Tổng quan về bảo mật và giải mã ransomware năm 2018
6 Năm trước 2794









































































































































































































































































































































































































































































































































Ngày



TỔNG QUAN VỀ BẢO MẬT VÀ GIẢI MÃ RANSOMWARE NĂM 2018



Ghi chú



18/12/2018



Trình quét virus của Acronis gia nhập VirusTotal



Xem chi tiết



06/12/2018



Check Point đã phát hiện Dr. Shifro, một công ty ở Nga giả là một
công ty tư vấn CNTT đảm bảo giải mã các tệp bị mã hóa nhiều biến thể
ransomware, bao gồm Cryakl, Scarab, Bomber và Dharma/Crisis là một HOST nhận
thanh toán tiền chuộc (BRAIN là người viết chương trình hay còn gọi là tác giả
tạo ra Ransomware và chỉ có người này mới có quyền quyết định mở khóa dữ liệu
đó hay không. BRAIN thông qua các trang Web đen để quảng cáo và tuyển dụng những
kẻ có âm mưu xấu khác gọi là HOST, các HOST có trách nhiệm phân tán (phân phối)
ransomware đến các nạn nhân, khi nạn nhân thanh toán tiền chuộc về BRAIN thì
các HOST sẽ được trích % hoa hồng môi giới từ số tiền này tùy thuộc BRAIN quyết
định) Kể từ 2015,  Dr. Shifro đã nhận
được hơn 300 hợp đồng giải mã và thu về hơn 100 Bitcoin.



Xem
chi tiết



05/12/2018



UNNAMED1989 Ransomware lây nhiễm hơn 100.000 máy tính tại Trung Quốc,
và yêu cầu thanh toán qua Wechat. Ngay say đó ngày 06/12/2018, cảnh sát Trung
Quốc đã bắt giữ kẻ kẻ tấn công là người tạo ra UNNAMED1989/WeChat Ransomware.
Bên cạnh đó Tencent và Velvet Security Team đã phát hành công cụ giải mã miễn
phí cho UNNAMED1989/WeChat Ransomware



Xem chi tiết


Tool
giải mã



30/11/2018



Michael Gillespie
phát hành công cụ giải mã miễn phí STOP ransomware với tên file mở rộng
.Puma .Pumas và . pumax (Yêu cầu
mã hóa và tập tin gốc phải có dung lượng >~ 150kb)



Download



10/11/2018



Trên diễn đàn Raidforums, hacker Herasvn tiếp tục tung lên diễn
đàn này một tập tin với tên concung.txt với miêu tả là dữ liệu thông tin của
các nhân viên hệ thống Con Cưng



 



06/11/2018



Theo tờ People Daily của Asia Times dẫn tin cho biết  Watrix (Wateis.ai) - Công ty đứng sau công
nghệ “gait recognition” (nhận diện dáng đi) đã triển khai phần mềm giám sát mới
ở Bắc Kinh và Thượng Hải với tầm hoạt động 50m, có thể xác định danh tính từ
cách đi bộ của họ, ngay cả khi bạn quay lưng lại hay che mặt đi với tỷ lệ
chính xác 94%. Công nghệ nhận dạng mới sẽ lưu lại mô hình kỹ thuật số về hình
dáng và cách đi bộ của một người từ video giám sát, sau đó tạo ra mô hình 3D
riêng biệt cho điệu bộ của mỗi người, đặc biệt tính năng này không bị đánh lừa
bởi dáng đi khập khiễng, xiên xẹo, uốn éo vì nó phân tích tất cả nét đặc
trưng trên toàn bộ cơ thể.



 



30/10/2018



Theo
báo cáo chung của Threatpost, McAfee, Recorded Future và Insikt Group’s, kêt
thúc quý III, các dòng ransomware tăng trưởng mạnh bao gồm GandCrab, Scarab
và Kraken.



 



25/10/2018



Công
cụ giải mã mới có thể phục hồi các tập tin bị khóa bởi các ransomware phiên bản
gandcrab 1, 4, và 5 ( Bao gồm: GandCrab .GDCB,GandCrab .CRAB (v2), GandCrab
.CRAB (v2.1), GandCrab .CRAB (v3), GandCrab .KRAB (v4), GandCrab .krab
(v4.1), GandCrab V5.0, GandCrab 5.0.1, GandCrab 5.0.2, GandCrab 5.0.3,
GandCrab 5.0.4). Công cụ này được phát triển bởi cảnh sát Rumani, Europol và
Bitdefender.



Xem chi
tiết


Download



15/10/2018



Trình
phát đa phương tiện nổi tiếng nhất thế giới là Winamp đã quay trở lại với
phiên bản phát hành 5.8 tương thích với các hệ điều hành mới nhất như Windows
8.1/Windows 10. Winamp đã ngưng phát hành kể từ 2014 sau khi Radionomy mua
Winamp từ AOL, tuy nhiên trong một thông báo mới nhất, Radionomy tiết lộ rằng
một bản phát hành toàn diện đã được lên kế hoạch cho năm 2019 nhằm mục đích bổ
sung hỗ trợ điện toán đám mây để phát nhạc, podcast và nhiều thứ khác...



Xem chi
tiết



12/10/2018



Trong
phiên bản mới nhất của tiện ích thông tin card đồ họa GPU-Z của TechPowerUp,
GPU-Z đã thêm khả năng có thể phát hiện các card đồ họa NVIDIA giả mạo (Do một
số người bán đã được sửa đổi card đồ họa NVIDIA thấp hơn và bán chúng như là
card đồ họa NVIDIA mạnh hơn) Tính năng mới này cho phép người mua phát hiện
xem liệu card đồ họa có thực sự tốt hay không, các Chip đồ họa được phát hiện
bao gồm: NVIDIA G84, G86, G92, G94, G96, GT215, GT216, GT218, GF108, GF106,
GF114, GF108, GF106, GF114, GF116, GF119 hoặc GK106.



Xem chi
tiết



17/09/2018



Theo
báo cáo của Unit 42 thuộc Palo Alto Networks, một botnet mới là Xbash đang
săn lùng các máy chủ Windows và Linux với khả năng tự lan truyền (khai thác
các lỗi bảo mật đã biết trong các dịch vụ Hadoop, Redis và ActiveMQ) kết hợp
giữa đào tiền ảo và ransomware. Xbash được phát triển bằng Python và sau đó
chuyển thành định dạng Portable Executable (PE) bằng PyInstaller. Trên Linux,
Xbash có thể xác định hệ điều hành mà dịch vụ dễ bị tổn thương đang chạy và
phân phối tải trọng thích hợp và thực thi chương trình ransomware, tuy nhiên
kẻ bị tấn công không có khả năng khôi phục cơ sở dữ liệu do malware phát hiện
ra các dịch vụ không được bảo vệ và xóa cơ sở dữ liệu MySQL, PostgreSQL và
MongoDB. Trên Windows, nó sẽ gửi một trình tải xuống JavaScript hoặc VBScript
để tìm nạp và thực thi chương trình coinmine.



Xem chi
tiết



07/09/2018



Apple
đã phải gỡ bỏ một ứng dụng chống phần mềm độc hại rất phổ biến có tên Adware
Doctor khỏi Mac App Store ( được phát hiện bởi một nhà nghiên cứu bảo mật có
tên Privacy 1st) vì nó đang thu thập lịch sử duyệt web của người dùng từ
Chrome, Safari và trình duyệt Firefox, danh sách các quy trình đang chạy và lịch
sử tìm kiếm trên App Store và các thông tin nhạy cảm khác mà không có sự cho
phép của người dùng. Sau đó thông tin này sau đó được lưu trữ trong một tệp
zip được bảo vệ bằng mật khẩu có tên history.zip, nó sẽ được tải lên một máy
chủ từ xa cho kẻ tấn công ở Trung Quốc.



Xem chi tiết



30/08/2018



Phát
hiện
CryptoNar
ransomware
một ransomware mới ẩn danh trong
công cụ Kaspersky Trial Reset



 



27/08/2018



Theo
tạp chí
Hindustan
Times
phát hành ngày 14/08/2018, tin tặc đã có 2
cuộc tấn công từ ngày 10/08/2018 đến 13/08/2018 vào Ngân hàng Cosmos, Ấn Độ
và đánh cắp hơn 13.5 triệu USD thông qua phần mềm độc hại đã được sử dụng
trên máy chủ ATM của ngân hàng để đánh cắp thông tin thẻ tín dụng của khách
hàng, bên cạnh các mã SWIFT cần thiết cho các giao dịch. Ngay sau đó, các nhà
nghiên cứu bảo mật thuộc nhóm
Nghiên cứu  Securonix
đã phát hành một
báo cáo
kỹ thuật
về cách thức mà vụ cướp ngân hàng có thể diễn
ra và cho rằng nhóm tin tặc Lazarus là kẻ đứng sau , do nhà nước Triều Tiên bảo
trợ. Nhóm này trước đây có liên quan đến các cuộc tấn công tàn khốc như vụ dịch
ransomware WannaCry và các cuộc tấn công vào các tổ chức tài chính ở
Indonesia và Hàn Quốc.



Xem chi
tiết



23/08/2018



Trong
một thông báo mới nhất, hạ tầng mạng viễn thông và thiết bị 5G của Huawei và
ZTE bị cấm tại thị trường nước Úc.



Xem chi
tiết



19/08/2018



Phát
hành tool giải mã
Mafia
ransomware
 



Download



13/08/2018



Biến
thể
Jobcrypter
ransomware
đang tấn công Pháp với địa chỉ
email mới, và yêu cầu tiền chuộc lên đến 1000€



 



10/8/2018



KeyPass
ransomware
được viết bằng C ++ và được biên dịch
trong MS Visual Studio, nó được phát triển bằng cách sử dụng các thư viện
MFC, Boost và Crypto ++, KeyPass ransomware ẩn trong các phần mềm giả mạo.
Khi được kích hoạt trên máy tính của nạn nhân, ransomware sao chép tệp thực
thi của nó thành% LocalAppData% và khởi chạy nó, sau đó nó tự xóa chính nó khỏi
vị trí ban đầu trên HDD khi nạn nhân tải xuống. Ransomware này xuất xứ từ Nga
và lây nhiễm mạnh ở Brazil và Việt Nam.


Tại
thời điểm phát hiện, Keypass ransomware tiềm ẩn trong phần mềm KMSPico
(chuyên dùng Crack windows) và phần mềm bản Crack ABBYY FineReader 14 (phần mềm
xử lý PDF và OCR tất cả trong một)



Xem báo
cáo chi tiết



01/08/2018



Nhóm
hacker 1937CN của Trung Quốc vừa mở một cuộc tấn công APT mới vào các cơ quan
vào các cơ quan, tổ chức, các đơn vị hành chính…tại Việt Nam dựa trên khai
thác CVE-2017–11882. Giải pháp: ngăn chặn kịp thời kết nối tới máy chủ điều
khiển, quét để phát hiện, ngăn chặn và loại bỏ kịp thời các hành động phát
tán hoặc việc cài đặt mã độc hại trong hệ thống.



Xem chi
tiết báo cáo



31/07/2018



Dựa
trên nguồn dữ liệu giám sát blockchain bằng cách theo dõi tất cả các địa chỉ
Bitcoin, cryptocurrency Neutrino công khai và nguồn riêng tư, theo báo cáo mới
nhất dài 47 trang của Công ty bảo mật Sophos đến từ Anh Quốc thì họ SamSam
ransomware đã kiếm được gần 6 triệu USD từ tiền chuộc. Nhóm nghiên cứu Sophos
cho biết họ đã xác định được 157 địa chỉ Bitcoin có nạn nhân thanh toán và 88
địa chỉ khác không nhận được tiền. Đã có 233 nạn nhân đã trả tiền chuộc cho họ
SamSam ransomware, 3/4 số người được trả tiền chuộc ở Mỹ, một số nạn nhân
khác đến từ Anh, Bỉ và Canada. Trong số đó một nửa số nạn nhân trả tiền chuộc
là các công ty tư nhân, 1/3 nạn nhân là các tổ chức y tế, 1/4 còn lại đến từ
các cơ quan chính phủ với đa phần là các tổ chức ngành giáo dục. Khác với các
kiểu tấn công của các loại ransomware khác (như spam, trang web/phần mềm giả
mạo, bộ công cụ khai thác độc hại), SamSam nhắm đến tấn công hàng loạt mục
tiêu vào một thời điểm (Ban đầu, kẻ tấn công sử dụng một lỗ hổng đã biết và sử
dụng các máy quét dò tìm và xác định các máy chủ có thể truy cập Internet và
chưa được vá). Ngoài ra Samsam ransomware còn sử dụng nhiều công cụ hợp pháp
như PsExec để mở rộng quyền truy cập vào các máy chủ cục bộ từ nơi chúng có
thể lây nhiễm sang các máy trạm khác, khi họ có quyền truy cập đến các mục
tiêu, các nhà khai thác SamSam sẽ triển khai nhị phân SamSam theo cách thủ
công thông qua máy chủ tới tất cả các máy chủ được kết nối. Dựa trên hành vi,
Sophos khẳng định SamSam ransomware dường như là công việc của một cá nhân
đơn độc, chứ không phải là nhóm.



Xem chi
tiết báo cáo



28/07/2018



BitPaymer
ransomware đã tấn công 650 máy tính để bàn và máy chủ nằm trên các bộ phận của
mạng Mat-Su (Matanuska-Susitna). Ngoài ra, 
thành phố Valdez, Alaska cũng đang đối phó với một cuộc tấn công tương
tự.


BitPaymer,
loại ransomware này lần đầu tiên được phát hiện vào tháng 7 năm 2017, và lần
đầu tiên nó phổ biến trong cộng đồng mạng vào tháng 8 năm 2017 sau khi nó tấn
công một loạt các bệnh viện Scotland. Ngoài


ra
BitPaymer còn có liên kết với nhóm tội phạm đang chạy botnet thư rác Necurs
khét tiếng và trojan ngân hàng Dridex.



Tổng hợp
nhiều nguồn:
Fakebook,
Matanuska-Susitna,
Eset



27/07/2018



Palo
Alto Networks đơn vị 42 mô tả cách giải mã phần mềm mã hoá LockCrypt
Ransomware. Trước đó Bitdefender cũng đã phát hành
công cụ
giải mã LockCrypt ransomware (tên file mở rông .1btc)

h ôm 24/07/2018. Các tên file mở rộng khác LockCrypt Ransomware bao gồm
.lock, .mich, .2018 vui lòng liên hệ
Michael Gillespie để  được giải mã.



Xem chi
tiết



24/07/2018



Các
phiên bản mới của các
Trojan
Banking Kronos
được phát hiện trong chiến dịch tấn
công mới nhắm mục tiêu đến Đức, Nhật bản, Ba Lan và các Ngân hàng. Trojan
Banking Kronos sử dụng các kỹ thuật của trình duyệt cùng với các quy tắc
webinject (thường là định dạng Zeus) để sửa đổi các trang web của các tổ chức
tài chính nhằm đánh cắp thông tin người dùng, thông tin tài khoản, thông tin
người dùng khác và tiền thông qua các giao dịch gian lận. Ngoài ra keycut và ẩn
VNC là những chức năng hỗ trợ các hoạt động đánh cắp thông tin của Kronos. Một
trong những khác biệt chính của phiên bản mới là việc sử dụng các máy chủ điều
khiển mới C&C (.onion) được lưu trữ mã hoá cùng với Tor để giúp ẩn danh
các liên lạc. Phiên bản mới này còn được quảng cáo là một Trojan ngân hàng mới
gọi là “Osiris".



Xem chi
tiết



23/07/2018



VNCERT
vừa có công văn cảnh báo 234/VNCERT-ĐPƯC khuyến cáo các tổ chức về việc tin tặc
tấn công hệ thống thông tin một số ngân hàng và hạ tầng quan trọng. Cụ thể,
theo dõi và ngăn chặn kết nối đến các máy chủ C&C có địa chỉ IP là
38.132.124.250 và 89.249.65.220, kiểm tra quét hệ thống và xoá các tập tin mã
độc có kích thước tương ứng:
syschk.ps1
(318 KB),
hs.exe
(259 KB). Đây là những mã độc tấn công có chủ đích của nhóm Lazarus.



Xem chi tiết



05/07/2018



Linux là hệ điều hành mở hiện
đang có hơn 480 phiên bản khác nhau.



Xem chi
tết



01/07/2018



Theo thống kê 6 tháng đầu
năm 2018, số lượng các ransomware đang suy giảm khoảng 30% so với năm 2017,
thay vào đó việc khai thác tiền điện tử đang gia tăng 44%. Cũng theo thống
kê, sau 1 năm, WannaCry (21%) vẫn thống trị thế giới ransomware, tiếp theo
Locky (6%) Cerber (6%) và Shade (2%). Việt Nam chiếm 6,17% số người dùng bị tấn
công bằng ransomware trong số tất cả người dùng gặp phải phần mềm độc hại.



Xem chi
tiết



26/06/2018



Các chuyên gia bảo mật của
Cisco Talos đã phát hành công cụ giải mã
Thanatos ransomware (có rất nhiều phiên bản,
nhưng phiên bản lây nhiễm phổ biến nhất của họ ransomware này là phiên bản
1.1)



Xem chi
tiết


Download



22/06/2018



Avira là công ty bảo mật mạng
đầu tiên chấp nhận thanh toán bằng Bitcoin và Bitcoin Cash từ BitPay (Một nhà
cung cấp dịch vụ thanh toán bằng tiền điện tử kỹ thuật số, Bitpay cũng đã
phát hành thẻ Visa prepaid liên kết Bitcoin hơn 131 quốc gia trên toàn thế giới)



Xem chi
tiết



21/06/2018



Theo hãng tin AFP, Chín
thành viên của EU lên kế hoạch thành lập lực lượng phản ứng nhanh Cyberforce
nhằm chống lại các cuộc tấn công mạng bao gồm Croatia, Estonia, Hà Lan,
Romania, Phần Lan, Pháp, Ba Lan, Tây Ban Nha và Lithuania. Cụ thể Lithuania sẽ
lãnh đạo về các vấn đề cyberdefense, các chuyên gia sẽ được thành lập thành
các đơn vị trên cơ sở luân phiên sẵn sàng giúp các nhà chức trách quốc gia giải
quyết các cuộc tấn công mạng, bao gồm cả các "hành vi không gian thù địch"
từ Nga nhắm vào các thể chế nhà nước và ngành năng lượng.Năm ngoái, Liên minh
châu Âu cũng đã thiết lập một liên minh về cường hợp tác quốc phòng nội khối,
được gọi là
PESCO , một sáng kiến ​​do
Lithuania đề xuất.



 



18/06/2018



Một báo cáo vừa được
Bitdefender phát hành về
Zacinlo Rootkit, nó tiềm ẩn trong ứng dụng
s5Mark, có cấu trúc dựa trên Adware Wreaks Havoc. Zacinlo cũng đi kèm với một
mô-đun để thực hiện các cuộc tấn công trung gian (MitM) để chặn lưu lượng
truy cập, thậm chí là HTTPS. Tính năng này cho phép nó chặn các các trang web
ngân hàng và giả mạo thanh toán trực tuyến, nhưng Zacinlo đã sử dụng tính
năng này chủ yếu để đưa quảng cáo vào bất kỳ trang web nào mà họ muốn. Một
mô-đun khác nổi bật là một mô-đun có thể phát hiện và loại bỏ phần mềm quảng
cáo cạnh tranh. Zacinlo cũng đi kèm với các thành phần phần mềm quảng cáo
thông thường thu thập thông tin hệ thống cục bộ, truyền nó đến một máy chủ điều
khiển từ xa và cho phép nhận lệnh từ kẻ tấn công (các lệnh này cho phép chủ
nhân của phần mềm quảng cáo gỡ cài đặt hoặc xóa bất kỳ dịch vụ cục bộ nào,
nguyên lý gần  giống như các dịch vụ cụ
thể cho phần mềm bảo mật) Bên cạnh rootkit và thành phần MitM,  còn có một mô-đun cho phép "chụp ảnh
màn hình" máy tính của nạn nhân, điều này ảnh hưởng đến quyền riêng tư
khi những ảnh chụp màn hình này có thể chứa các thông tin nhạy cảm như
e-mail, tin nhắn tức thời hoặc các phiên giao dịch ngân hàng điện tử...Tuy
nhiên, hiện tại Zacinlo được sử dụng chủ yếu là clickjacking và gian lận quảng
cáo, nó cũng có tính năng tự cập nhật để nâng cấp các thành phần phiên bản mới,
khả năng cài đặt bất kỳ phần mềm nào trên hệ thống của nạn nhân, mô-đun
"redirector" để khiến người dùng buộc phải điều hướng đến một trang
web và chạy quảng cáo thay thế hoặc cài đặt các chương trình mở rộng trên các
phiên duyệt Web của người dùng. Zacinlo cũng chạy trình duyệt Chromium ở chế
độ nền, nơi nó tải các trang web quảng cáo dựa trên việc nhấp chuột âm thầm để
tạo ra lợi nhuận cho kẻ lừa đảo. Báo cáo cũng cho biết Zacinlo là một mối đe
dọa nguy hiểm được âm thầm lan truyền đã hơn sáu năm, hầu hết các nạn nhân được
phát hiện ở Mỹ, Pháp, Đức, Brazil, Trung Quốc, Ấn Độ, Indonesia và Philippines.



Xem chi
tiết và danh sách IOCs



15/06/2018



Michael
Gillespie
cập
nhập  công cụ  giải mã Volcano Ransomware (tên file mở rộng:
[<email>].volcano). Volcano là bi
ến thể của Everbe
ransomware.



Download



15/06/2018



Michael
Gillespie
phát hành công cụ giải mã
Everbe Ransomware (tên file mở rộng: .everbe, .embrace, .pain) và công cụ giải
mã Sepsis Ransomware (tên file mở rộng: [[email protected]].SEPSIS)



Download


Download



14/06/2018



Tác giả của Satan
ransomware đã đổi tên "sản phẩm" của họ thành
DBGer Ransomware  sử dụng EternalBlue và Mimikats để lan truyền
qua mạng.



 



Apple phát hành iOS 11.4 bổ
sung một tính năng bảo mật mới cho iOS gọi là “USB Restricted Mode”, nếu
trong một tuần điện thoại không được mở khoá lần nào (bao gồm mở khóa bằng
passcode hay sinh trắc học) nó sẽ vô hiệu hóa dữ liệu khi kết nối thông qua
USB nhưng vẫn cho phép thiết bị sạc.



Xem chi
tiết



06/06/2018



Avast
phát hiện
RedEye ransomware
là một biến thể mới của Stupid ransomware hoặc biến thể của cùng một tác giả
của
Annabelle
ransomware
với nick name: iCoreX



 



Hơn
92 triệu tài khoản khách hàng bao gồm địa chỉ email và mật khẩu của  website MyHeritage chuyên cung cấp dịch vụ
xét nghiệm DNA đã bị tin tặc tấn công.



Xem chi
tiết



05/05/2018



Operation Prowli,
một botnet khổng lồ được các nhà nghiên cứu bảo mật phát hiện đã tấn công hơn
40.000 máy chủ, modem và các thiết bị loT kết nối internet. Hơn 9.000 doanh
nghiệp thuộc nhiều lĩnh vực khác nhau, bao gồm các tổ chức tài chính, giáo dục
và chính phủ đã bị lây nhiễm. Prowli Malware đã sử dụng các kỹ thuật tấn công
khác nhau bao gồm khai thác các lỗ hổng, mật khẩu và cài đặt yếu để quản lý
các máy chủ, trang web trên khắp thế giới. Prowli Malware cài đặt mã độc đào
tiền ảo Monero "
xm111"
và “
r2r2” – một
phần mềm độc hại thực thi các cuộc tấn công brute-force SSH từ các thiết bị bị
nhiễm, cho phép phần mềm độc hại Prowli chiếm đoạt quyền điều khiển thiết bị
mới. (r2r2 tạo ngẫu nhiên các khối địa chỉ IP và cố gắng đăng nhập SSH bằng
các thông tin đăng nhập phổ biến). Ngoài ra Prowli cũng lừa người dùng cài đặt
tiện ích mở rộng độc hại bằng cách sử dụng một webshell mã nguồn mở gọi là
“WSO Web Shell” để sửa đổi các máy chủ bị xâm nhập cho phép kẻ tấn công chuyển
hướng khách truy cập trang web đến các trang web giả mạo để cài đặt các
extension độc hại.


Để
bảo vệ thiết bị của bạn khỏi các cuộc tấn công giống như Prowli, người dùng
nên đảm bảo hệ thống luôn được Backup và cập nhật mới nhất, sử dụng mật khẩu
mạnh cho và trang bị phần mềm phòng chống malware mạnh và uy tín.



Xem chi
tiết



03/05/2018



Một
báo cáo tiết lộ mối liên quan giữa những nhóm gián điệp mạng do Chính phủ
Trung Quốc bảo trợ, trong đó vài nhóm trong đang hoạt động ở Xicheng, Bắc
Kinh ( VD như nhiều trường hợp tin tặc truy cập vào máy nạn nhân mà không qua
proxy, từ đó tìm ra vị trí của tin tặc đang thực hiện session có địa chỉ IP
xác định được là 221.216.0.0/13, nằm tại tòa nhà China Unicom Beijing Network).
Báo cáo diễn giải các nhóm với nhiều mối quan hệ của nhiều chiến dịch tấn
công mạng diễn ra trong vòng 10 năm qua đều được kết nối với bộ máy tình báo
quốc gia Trung Quốc được gọi với cái tên “Winnti umbrella” bao gồm: Winnti,
Gref, PlayfullDragon, APT17, DeputyDog, Axiom, BARIUM, LEAD, PassCV, Wicked
Panda, và ShadowPad. Các nhóm này sử dụng phương thức, kỹ thuật và quy trình
tấn công tương đồng, nhiều chiến dịch còn chồng chéo lên nhau và nền tảng
tương tự nhau. Mục tiêu tấn công của các nhóm là những Công ty công nghệ cao ở
Mỹ, Nhật, Hàn và Trung Quốc với mục đích chính là thu thập thông tin về Công
nghệ, thao tác phần mềm và tài chính. Tuy nhiên theo các nhà nghiên cứu thì mục
tiêu chính của Winnti umbrella vẫn là chính trị.



Xem chi tiết


Danh
sách IP, Domain và file hash.



04/06/2018



Magniber
Ransomware vẫn họat động mạnh ở Hàn Quốc.



 



01/06/2018



Khoảng
75% của các Máy chủ Redis (REmote DIctionary Server) mở bị nhiễm phần mềm độc
hại (57.600 máy chủ trên tổng số 
72.000 máy chủ), bằng chứng là phát hiện ra
ReddisWannaMine,
một hoạt động botnet bí mật khai thác tiền điện tử trên các máy chủ Redis mở
được để lộ trực tuyến. Ngoài ra kẻ tấn công tiếp tục cài đặt các khóa SSH
trên máy chủ Redis bị xâm nhập để họ có thể truy cập nó sau này



Xem chi
tiết



30/05/2018



Karim
Baratov (còn gọi là Karim Taloverov hoặc Karim Akehmet Tokbergenov) được thuê
gây ra vụ tấn công Yahoo năm 2014 làm ảnh hưởng đến 500 triệu người dùng vừa
bị kết án 5 năm tù và nộp phạt 250.000 USD. Hacker này cho biết mình không biết
kẻ thuê tấn công là gián điệp Nga vì anh không tìm hiểu thông tin về khách
hàng của mình.



Xem chi
tiết



28/05/2018



Theo
báo cáo của Banco de Chile, ngân hàng lớn nhất của Chile, tin tặc đã sử dụng
phần mềm độc hại
KillDisk/KillMBR
để phá hoại hàng trăm máy tính, cuộc tấn công diễn ra vào ngày 24 tháng 5 đã
phá hủy hơn 9.000 máy tính và hơn 500 máy chủ của ngân hàng Chile này. Phần mềm
độc hại KillDisk/KillMBR là một mối đe dọa nổi tiếng nhắm mục tiêu ngân hàng
và các tổ chức tài chính, chức năng chính của nó là xóa sạch ổ đĩa, phá hủy dữ
liệu hoặc được tích hợp với phần mềm ransomware để mã hóa dữ liệu đòi tiền
chuộc.


Cập
nhập 26/07/2018:
Thông qua Twitter, một nhóm tin tặc tự xưng
TheShadowBrokers
tuyên bố đã đánh cắp và rò rỉ hàng nghìn thẻ tín dụng Banco de Chile. Vụ việc
hiện vẫn đang được các cơ quan chức trách điều tra.



Xem chi
tiết


Xem chi
tiết



26/05/2018



Theo
như Gizmodo đưa tin, nhờ sự kết hợp điều tra giữa Phòng Công tố Paris với
Phòng Ủy quyền Quận Manhattan thuộc New York, nơi Vevo đặt trụ sở chính, cảnh
sát Paris đã bắt giữ hai hacker người Pháp mới 18 tuổi, đứng đằng sau vụ hack
video Despacito và hàng loạt ca khúc khác của Vevo trên Youtobe tháng trước.
Hai chàng trai tuổi teen này có tên là "Nassim B." và "Gabriel
K.A.B.", với hai mật danh sử dụng trên mạng là "Prosox" và
"Kuroi’ish". Thực hiện hành động phá hoại xong, hacker
Prosox
lên Twitter nói rằng toàn bộ vụ việc này “chỉ để cho vui“
.
Cả hai đều bị truy cứ với tội danh "làm sai lệch dữ liệu có sẵn trong hệ
thống xử lý dữ liệu tự động"



Xem chi
tiết



23/05/2018



VPNFilter
là một malware đã lây nhiễm cho hơn 500.000 router phổ thông được dùng trong
các hộ gia đình và các văn phòng trên toàn thế giới như Linksys, MikroTik,
Netgear, TP-Link, và trên các thiết bị lưu trữ  QNAP chạy QTS software (bao gồm: Linksys E1200, Linksys E2500, Linksys
WRVS4400N, MikroTik RouterOS
cho các router Cloud Core: phiên bản 1016,
1036, và 1072, Netgear DGN2200,
Netgear R6400, Netgear R7000, Netgear R8000, Netgear WNR1000, Netgear
WNR2000, QNAP TS251, QNAP TS439 Pro
, các thiết bị NAS khác của QNAP chạy
phần mềm QTS, TP-Link R600VP). Kẻ
tấn công có thể sử dụng nó để thu thập thông tin, phát động các cuộc tấn công
hay phá hủy vĩnh viễn các thiết bị chỉ với một câu lệnh từ xa. Vì đây là một
malware đa tầng, với mỗi tầng có (multi-stage) có cách thức tấn công và khả
năng duy trì trên thiết bị khác nhau nên VPNFilter là một trong số ít các
malware trên các thiết bị Internet of Things có thể sống sót qua việc khởi động
lại. Rất khó xác định liệu router có bị nhiễm malware này hay không, vì vậy
khuyến cáo người dùng của bất kỳ thiết bị nào trên đây nên thực hiện khôi phục thiết bị về cài đặt gốc
(factory reset) sau đó thiết lập lại
các cấu hình lưu trữ
trong thiết bị, ngoài ra nâng cấp lên firmware mới nhất nếu có thể, thay đổi mật khẩu quản trị mặc địnhvô hiệu hóa quản trị từ xa. Tối thiểu người dùng nên khởi động lại
thiết bị của mình 1 lần để ngăn chặn tầng (stage) 2 và 3 của malware khởi chạy.



Xem chi tiết (Nguồn: Talos)


Xem chi tiết (Nguồn Symante)



 



Mặc dù thủ lĩnh nhóm bị bắt giữ ở Tây Ban Nha hai tháng
trước, nhóm hacker Cobalt chuyên ăn cắp tiền từ các ngân hàng và tổ chức tài
chính vẫn hoạt động và tung ra một chiến dịch mới là giả mạo cải trang thành
cảnh báo bảo mật của Kaspersky, nạn nhân được kêu gọi truy cập vào một liên kết
để đọc và trả lời đơn khiếu nại mà Kaspersky nhận được về một hành vi phạm tội
được cho là do nạn nhân thực hiện, liên kết này dẫn đến một trang web độc hại,
và nạn nhân sẽ bị nhiễm trojan CobaIt.



 



16/05/2018



Cục Điều tra Liên bang Mỹ (FBI) và hãng bảo mật Trend
Micro vừa phối hợp đánh sập đường dây tội phạm công nghệ xuyên quốc gia mang
tên Scan4You. Trend Micro đã theo dõi trong suốt hành trình 5 năm từ mùa hè
năm 2012 sau khi phát hiện một số hoạt động bất thường xảy ra trên máy quét về
một công cụ phân phối phần mềm độc hại với tên gọi “g01pack”. Scan4You
đã  tiếp tay cho những hoạt động của tội
phạm công nghệ cao mà nổi tiếng nhất là dịch vụ chống phần mềm diệt virus
(Counter Antivirus - CAV) để vô hiệu hóa hơn 35 phần mềm bảo mật nổi tiếng thế
giới hoặc cho phép những kẻ tấn công có thể kiểm tra mức độ hiệu quả của phần
mềm độc hại mà không bị phát hiện. Ngoài Scan4You đối thủ cạnh tranh là
VirusCheckMate cũng đang là  dịch vụ
CAV lớn nhất còn sót lại.



Xem chi tiết



14/05/2018



Chính
phủ Hà Lan quyết định loại bỏ phần mềm Kaspersky trên các mạng lưới chính phủ
với lo ngại Hà Lan đã từng là một mục tiêu gián điệp không gian mạng của Nga
trong quá khứ mặc dù hôm nay Kaspersky cũng đã thông báo họ đã chuyển một phần
cơ sở hạ tầng bằng cách di chuyển dây chuyền lắp ráp phần mềm và hệ thống lưu
trữ dữ liệu người dùng trên nền tảng trung lập của mình sang một trung tâm
minh bạch ở Zurich, Thụy Sĩ - nơi nó có thể được kiểm toán và xác nhận bởi
các bên thứ ba độc lập.



Xem chi
tiết


Xem chi
tiết



10/05/2018



Billy Ribeiro Anderson
- Một hacker máy tính với biệt danh “Alfabetovirtual” đã tấn công trái phép
hơn 11.000 trang web bao gồm cả các trang Web của  quân đội và chính phủ Mỹ cuối cùng bị bắt tại
Torrance, Los Angeles, California.



Xem chi
tiết



07/05/2018



PSCrypt ransomware đã quay trở lại với phiên bản "
Business ". PSCrypt ransomware được phát hiện lần đầu vào thàng 06 năm
2017 tấn công người dùng và  các tổ chức
ở Ukraine (ransomware được phân phối qua trang web Crystal Finance Millenniu
- là nhà cung cấp dịch vụ lưu trữ ngoại tuyến nhưng các bản lưu trữ tồn tại
trực tuyến như phần mềm kế toán, kiểm dịch hồ sơ y tế, phần mềm y tế..., khi
trang này bị hacker tấn công và cài đặt sẵn ransomware), PSCrypt có cấu trúc
tương tự (hoặc dựa trên nền tảng) của họ GlobeImposter ransomware.



 



 



Theo
báo cáo mới nhất của Kaspersky,
SynAck ransomware
đã quay trở lại và sử dụng các kỹ thuật phức tạp của Process Doppelgänging  (Doppelgänging lần đầu tiên được trình bày
tại một hội nghị an ninh vào tháng 12/2017, nó tương tự một kỹ thuật khác gọi
Process Hollowing nhưng sử dụng
kỹ thuật tiêm mã lạm dụng cơ chế NTFS của Windows để tạo ra và ẩn các quy trình
độc hại nhằm tránh bị phát hiện bởi phần mềm chống vi-rút, ngăn chặn các kỹ
thuật đảo ngược cũng như ngăn phân tích sandbox tự động bằng cách kiểm tra
thư mục từ nơi nó thực hiện, nếu nó tìm thấy một nỗ lực để khởi chạy các tập
tin thực thi độc hại từ một thư mục nằm trong danh sách trắng , SynAck sẽ
không chạy và nó sẽ tự kết thúc).  Sau
khi thiết bị bị nhiễm SynAck, nó sẽ mã hóa nội dung của mỗi tệp bị nhiễm bằng
thuật toán AES-256-ECB-ECIES-XOR-HMAC-SHA1 một cách hỗn hợp (phần mở rộng cho
mã hóa được tạo thành từ 10 ký tự alpha ngẫu nhiên) và hiển thị một ghi chú
ransomware ngay tại màn hình đăng nhập Windows bằng cách sửa đổi các khóa
LegalNoticeCaption và LegalNoticeText trong bản ghi registry. Bên cạnh đó nó
buộc nạn nhân phải liên hệ với tác giả về giá giải mã thương lượng qua email
hoặc BitMessage. SynAck thậm chí còn xóa các bản ghi sự kiện được lưu trữ bởi
hệ thống để tránh phân tích pháp y của một máy bị nhiễm bệnh.



Xem chi
tiết


Kỹ thuật
Process Hollowing và Process Doppelgänging



04/05/2018



Kaspersky đã công bố một báo cáo chi tiết về
hoạt động của một nhóm gián điệp mạng mới gọi là ZooPark tấn công có chủ đích (APT) nhắm đến mục tiêu người dùng
Android đang hoạt động ở khu vực Trung Đông. Nhóm này hoat động trong ba năm
qua từ năm 2015. 



Xem chi
tiết



 



Theo USA
Today
, Twitter - Công ty mạng
xã hội có trụ sở tại San Francisco khuyên 336 triệu người dùng không những chỉ
thay đổi mật khẩu của họ trên nền tảng này, mà còn cả ở những dịch vụ khác nếu
họ cũng sử dụng mật khẩu đó, sau khi phát hiện một lỗi có thể làm lộ mật khẩu
dưới dạng văn bản thuần túy ghi lại nhật ký nội bộ của hệ thống, lỗi này xảy
ra do một vấn đề trong quá trình mã hóa mật khẩu bằng hàm băm, thay thế chúng
bằng một chuỗi ký tự ngẫu nhiên khác để lưu trên hệ thống của Twitter.



Xem chi
tiết



03/05/2018



Ngân
hàng Commonwealth
của
Úc đã xác nhận rằng hai băng từ chứa thông tin giao dịch khoảng 19,8 triệu
tài khoản bị mất hai năm trước sau khi bị xử lý sai bởi Fuji Xerox, một nhà
thầu cung cấp các dịch vụ phá hủy dữ liệu. Sự cố này là một trong những tổn
thất dữ liệu lớn nhất của công chúng nước Úc, với dân số khoảng 26 triệu người.



Xem chi
tiết



 



Công ty nghiên cứu Cambridge Analytica thông báo rằng họ ngừng tất cả các hoạt động
tại Mỹ và Anh, song song với thủ tục phá sản sẽ được tiến hành tai5 New York
do sự gia tăng đáng kinh ngạc của công ty đối với việc bị cáo buộc thu thập dữ
liệu trái phép của 87 triệu người dùng Facebook đã làm Cambridge Analytica mất
đi khách hàng thường xuyên và gây nhiều trở ngại nghiêm trọng.



Xem chi
tiết



01/05/2018



Các
nhà nghiên cứu tại Arbor Networks
cho biết họ đã tìm thấy các phiên bản của ứng dụng LoJack đã bị sửa đổi trong
phần nhị phân của ứng dụng và thay đổi địa chỉ máy chủ C&C. Thay vì các
báo cáo gởi về máy chủ LoJack trung tâm, thì nay các đại lý của LoJack đã báo
cáo và nhận được hướng dẫn từ các miền thuộc quyền kiểm soát của APT28 (APT28 còn được gọi là Fancy Bear, Sofacy, X-agent , Sednit,
Sandworm
hay Pawn Storm là một
nhóm gián điệp quốc gia được đặt tại Nga, có quan hệ với tình báo quân sự của
Nga). Các nhà nghiên cứu báo mật gọi nhựng mẫu LoJack độc hại này là
DoubleAgent
malware
.


Lojack (sản phẩm của Computrace, một công ty
chuyên sản xuất phần mềm giám sát) là một một ứng dụng đơn lẻ cài đặt trên
thiết bị như máy tính xách tay, máy tính bảng, điện thoại thông minh... cho
phép khôi phục dữ liệu, bảo vệ thiết bị nếu bị đánh cắp, định vị và khóa thiết
bị từ xa.



Xem chi
tiết


Xem chi
tiết
 



27/04/2018



Kerala
Cyber ​​Warriors (KCW)
, một
nhóm gồm 15 tin tặc mũ trắng  thành lập
28/12/2015 có trụ sở tại Kerala,  Ấn Độ,
đã cài đặt KCW ransomware trên các trang web có trụ sở tại Pakistan, nó mã
hóa các tập tin trên một trang web và sau đó yêu cầu một khoản tiền chuộc để
lấy lại các tập tin. Theo quản trị viên của Kerala Cyber ​​Warriors, cụ thể
là GH057_R007 và 8L4CK_P3RL, "việc tấn công các trang web từ Pakistan chỉ
để ngăn chặn chúng xâm nhập các trang web của Ấn Độ"



Facebook nhóm KCW



 



Chính quyền Trung Quốc ở tỉnh Tân Cương
đang buộc buộc người thiểu số Hồi giáo phải cài đặt một ứng dụng gọi là
Jingwang (An toàn công dân) được phát triển bởi lực lượng cảnh sát từ Ürümqi
(thủ phủ của Tân Cương) lên điện thoại của họ để cho phép chính phủ quét thiết
bị. Ứng dụng này cũng tạo bản sao của cơ sở dữ liệu Weibo và WeChat của người
dùng và tải nó lên máy chủ của chính phủ, cùng với thông tin đăng nhập IMEI,
IMSI và WiFi của người dùng. Biện pháp này chỉ áp dụng ở Tân Cương nhằm
" ngăn chặn những cuộc biểu tình và tình trạng bất ổn trong khu vực
" và cấm người Uyghur (Người Duy Ngô Nhĩ) mặc trang phục Hồi giáo cổ điển.



Xem chi
tiết



24/04/2018



Hôm nay, ngày 24 tháng 4 năm 2018, Công ty MITER đã xuất bản số nhận dạng CVE số
100.000 (một trăm nghìn) số CVE-2017-2906
(báo cáo của Cisco Talos). Tập
đoàn MITER được thành lập năm 1958, là một công ty tư nhân phi lợi nhuận, đơn
vị khởi chạy Dự án CVE từ 1999. CVEs (Common Vulnerability Enumeration) là một
danh sách hướng dẫn kỹ thuật các lỗ hổng ảnh hưởng đến tất cả các loại phần mềm
nhằm cung cấp khả năng tương tác giữa các cơ sở dữ liệu dễ bị tổn thương.



Xem chi
tiết



23/04/2018



Một báo cáo cung cấp tổng quan kỹ thuật về
cấy ghép phần mềm độc hại của các nhà phân tích iDefense đã xác định một cuộc tấn công có chủ đích nhằm vào Nhật
Bản của nhóm APT10 ( APT10 còn được
gọi là HOGFISH, menuPass hay Stone Panda, là một nhóm gián điệp
Trung Quốc đã tấn công vào nhiều tổ chức phương Tây kể từ đầu năm 2009). Phần
mềm độc hại được sử dụng trong chiến dịch này được phát hiện là phiên bản mới
nhất của
RedLeaves RAT có khả năng cho phép thực hiện các tác vụ
sau trên máy bị xâm phạm: Chụp ảnh màn hình; Thu thập tên người dùng và mật
khẩu của trình duyệt; Thu thập thông tin hệ thống mở rộng; Gửi, nhận và thực
thi các lệnh từ máy chủ C&C.



Xem chi
tiết


(Bản
lưu)



22/04/2018



Các nhà nghiên cứu bảo mật cảnh báo Satan ransomware đã tích hợp khai thác
ExtenalBlue
đang lây nhiễm mạnh (Satan ransomware được phát hiện lần đầu
vào tháng 01/2017, tháng 11/2017 Satan ransomware đã tích hợp khai thác
ExtenalBlue để lây nhiễm qua mạng và mã hóa các tập tin trong hệ thống mạng)



Xem chi
tiết



 



Theo trang Telegraph, Kaspersky đã bị cấm
quảng cáo trên Twitter trước những cáo buộc hành động kinh doanh của hãng đã
đi ngược với chính sách quảng cáo của Twitter cũng như những lo ngại bảo mật
về mối quan hệ của Kaspersky với các cơ quan tình báo Nga.



Xem chi
tiết



20/04/2018



Xuất hiện RansSIRIA ransomware lợi dụng cuộc khủng hoảng người tị nạn
Syria tuyên bố rằng nó sẽ quyên góp tiền chuộc cho những người tị nạn Syria
và nhắm mục tiêu các nạn nhân Brazil. Đây là biến thể của ransomware
WannaPeace. Bên cạnh đó  ransomware
cũng sẽ mở ra một loạt các hình ảnh cho thấy chiến tranh khủng khiếp như thế
nào và hiển thị một
video
YouTube
thông qua
câu chuyện của một đứa trẻ.



 



17/04/2018



Phiên bản mới của XiaoBa ransomware được chỉnh
sửa cho phép cài đặt coinminer khai thác tiền ảo bằng cách chèn một bản sao
JavaScript Coinhive bên trong các tệp HTML vào máy tính bị nhiễm.
(XIAOBAMINER - RANSOMINER) 



 



16/04/2018



Intel cho phép các công cụ chống vi-rút sử
dụng các GPU tích hợp để quét phần mềm độc hại, đây là công bố tại hội nghị bảo
mật RSA 2018 về một số công nghệ mới tập trung vào bảo mật, trong đó có một
tính năng cho phép các sản phẩm bảo mật giảm tải hoạt động quét vi-rút cho bộ
xử lý đồ họa tích hợp được nhúng với một số CPU Intel. Tên của công nghệ mới
này là "Intel Accelerated Memory Scanning" mục đích nhằm giảm sử dụng
CPU, giải phóng tài nguyên cho các ứng dụng khác mà còn tiết kiệm thời gian sử
dụng pin bằng cách sử dụng các GPU nhúng. Ngoài ra 02 tính năng khác cũng được
Intel công bố là Intel Remote Platform Telemetry (Intel kết hợp triển khai
công nghệ mới này với nền tảng Cisco Tetration, một công cụ kết hợp từ xa nền
tảng với máy học để phát hiện mối đe dọa nhanh hơn, khả năng bảo vệ an toàn
cho đám mây và bảo mật cho các trung tâm dữ liệu trên toàn cầu) và Intel
Security Essentials, một bộ sưu tập các khả năng bảo mật phần cứng gốc tin cậy
sẽ được triển khai với bộ xử lý Core, Xeon và Atom của Intel.



Xem bài
viết



Bộ
Thương mại Hoa Kỳ
đã
chính thức áp đặt lệnh cấm các công ty của 
Mỹ bán các sản phẩm và phần mềm của nhà sản xuất thiết bị viễn
thông  ZTE Corp, Trung Quốc trong vòng bảy năm. Sản phẩm xuất khẩu của
ZTE xuất đi Mỹ chiếm khoảng 25% đến 30% bao gồm điện thoại thông minh và thiết
bị để xây dựng mạng viễn thông.



Xem chi
tiết



06/04/2018



Cập nhập công cụ giải mã JigSawDecrypter (với file mở rộng .LolSec)


LolSec
ransomware VirusTotal



Download


Download



05/04/2018



VirusTotal bổ sung thêm giao diện Droidy, là một kỹ thật Sanbox mới
dành cho Android. 



 



03/04/2018



Có vẻ như Microsoft Malware Protection là phần mềm bảo mật liên tục dính nhiều lỗi bảo mật quan trọng nhất từ trước đến nay khi mới
đây CVE-2018-0986 (Khi nạn nhân thực
hiện scan file giả mạo của kẻ tấn công bằng Microsoft Malware Protection
Engine sẽ kích hoạt một lỗi trong bộ nhớ và thực hiện bất kỳ mã thực thi nào
thông qua remote code trên hệ thống mục tiêu. Mã khai thác này sẽ được chạy ở
đặc quyền LocalSystem và có quyền kiểm soát hệ thống) là lỗ hỗng nghiêm trọng
tới Engine các phần mềm Microsoft Endpoint Protection, Microsoft Exchange
Server, Microsoft Forefront Endpoint Protection, Microsoft Security
Essentials và Windows Defender. Nó ảnh hưởng tới tất cả các phiên bản
Microsoft Malware Protection Engine có v1.1.14600.4 hoặc thấp hơn.



Xem chi
tiết



28/03/2018



Fauxpersky, mã độc mới giả mạo phần mềm diệt virus
Kaspersky, được viết bằng công cụ AutoHotKey
(AHK)
– công cụ được sử dụng để tạo các phím tắt trên Windows phát triển
từ năm 2003 – chuyên dùng để đánh cắp thông tin cá nhân. Theo báo cáo, các mã
độc dựa trên AHK được phát hiện hàng ngày và ngày càng phức tạp, AHK là công
cụ đơn giản và phổ biến nhất tạo ra keylogger, clipbankers hoặc droppers.



Xem chi
tiết



26/03/2018



Theo báo cáo mới nhất của tạp chí Seattle
Times, một nhà máy sản xuất của Boeing tại Charleston, Nam Carolina đã bị mã
độc WannaCry tấn công khiến cho bộ phận quan trọng thuộc dây chuyền sản xuất
và lắp ráp tự động của Boeing,  có tên
là 777 đã không thể hoạt động. Kỹ sư trưởng Mike VanderWel của Boeing đã phải
gửi một thông báo tới toàn bộ công ty, kêu gọi tạm thời dừng tất cả các hoạt
động và rà soát kiểm tra lại toàn bộ phần mềm của toàn hệ thống.



Xem chi
tiết



1/ INTERPOL, EuroPol, FBI và Cảnh sát Tây
Ban Nha đã phối hợp bắt giữ thủ lĩnh
nhóm CARBANAK
tại Alicante (thuộc Tây ban Nha) Carbanak là tên của nhóm
hacker chuyên sử dụng công cụ tấn công có chủ đích nhắm vào các tổ chức tài
chính trên toàn thế giới với mục đích chính là đánh cắp tiền. Vào thời điểm
năm 2015, nhóm này đang sử dụng một loạt các công cụ, trong đó có một chương
trình tên Carbanak, sau khi bị phát hiện nhóm này đã biến đổi công cụ và bắt
đầu sử dụng phần mềm độc hại trên nền tảng Cobalt-strike, bao gồm tên gọi
cũng như cấu trúc máy chủ. Nhóm này sử dụng phương pháp tấn công phi kỹ thuật
nhưng vô cùng đơn giản như email phising với các tập tin độc hại (VD như tập
tin Word có nhúng phần mềm khai thác lỗ hổng), nhắm vào nhân viên các tổ chức
tài chính. Một khi nạn nhân bị lây nhiễm, kẻ tấn công sẽ cài một backdoor thực
hiện công tác gián điệp, đánh cắp và quản lý dữ liệu các máy chủ bị lây nhiễm
từ xa và chỉ việc chờ đợi các giao dịch tài chính diễn ra. Theo ước tính nhóm
này đã đánh cắp gần 1 tỷ đô la Mỹ. Từ năm 2013, Carbanak đã tấn công hơn 100
ngân hàng, hệ thống thanh toán điện tử và nhiều tổ chức tài chính khác tại ít
nhất 30 quốc gia châu Âu, châu Á, Bắc và Nam Mỹ cùng những vùng lãnh thổ
khác. Ngoài ra, các nhà nghiên cứu bảo mật còn phát hiện các nhóm như Metal,
GCMAN, Lazarus và Silence cũng đang tấn công các tổ chức tài chính bằng phần
mềm độc hại tùy biến với thủ pháp và quy trình tương tự Carbanak.


2/ Cùng ngày, cảnh sát Ukraine cũng tuyên bố
bắt giữ một thành viên khác của nhóm Carbanak/Cobalt ở Kiev, nghi phạm đã làm
việc với nhóm Cobalt từ năm 2016 và cũng tham gia vào các hoạt động gián điệp
trên mạng như phát triển phần mềm độc hại và bán dữ liệu cá nhân từ các công
dân trên toàn thế giới.   



Bản tin
2015


Bản tin
EuroPol


Bản tin
Ukraine


Quá
trình lây nhiễm Carbanak/Cobalt



25/03/2018



Xuất hiện một ransomware mới là AVCrypt cố gắng gỡ bỏ cài đặt phần mềm bảo mật hiện
có trên máy tính trước khi nó mã hóa máy tính.



 



22/03/2018


Thị trưởng thành phố Atlanta, Georgia đã
xác nhận trong một cuộc họp báo ngày hôm nay rằng một số hệ thống CNTT của
chính quyền địa phương hiện đang bị lây nhiễm bởi Samsam ransomware. Sự lây nhiễm ransomware đã bắt đầu từ khoảng 5
giờ 40 sáng, giờ địa phương. Trước đây, Samsam ransomware cũng đã tấn công và
lây nhiễm mạnh ở Sở Giao Thông Colorado hôm 21/02/2018.



Video họp 
 báo



20/03/2018



Thông tin về dữ liệu cá nhân của hơn 50 triệu
người dùng Fakebook đã được thu thập và sử dụng trái phép thông qua một ứng dụng
phát triển bởi công ty phân tích dữ liệu của Anh - Cambridge Analytic (được
ví như một liên minh của những dự án quốc phòng và tính báo, với các nhà thầu
tư nhân và những loại vũ khí ảo hiện đại). Ứng dụng này sẽ ghi lại kết quả của
từng bài kiểm tra, thu thập dữ liệu từ tài khoản của những người đã làm bài
trắc nghiệm tâm lý, và còn thu thập dữ liệu từ Facebook của bạn bè của những
người làm bài trắc nghiệm. Điều đáng nói là Cambridge Analytic sử dụng những
thông tin thu thập được cho mục đích marketing cho các vấn đề liên quan đến
tình dục, trí thông minh,  giới tính sắc tộc, đảng phái chính trị
và nga cả những chấn thương tâm lý thời thơ ấu. Người dùng nên vô hiệu hóa
các ứng dụng bên ngoài (bên thứ 3) từ việc sử dụng dữ liệu Facebook của bạn.



Xem chi tiết



17/03/2018



Giới an ninh mạng và Kaspersky Lab tuyên bố đã tìm ra những bằng chứng xác thực các cuộc tấn công
từ phần mềm độc hại “
Olympic Destroyer” tại Olympic mùa Đông Pyeongchang 2018 cho dù bọn tin tặc tạo hiện trường giả rất tinh vi. Phần
mềm độc hại nói trên có liên quan đến Lazarus – được chính phủ Triều
Tiên hỗ trợ.



 



Thomasz
T
- Hacker người Ba Lan, một tội
phạm mạng nổi tiếng được cho là tác giả của các dòng ransomware Polyski,
Vortex và Flotera đã bị Cảnh sát Ba Lan bắt giữ vào thứ Tư, 14 tháng 3, tại
thị trấn Opole của Opole. Cảnh sát Ba Lan hiện đang khuyến khích các nạn nhân
của gia đình Polls, Vortex và Flotera ransomware đệ trình khiếu nại chính thức
với chính quyền địa phương để có thể nhận được chìa khóa giải mã cho các tệp
tin. Thomasz T hoạt động dưới biệt danh "Armaged0n" trên
Hackforums[.]net nổi tiếng.



Bản tin



15/03/2018



Theo báo cáo của Microsoft (SIR 23), năm
2017 Châu Á là khu vực bị ảnh hưởng nặng nề nhất bởi ransomware, mặc dù ba vụ
ransomware là
WannaCry, NotPetya, và Bad Rabbit là điển hình của năm nhưng top 5
ransomware hoạt động mạnh nhất 2017 thuộc về LockScreen (Android
screenlocker/ransomware), WannaCry, Cerber, Enestedel và Spora.



 



Xuất hiện Zenis ransomware không những mã hóa dữ liệu mà còn tìm kiếm,
ghi đè và xóa dữ liệu backup khiến cho việc phục hồi trở nên khó khăn.



 



12/03/2018



Theo một báo cáo của McAfee phát hành,
Necurs (60%) và Gamut (37%) là 02 Botnets chiếm 97% email spam của thế giới
Internet. Lethic (1%) Darkmailer (1%), và một số botnets khác chỉ chiếm 1 %
còn lại. Cũng theo báo cáo, Flashback (infostealer) và Longage (RAT) là các mối
đe dọa Mac phổ biến nhất trong quý 4 năm 2017, phần mềm độc hại PowerShell
tăng gấp ba lần, tăng 267%.


Necurs một botnet spam được cho là có hàng triệu
bot, hoạt động chính của Botnet là ngoài việc lan truyền keylogger, Trojan ngân
hàng, và một số dòng ransomware đình đám như Locky, GlobeImposter... ngoài ra
Necurs còn spam hàng triệu thư rác thu hút người dùng cho các trang web dành
cho người lớn, quảng bá tiền điện tử... (ví dụ như thông qua những chiến dịch
spam khổng lồ gửi hàng triệu email spam cho một tiền ảo mới tên là Swisscoin vào 01/2018 sau việc John
McAfee, người sáng lập công ty bảo mật mạng McAfee, đã đăng lên tài khoản
Twitter của mình nhiều loại tiền điện tử trong  mẩu tin "Coin of the Day").


Gamut, một Botnet khác cũng được xây dựng trên hệ
thống các máy Windows bị nhiễm phần mềm độc hại nhằm tấn công các hệ thống
khác để gửi spam.


Theo thống kê, Việt Nam cũng nằm trong Top
10 quốc gia bị kiểm soát bởi các botnets trên.



Xem chi
tiết



07/03/2018



Sàn giao dịch Binance bị nghi ngờ tấn công khi rất nhiều tài khoản (ví điện tử)
được sử dụng để mua Viacoin ( một đồng tiền
mã hóa ít người biết đến và làm tăng giá trị của đồng tiền này lên gấp 3 – 4
lần chỉ trong vài tiếng đồng hồ) Ngay sau đó, Binance đã có động thái là đóng
băng tất cả các tài khoản, ngăn chặn việc rút tiền, tiến hành điều tra và sẽ
đảo ngược lại tất cả các giao dịch sai phạm.  Sau đó 
Binance đã treo giải thưởng bằng Binance Coin (BNB) trị
giá 250.000 USD cho bất cứ ai có thể cung cấp bằng chứng kết luận giúp
Binance có thể truy tố và bắt giam kẻ tấn công đã cố gắng tấn công vào sàn
giao dịch.



 



28/02/2018



GitHub đã phải
trải qua những cuộc tấn công DDoS lớn nhất từ trước đến nay, với lưu lượng
truy cập đến 1,35 Tbps.
 Kẻ tấn công đã bắt đầu lợi dụng
giao thức memcached để thực hiện các cuộc tấn công từ chối dịch vụ
(DDoS). Memcached là một hệ thống lưu trữ bộ nhớ đệm mã nguồn mở được
thiết kế để xử lý một số lượng lớn các kết nối mở. Máy khách có thể liên lạc
với các máy chủ memcached qua TCP hoặc UDP trên cổng 11211.


Taylor Huddleston –  26 tuổi đang sống tại
Arkansas, Mỹ bị phạt 33 tháng tù vì cố ý bán một trojan truy cập từ xa (RAT),
được gọi là NanoCore, cho các tội
phạm mạng với giá 25 USD.



 Bài viết
chi tiết



24/02/2018



Sau GandCrab
ransomware
Saturn Ransomware
thì Data Kepper là ransomware thứ
ba được cung cấp cho phép bất cứ ai cũng có thể phân phối ransomware miễn phí
thông qua chương trình liên kết Ransomware-as-a-Service (RaaS) trên các trang
Web đen.



Bài viết
về RaaS



22/02/2018



Mã độc Red
Alert 2.0
(Android Banking Trojan) tiếp tục lây lan mạnh tại khu vực Nga
và Châu Âu thông qua các ứng dụng ngân hàng và ứng dụng xã hội.



Bài viết



21/02/2018



Bộ Giao thông Colorado (DOT) đã phải ngưng
sử dụng và phục hồi dữ liệu hệ thống cho hơn 2.000 máy tính sau khi hệ thống
trên bị nhiễm SamSam ransomware.



Bản tin



20/02/2018



Phát hiện Annabelle Ransomware với khả năng: Vô hiệu hóa các chương trình
bảo mật, vô hiệu hóa tính năng Windows Defender, tắt tính năng Firewall
Protection, mã hóa dữ liệu người dùng, lây nhiễm qua các cổng USB và khởi động
nhiều chương trình khác nhau. Rất may, Annabelle Ransomware dựa trên Stupid
ransomware và sử dụng khóa tĩnh nên có thể giải mã được.


Cập nhập: Decrypter của Bitdefender phát hành ngày
05/03/2018:


https://labs.bitdefender.com/2018/03/annabelle-ransomware-decryption-tool/



Download


Download



19/02/2018



Một
trang web đã “nhái” lại màn hình đăng nhập của Snapchat và hacker đã ăn cắp
được hơn
 55.851 tài khoản đã
được công khai rộng rãi trong trang web klkviral.org (hiện Snapchat đang có 187 triệu người dùng)



 



15/02/2018



Hãng bảo mật lừng danh Gdata
Software AG
 của
Đức ra mắt sản phẩm miễn phí kiểm tra phát hiện lỗ hổng bảo mật Meltdown và
Spectre.



Download



Christopher Victor Grupe, 46 tuổi, bị phạt tù 366 ngày vì tội đã đăng nhập vào hệ thống bằng các thông
tin của mình sau đó xóa quyền truy cập cấp quản trị của các admin khác, xóa
các tập tin quan trọng khỏi mạng và đổi mật khẩu để các nhân viên khác không
thể truy cập lại sau khi bị sa thải tại hãng
đường sắt Canadian Pacific Railway (CPR)  - Để đảm bảo an toàn
CNTT, các công ty nên thu hồi mọi thứ liên quan tới công việc trước khi sa thải
những nhân viên nắm giữ thông tin quan trọng của chính mình.



 



14/02/2018



Vương quốc Anh đã trở thành quốc gia phương
Tây đầu tiên chính thức buộc tội quân đội Nga điều phối và tung ra vụ ransomware
NotPetya. Sau vụ Petya xảy ra vào tháng 06/2017 thì Bab Rabbit xảy ra vào
tháng 10/2017 là 01 phiên bản sửa lỗi của Petya cũng được nghi ngờ do Cục Quản
lý Thông minh Chính phủ Quân đội Nga (viết tắt là GRU) tạo ra.



 



Cập nhập công cụ giải mã JigSawDecrypter bản Korea  (với
file mở rộng .Locked)


Korean Jigsaw ransomware VirusTotal



Download


Download



13/02/2018



Cập nhập công cụ giải mã InsanseCryptDecrypter (với file mở rộng
.Tornado)



Download



Phát hành công cụ giải mã Pendor ransomware (với file mở rộng
.pnr)



Download



09/02/2018



Một loại
virus máy tính có tên
 Olympic Destroyer” được thiết kế để đánh sập
hệ thống máy tính bằng cách xóa các tập tin hệ thống quan trọng, và tấn công
vào trang web của Olympic mùa Đông Pyeongchang
2018 đã khiến một số khán giả không thể in vé và đã làm tê liệt mạng lưới internet , hệ thống
WiFi không hoạt động trong buổi lễ khai mạc với mục đích chỉ để làm bẽ mặt nhà tổ chức.



 Bài viết



Song song với việc Tổng thống Donald Trump vừa ký lệnh cấm sử dụng phần
mềm Kaspersky trên toàn nước Mỹ hôm 12/12/2017 áp dụng đối với tất cả các mạng
lưới dân sự lẫn quân sự do lo ngại việc Kaspersky đánh cắp dữ liệu người dùng
và có nguy cơ gián
điệp, Chính phủ Mỹ đang
xem xét mở rộng lệnh cấm với các nhà sản xuất Trung Quốc như ZTE , Huawei ,
Datang và Zhongxing, hoặc các Công ty có công nghệ nhạy cảm. Nguyên nhân lo
ngại là các thiết bị di động có firmware chứa “cửa hậu” cho phép nhà sản xuất
theo dõi, thu thập thông tin người dùng, hoặc cài đặt thêm các phần mềm bổ
sung ngay cả khi thiết bị đã bàn giao cho người dùng. Ngoài ra rất nhiều
firmware khác đang chạy trên xe hơi, các thiết bị thông minh..., tự động cập
nhật liên tục để cài ứng dụng từ xa và truyền thông tin mà người dùng không hề
hay biết giúp những doanh nghiệp Trung Quốc khác theo dõi hành vi người dùng.



 



06/02/2018



Xuất hiện biến thể mới của WannaCry là
Black Ruby, tấn công vào máy tính của
người dùng, cài đặt phần mềm độc hại, kết hợp giữa việc mã hóa thiết bị đòi
tiền chuộc và đào tiền ảo
.



 



05/02/2018



Cập nhập công cụ giải mã Crypt12Decrypter  (sử dụng
email [email protected])



Download


Download



30/01/2018



Trung Quốc công bố siết chặt việc sử dụng
phần mềm VPN vượt tường lửa, các công ty và cá nhân trong
và ngoài nước chỉ sử dụng phần mềm được Chính phủ phê duyệt để truy cập
Internet toàn cầu từ nước này.
 



 



24/01/2018



Công
ty cổ phần Cảng Sài Gòn
 (mã chứng khoán SGP) vừa công bố thông tin hệ thông phần mềm kế toán (hệ thống PL-FS) của công
ty bị sự cố nhiễm WannaCry ransomware và bị mã hóa toàn bộ số liệu, dẫn đến
không thể đọc được dữ liệu nên công tác lập BCTC quý 4 và cả năm 2017 bị ảnh
hưởng, công ty không thể hoàn thành và công bố thông tin về các BCTC quý 4 và
cả năm 2017 theo đúng thời hạn quy định (ngày 30/1/2018).



Xem thông báo



19/01/2018



Samsam (Samas) ransomware đang bùng phát trở lại, tấn công hàng loạt
bệnh viện, cơ sở hạ tầng CNTT các thành phố, khu công nghiệp.



Bản tin



Nhóm tin tặc Dark Caracal đã được phát hiện tại một tòa nhà ở thủ đô Beirut của
Lebanon hoạt động trong bóng tối suốt 6 năm qua chuyên hoạt động do thám giới
nhà báo, giới quân sự, chính khách và các tập đoàn lớn của 21 quốc gia trong
đó có Việt Nam. Dark Caracal thường sử dụng mã độc Android ẩn trong các ứng dụng
tin nhắn giả dạng như Signal và WhatsApp nhằm đánh cắp tin nhắn và các loại dữ
liệu khác từ thiết bị di động. Mã độc Android của Dark Caracal cho phép kích
hoạt camera trước và sau điện thoại để chụp ảnh trộm, đồng thời bí mật ghi âm
trộm qua microphone. Ngoài ra 
CrossRAT  (một mã độc đa nền tảng), hoặc  FinFisher - một phần mềm dạng công cụ gián điệp được
Dark Caracal dùng để theo dõi các cơ quan chính phủ và luật pháp.



Chi tiết 1


Chi tiết 2



16/01/2018



Trang chủ và hệ thống thanh toán của OnePlus bị hack, hơn 40.000 thẻ
tín dụng bị lộ thông tin.



 



Phillip R. Durachinsky (một lập trình viên sống tại bang
Ohio, Mỹ) là tác giả của malware
FruitFly (Durachinsky khi tạo ra phiên bản đầu
tiên của FruitFly khi mới chỉ có 14 tuổi) chuyên tấn công những người
dùng máy tính Mac của Apple trên toàn thế giới hôn nay đã được Bộ Tư
pháp Hoa Kỳ đưa ra xét xử với 16 cáo buộc xoay quanh hành vi cài
đặt phần mềm gián điệu lên hàng ngàn máy tính trong suốt hơn 13 năm
qua.


FruitFly là một malware có khả năng giám sát
các thiết bị MacOS, đồng thời cho phép Duranchinsky điều khiển
webcam, mic thoại, màn hình, chuột, bàn phím và thậm chí là cài
đặt những phần mềm độc hại từ xa. FruitFly đã trú ẩn trong vô số
những chiếc laptop MacOS bao lâu nay mà không bị phát hiện, mặc dù
những đoạn code của nó rất sơ đẳng và không có gì phức tạp, mã
nguồn của FruitFly bao gồm cả những mã lệnh Linux và nó cũng hoạt
động được với hệ điều hành Linux.



FruitFly
VirusTotal



12/01/2018



Lo ngại về vấn đề an ninh
và vi phạm các quy định của Đạo luật về thỏa thuận Thương mại (TAA) như
" Made in USA " ' UNITED DGITAL' / 'United Digital
Technologies"... các căn cứ quân sự, không quân, đại sứ quán và chính phủ
của Mỹ gần đây đã tháo bỏ toàn bộ camera giám sát Hikvision. Hikvision là công ty sản xuất camera
giám sát lớn nhất thế giới, chính quyền Trung Quốc nắm giữ 42% cổ phần của
công ty này. Mặc dù Hikvision cho biết sản phẩm của họ sản xuất phù hợp với
tiêu chuẩn chất lượng, an ninh, không có back door, đồng thời cam kết không bị
chính quyền Trung Quốc lợi dụng để ngầm giám sát. Nhưng dựa vào năng lực gián
điệp lớn mạnh của Trung Quốc, các chuyên gia an ninh mạng cũng đưa ra quan ngại
về vấn đề này. Họ chỉ ra, chính quyền Trung Quốc gây áp lực đối với các doanh
nghiệp tư nhân, và kiểm soát sự vận hành của các công ty này. Nửa thế kỷ trước,
Hikvision vốn là một phòng thực nghiệm của chính quyền Trung Quốc về phát triển
quân sự và kỹ thuật công nghiệp. Cùng với việc được chính quyền Trung Quốc giúp
đỡ, Hikvision cũng giúp đỡ chính quyền tiến hành giám sát 1,4 tỷ người dân
Trung Quốc, vì thế mà sản phẩm của công ty này tại Trung Quốc cũng được sử dụng
rất rộng rãi.



Xem chi tiết



04/01/2018



Hai lỗi bảo mật lớn trên
chip máy tính vừa được phát hiện, được gọi là Meltdown Spectre, ảnh
hưởng đến hầu hết các thiết bị được sản xuất trong 20 năm qua.


Meltdown là lỗi bảo mật chỉ
xảy ra với các thiết bị Intel. Spectre nguy hiểm hơn, khi nó ảnh hưởng đến
các CPU của cả AMD và Intel, chip ARM trên thiết bị di động.



 



01/01/2018



FBI trao tặng "Huân
Chương Người Hùng ransomware" cho
Michael Gillespie (biệt danh Demonslay 335)
là một thành viên của cộng đồng Infosec,
là tác giả của các công cụ giải mã ransomware khác nhau, và là người sáng tạo
ID Ransomware, RansomNoteCleanerCryptoSearch.
Michael Gillespie đã hỗ trợ miễn phí và tạo ra nhiều công cụ giúp giải mã
ramsomware trong nhiều năm trên các diễn đàn.