Gần đây, các tiêu đề đã tập trung vào nhóm tin tặc CL0p do sự gia tăng lớn trong các cuộc tấn công ransomware. Nhóm tội phạm mạng này đã và đang tấn công một số ngân hàng, cơ quan liên bang và doanh nghiệp bằng cách khai thác một lỗ hổng cụ thể trong phần mềm MOVEit có tên là CVE-2023-34362. Điểm yếu này đã cho phép họ truy cập bất hợp pháp vào dữ liệu nhạy cảm, dẫn đến vi phạm dữ liệu lớn trên nhiều lĩnh vực.
Phương thức tấn công của chúng liên quan đến việc tận dụng điểm yếu của ứng dụng web chuyển giao MOVEit trên Internet. Sau khi có quyền truy cập, các tác nhân đe dọa sẽ cấy phần mềm độc hại vào các ứng dụng này, cho phép chúng lấy dữ liệu từ cơ sở dữ liệu MOVEit bên dưới mà không được phép.
FBI và CISA đã đưa ra một tư vấn an ninh mạng kết hợp để đối phó với các hoạt động bất hợp pháp này. Lời khuyên này phơi bày các kỹ thuật của CL0p, nhấn mạnh sự nhanh nhẹn và tai tiếng khét tiếng của họ. Băng đảng này có tiền sử gian lận tài chính, tấn công lừa đảo và khai thác zero-day.
CL0p gần đây đặc biệt tích cực tấn công nền tảng GoAnywhere MFT, khai thác các lỗ hổng zero-day để đánh cắp dữ liệu và tống tiền. Hộp công cụ tinh vi của họ bao gồm phần mềm độc hại như FlawedAmmyy/FlawedGrace RAT, SDBot RAT và mô-đun trình tải xuống Truebot, cho phép họ thu thập thông tin nhạy cảm và phân phối rộng rãi phần mềm của họ.
Tác động của họ rất đáng kể, bao gồm hơn 3.000 tổ chức ở Hoa Kỳ và 8.000 tổ chức trên toàn thế giới. Khi đã ở trong máy chủ Active Directory, chúng sử dụng Truebot để tải xuống đèn hiệu FlawedGrace hoặc Cobalt Strike để có thêm quyền truy cập mạng. Họ cũng đã sử dụng lỗ hổng zero-day SQL injection CVE-2023-34362 để cài đặt trình bao web LEMURLOOT trên các ứng dụng web MOVEit Transfer.
FBI và CISA đã đề xuất nhiều biện pháp để chống lại mối nguy hiểm này, bao gồm vá lỗi và cập nhật phần mềm thông thường, đánh giá lỗ hổng thường xuyên và tuân thủ các phương pháp hay nhất về an ninh mạng đã biết. Họ cũng đã phát hành danh sách địa chỉ IP và tên miền liên quan đến các phương pháp TA505, MITRE ATT&CK và các tùy chọn giảm nhẹ.
Các tổ chức nên kiểm tra các quy trình bảo mật của họ và báo cáo các sự kiện ransomware cho FBI hoặc CISA càng sớm càng tốt. Stopransomware.gov và CISA/MS-ISAC Joint Ransomware Guide cung cấp thêm tài nguyên để quản lý các cuộc tấn công ransomware. Trước sự gia tăng của các cuộc tấn công cơ hội, bạn cũng nên đọc bài luận của họ về việc hiểu và kiểm soát các lỗ hổng phần mềm.
Với dịch vụ MDR của Bitdefender, khách hàng có thể dựa vào sự bảo vệ toàn diện chống lại các mối đe dọa mạng đang phát triển, cho phép họ yên tâm tập trung vào các hoạt động cốt lõi của mình.
