên bản 5.1.4, cả hai đều được phát hành vào
năm 2006, Đây là các phiên bản có lỗ hổng của Apache và các cuộc khai thác PHP
nổi tiếng. (Trên thực tế rất nhiều công cụ được bán ngầm để khai thác Apache
Struts) Thêm nữa phiên bản Apache của NAYANA sử dụng uid = 99, cho thấy rằng
việc xâm nhập cũng rất dễ dàng.

Có khoảng 60 loại tệp tin mục tiêu được mã
hóa bởi Erebus (trên thực tế Erebus có thể mã hoá 433 loại tập tin khác nhau)
một khoản tiền chuộc sẽ xuất hiện trên màn hình. Nếu nạn nhân nhấp chuột
để phục hồi các tệp tin của họ, trang Web sẽ chuyển sang trang web thanh toán
Tor của Erebus. Và số tiền chuộc của Erebus lần này là 10 bitcoins/server,
xấp xỉ 29.075 USD vào thời điểm xảy ra vụ tấn công. Nhưng sau đó dường như các
hacker đã có một sự thay đổi và hạ thấp tiền chuộc xuống 5,4 bitcoins tương
đương 15,165 đô la.

Hiện tại, cơ quan An ninh và Internet Hàn
Quốc, cơ quan an ninh quốc gia, và cảnh sát đã tiến hành một cuộc điều tra,
tuyên bố sẵn sàng giành lại quyền điều khiển máy chủ bị nhiễm bệnh với sự trợ
giúp của các chuyên gia nhà nước. Bên cạnh đó một thông báo vẫn được đăng trên
trang chủ của công ty lưu trữ web, thông báo đến khách hàng về việc Erebus đã
khóa cơ sở dữ liệu, hình ảnh và video. Nayana xin lỗi vì sự bất tiện này và cố
gắng khôi phục lại các tệp sao lưu cho khách hàng.

Nguồn: http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170615124408

Lưu ý: 03 biện pháp cơ bản phòng chống virus, malware và
ransomware

1.   Luôn sao lưu dữ liệu thường xuyên.

2.   Luôn cập nhập các bản vá của hệ thống.

3.   Sử dụng phần mềm bảo mật có uy tín và update thường
 xuyên.