Biến thể mã độc tống tiền ESXiArgs mới xuất hiện sau khi CISA phát hành công cụ giải mã
Sự xuất hiện của biến thể mới đã được báo cáo bởi quản trị viên hệ thống trên một diễn đàn trực tuyến, tại đây một thành viên trong diễn đàn cũng đã tuyên bố rằng các tệp lớn hơn 128MB sẽ có 50% dữ liệu được mã hóa, khiến quá trình khôi phục trở nên khó khăn hơn. Một thay đổi đáng chú ý khác là việc xóa địa chỉ Bitcoin khỏi ghi chú đòi tiền chuộc, những tin tặc sẽ yêu cầu nạn nhân liên hệ với chúng trên ứng dụng giao tiếp trực tuyến được mã hóa đầu cuối – Tox để lấy thông tin giao dịch.
Công ty bảo mật thông tin trên Internet - Censys (Hoa Kỳ) cho biết trong một báo cáo: “Các tin tặc đã nhận ra rằng các nhà nghiên cứu đang theo dõi các khoản thanh toán của chúng và thậm chí chúng có thể đã biết trước khi phát tán mã độc tống tiền rằng quy trình mã hóa trong biến thể ban đầu tương đối dễ bị phá vỡ".
Số liệu thống kê được chia sẻ bởi nền tảng nguồn lực cộng đồng Ransomwhere tiết lộ rằng có tới 1.252 máy chủ đã bị lây nhiễm bởi phiên bản mới của ESXiArgs kể từ ngày 9/2/2023, trong đó có 1.168 máy chủ bị tái lây nhiễm. Kể từ khi bắt đầu bùng phát mã độc tống tiền vào đầu tháng 2/2023, hơn 3.800 máy chủ đã bị lây nhiễm. Phần lớn các máy chủ được đặt ở Pháp, Mỹ, Đức, Canada, Anh, Hà Lan, Phần Lan, Thổ Nhĩ Kỳ, Ba Lan và Đài Loan.
Số lượng máy chủ bị tái lây nhiễm (tính đến ngày 9/2/2023) tại một số nước trên thế giới
ESXiArgs, giống như mã độc tống tiền Cheerscrypt và PrideLocker, đều dựa trên bộ khóa Babuk, đã bị rò rỉ mã nguồn vào tháng 9/2021. Một khía cạnh quan trọng giúp phân biệt mã độc tống tiền này với các dòng mã độc tống tiền khác là nó không có trang web rò rỉ dữ liệu, cho thấy rằng nó không chạy trên mô hình mã độc tống tiền dịch vụ.
Công ty an ninh mạng Intel471 cho biết : “Số tiền chuộc được ấn định chỉ hơn 2 bitcoin (47.000 đô la Mỹ) và nạn nhân có ba ngày để thanh toán”. Mặc dù ban đầu các chuyên gia nghi ngờ rằng các vụ xâm nhập có liên quan đến việc lợi dụng lỗi OpenSLP đã xuất hiện từ 2 năm trước nhưng hiện đã được vá trong VMware ESXi (CVE-2021-21974), các cuộc thương lượng đã diễn ra trên các thiết bị đã tắt giao thức mạng.
Từ đó, VMware cho biết họ không tìm thấy bằng chứng nào cho thấy lỗ hổng zero-day trong phần mềm của họ đang được sử dụng để phát tán mã độc tống tiền. Điều này cho thấy rằng các tin tặc đứng đằng sau hoạt động này có thể đang tận dụng một số lỗ hổng đã biết trong ESXi để làm lợi thế, khiến người dùng bắt buộc phải nhanh chóng cập nhật lên phiên bản mới nhất. Các cuộc tấn công vẫn chưa được quy cho một tin tặc hoặc nhóm tin tặc đã biết nào.
Công ty dịch vụ an ninh mạng Arctic Wolf (Hoa Kỳ) chỉ ra rằng: "Dựa trên ghi chú đòi tiền chuộc, chiến dịch được liên kết với một tin tặc hoặc nhóm tin tặc duy nhất". "Bên cạnh đó, ngày càng nhiều các nhóm tin tặc mã độc tống tiền mới thành lập tiến hành OSINT (tình báo nguồn mở) trên các nạn nhân tiềm năng trước khi tiến hành lây nhiễm và đặt khoản thanh toán tiền chuộc dựa trên giá trị cảm nhận được".
Công ty an ninh mạng Rapid7 (Hoa Kỳ) cho biết họ đã tìm thấy 18.581 máy chủ ESXi kết nối Internet dễ bị tấn công bởi CVE-2021-21974, đồng thời cho biết thêm rằng nhóm tin tặc RansomExx2 đã nhân cơ hội nhắm mục tiêu vào các máy chủ ESXi.
Tony Lauro, Giám đốc chiến lược và công nghệ bảo mật của công ty cung cấp dịch vụ đám mây Akamai (Hoa Kỳ), cho biết: “Mặc dù hệ lụy kinh tế của các vụ tấn công này có vẻ không đáng kể, nhưng lâu dần những hệ lụy không đáng kể dồn lại sẽ thực sự gây ảnh hưởng đến các tổ chức khi tin tặc vẫn liên tục thực hiện các hành vi phạm pháp của chúng”. "Phần mềm tống tiền ESXiArgs là một ví dụ điển hình về lý do tại sao các quản trị viên hệ thống cần nhanh chóng thực hiện các bản vá sau khi chúng được phát hành, cũng như nắm bắt khoảng thời gian cần thiết để những tin tặc thực hiện thành công các cuộc tấn công của chúng. Tuy nhiên, bản vá chỉ là một trong nhiều cách phòng thủ mà chúng ta có thể dựa vào".
Huyền Anh
(theo Thehackernews)