Cục Điều tra Liên bang Mỹ (FBI) và Trung tâm An ninh Mạng Úc (ACSC) đang khuyến cáo về một chiến dịch mã độc tống tiền Avaddon đang nhắm vào nhiều tổ chức thuộc nhiều lĩnh vực ở Mỹ và trên toàn cầu.
Trong một thông báo khẩn TLP:GREEN hồi tuần trước, FBI cho biết các đối tượng đứng đằng sau mã độc tống tiền Avaddon đang cố gắng xâm nhập các mạng máy tính của các công ty sản xuất, y tế và các tổ chức tư nhân trên khắp thế giới. Hồi đầu tuần này, ACSC tiếp tục cho biết thêm, các đối tượng này đang nhắm đến nhiều đối tượng thuộc nhiều lĩnh vực (mà không hạn hẹp ở các tổ chức của chính phủ), bao gồm cả tổ chức tài chính, hành pháp, năng lượng, công nghệ thông tin và y tế.
Trong khi FBI chỉ đề cập đến các tổ chức bị nhắm mục tiêu, ACSC còn cung cấp một danh sách các quốc gia bị nhắm tới, trong đó có Mỹ, Anh, Đức, Trung Quốc, Brazil, Ấn Độ, UAE, Pháp, Tây Ban Nha… ACSC cũng cho biết đang giám sát rất chặt chẽ chiến dịch tấn công mã độc tống tiền Avaddon nhắm vào nhiều tổ chức thuộc nhiều lĩnh vực của Úc.
Nguy cơ tấn công từ chối dịch vụ DDoS
ACSC cũng đề cập mã độc tống tiền Avaddon đe dọa sẽ tấn công từ chối dịch vụ DDoS để buộc các nạn nhân phải trả tiền chuộc (bên cạnh việc phát tán dữ liệu ăn cắp được và mã hóa hệ thống của các nạn nhân).
Nhóm đối tượng thực hiện tấn công mã độc tống tiền Avaddon hồi tháng 1-2021 đã công bố họ sẽ tiến hành các cuộc tấn công DDoS để hạ trang web hay mạng máy tính của các nạn nhân cho đến khi các nạn nhân chịu thương lượng khoản tiền chuộc.
Trang tin công nghệ BleepingComputer từng thông tin về xu hướng mới này hồi tháng 10-2020, khi các đối tượng tấn công mã độc tống tiền bắt đầu sử dụng các cuộc tấn công DDoS nhắm vào các nạn nhân, như một điểm khai thác mới. Hiện tại, đã có 2 mã độc tống tiền sử dụng chiêu thức mới này là SunCrypt và RagnarLocker.
Gia tăng nguồn thu
Khoản tiền chuộc trung bình mà nhóm đối tượng thực hiện tấn công mã độc tống tiền Avaddon thường yêu cầu là khoảng 0,73 bitcoin (khoảng 41.000 USD), để đổi lấy công cụ giải mã Avaddon General Decryptor. Tuy nhiên, các đối tượng này còn được biết là thường ăn cắp dữ liệu từ mạng máy tính của nạn nhân trước khi chúng mã hóa hệ thống, có nghĩa là dữ liệu của nạn nhân cũng có thể đã bị bán, ngay cả khi nạn nhân trả tiền chuộc.
Cách thức này đã trở nên phổ biến với đa số mã độc tống tiền hoạt động. Do đó, các nạn nhân thường thông báo cho khách hàng hay nhân viên của mình là dữ liệu có thể bị rò rỉ, sau khi bị tấn công mã độc tống tiền.
Mã độc tống tiền ngày càng nguy hiểm
Theo CNBC, vào ngày 7-5 vừa qua, công ty Colonial Pipeline (đường ống dẫn nhiên liệu lớn nhất ở Mỹ) đã phải hứng chịu một cuộc tấn công ransomware, buộc họ phải đóng toàn bộ hệ thống mạng của mình để ngăn chặn sự lây lan của phần mềm độc hại. Ngày 8-5, Colonial Pipeline đã tuyên bố xác nhận vụ tấn công và thông tin rằng họ tạm thời đóng hoạt động của đường ống và đang ứng phó với cuộc tấn công.
Sau sự cố của Colonial Pipeline, giá xăng ở Mỹ tăng hơn 3% lên 2,217 USD/gallon - mức giá cao nhất trong hơn 3 năm qua. Các chuyên gia cảnh báo giá nguyên liệu khí đốt có thể tăng thêm nếu Colonial Pipeline không cho hoạt động đường ống trở lại. Washington Post dẫn lời một quan chức Mỹ cho hay, DarkSide ransomware được cho là đứng đằng sau vụ tấn công này.
Hồi cuối tháng 4 vừa qua, Bakker Logistiek - một trong những nhà cung cấp thực phẩm lớn nhất cho các siêu thị ở Hà Lan - cũng đã bị tấn công mã độc tống tiền, làm gián đoạn hoạt động phân phối và vận chuyển thực phẩm của công ty. Sự gián đoạn này khiến một số loại thực phẩm bị thiếu hụt và khan hiếm, đặc biệt là phô mai, tại chuỗi siêu thị lớn nhất Hà Lan Albert Heijn.
Bakker Logistiek cho biết, công ty có thể khôi phục các hệ thống bị ảnh hưởng nhờ vào các bản sao lưu và đã giao hàng trở lại. Không rõ nhóm tin tặc nào đã nhắm vào Bakker Logistiek, nhưng giám đốc công ty cho rằng tin tặc đã truy cập vào hệ thống của họ thông qua các lỗ hổng Microsoft Exchange ProxyLogon.
