Nhóm REvil ransomware: chuyên đi hack và tống tiền!



REvil ransomware họ là ai?

Nhóm REvil là một nhóm hoạt động ransomware dưới dạng dịch vụ (RaaS) đã tống tiền một lượng lớn tiền từ các tổ chức trên toàn thế giới trong năm qua. Tên của nó là viết tắt của Ransomware Evil và được lấy cảm hứng từ loạt phim Resident Evil. Nhóm này đã nhân đôi các nỗ lực tống tiền bằng cách đánh cắp dữ liệu kinh doanh và đe dọa tiết lộ nó. Ác nghiệt hơn, nhóm này đánh cắp dữ liệu, tống tiền và sau đấy cũng không giữ lời hứa bằng cách công bố dữ liệu của những nạn nhân đã chọn trả tiền hoặc bằng cách đưa ra bằng chứng giả về việc xóa dữ liệu.

Thành viên tham gia nhóm này đều có kĩ năng cao, các thành viên mới được phỏng vấn kĩ càng trước khi nhập ngũ – nhóm này chỉ chấp thành viên thuần thạo tiếng Nga. Họ ăn chia phần trăm lợi nhuận sau mỗi phi vụ, có những thành viên kiếm hơn $1 triệu USD.

Mới đây, sau tìm hiểu thì mình thấy nhóm REvil Ransomware nói rằng họ có thể liên hệ với các phương tiện truyền thông tin tức, các công ty để có áp lực tốt nhất mà không mất phí và bao gồm cả tấn công DDoS (L3, L7). Ngoài ra, họ cũng nhắc nhở về việc phát triển hỗ trợ cho VM ESXi và một công cụ đa hình cho Windows.

REvil hiện tấn cống chủ yếu thông qua RDP (65%), lừa đảo (phishing) (16%) và lỗ hổng phần mềm (8%).

Cách phòng thủ trước REvil

Các tổ chức phải luôn bảo mật quyền truy cập từ xa của họ bằng thông tin đăng nhập mạnh mẽ và xác thực hai yếu tố và chỉ nên xem xét cung cấp các dịch vụ đó qua VPN. Tất cả các máy chủ, ứng dụng và thiết bị tiếp xúc công khai phải được cập nhật và thường xuyên được quét để tìm các lỗ hổng, các cấu hình sai và hành vi đáng ngờ. Các biện pháp bảo vệ brute-force chặn các nỗ lực đăng nhập quá mức với thông tin đăng nhập sai.

Bên trong mạng nội bộ, hãy thực hiện các bước sau:

  • Chặn giao tiếp SMB và RPC không cần thiết giữa các điểm cuối có thể được sử dụng cho lateral movement.
  • Giám sát các tài khoản đặc quyền để tìm hành vi đáng ngờ.
  • Giảm bề mặt tấn công trên các thiết bị đầu cuối với các quy tắc kiểm soát truy cập chặt chẽ hơn trên các thư mục và quy trình.
  • Chia sẻ mạng an toàn.
  • Đào tạo nhân viên về cách phát hiện các nỗ lực lừa đảo (phishing)
  • Có quy trình sao lưu dữ liệu tại chỗ để lưu trữ các bản sao lưu bên ngoài và kiểm tra xem việc khôi phục từ bản sao lưu có thể được thực hiện kịp thời hay không.
  • Có các kế hoạch ứng phó sự cố được xác định rõ ràng để có thể thực hiện ngay lập tức nếu phát hiện ra một cuộc tấn công. Cần xác định rõ ai tham gia vào quá trình này và trách nhiệm của họ là gì.



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật