Tổng quan về bảo mật và giải mã ransomware năm 2018
6 Năm trước 2834








































































































































































































































































































































































































































































Ngày



TỔNG QUAN VỀ BẢO MẬT VÀ GIẢI MÃ
RANSOMWARE NĂM 2018



Ghi chú



30/08/2018



Phát hiện CryptoNar
ransomware
một ransomware mới ẩn danh trong công cụ Kaspersky Trial Reset



 



23/08/2018



Trong một thông báo mới nhất, hạ tầng mạng viễn
thông và thiết bị 5G của Huawei và ZTE bị cấm tại thị trường nước Úc.



Xem
chi tiết



19/08/2018



Phát hành tool giải mã Mafia ransomware  



Download



13/08/2018



Biến thể Jobcrypter ransomware đang tấn công Pháp với địa chỉ email mới, và
yêu cầu tiền chuộc lên đến 1000€



 



10/8/2018



KeyPass ransomware được viết bằng C ++ và được biên dịch trong MS
Visual Studio, nó được phát triển bằng cách sử dụng các thư viện MFC, Boost
và Crypto ++, KeyPass ransomware ẩn trong các phần mềm giả mạo. Khi được kích
hoạt trên máy tính của nạn nhân, ransomware sao chép tệp thực thi của nó
thành% LocalAppData% và khởi chạy nó, sau đó nó tự xóa chính nó khỏi vị trí
ban đầu trên HDD khi nạn nhân tải xuống. Ransomware này xuất xứ từ Nga và lây
nhiễm mạnh ở Brazil và Việt Nam.


Tại thời điểm phát hiện, Keypass ransomware tiềm
ẩn trong phần mềm KMSPico (chuyên dùng Crack windows) và phần mềm bản Crack ABBYY
FineReader 14 (phần mềm xử lý PDF và OCR tất cả trong một)



Xem
báo cáo chi tiết



01/08/2018



Nhóm hacker 1937CN của Trung Quốc vừa mở một cuộc
tấn công APT mới vào các cơ quan vào các cơ quan, tổ chức, các đơn vị hành chính…tại
Việt Nam dựa trên khai thác CVE-2017–11882. Giải pháp: ngăn chặn kịp thời kết
nối tới máy chủ điều khiển, quét để phát hiện, ngăn chặn và loại bỏ kịp thời
các hành động phát tán hoặc việc cài đặt mã độc hại trong hệ thống.



Xem
chi tiết báo cáo



31/07/2018



Dựa trên nguồn dữ liệu giám sát blockchain bằng
cách theo dõi tất cả các địa chỉ Bitcoin, cryptocurrency Neutrino công khai
và nguồn riêng tư, theo báo cáo mới nhất dài 47 trang của Công ty bảo mật
Sophos đến từ Anh Quốc thì họ SamSam ransomware đã kiếm được gần 6 triệu USD
từ tiền chuộc. Nhóm nghiên cứu Sophos cho biết họ đã xác định được 157 địa chỉ
Bitcoin có nạn nhân thanh toán và 88 địa chỉ khác không nhận được tiền. Đã có
233 nạn nhân đã trả tiền chuộc cho họ SamSam ransomware, 3/4 số người được trả
tiền chuộc ở Mỹ, một số nạn nhân khác đến từ Anh, Bỉ và Canada. Trong số đó một
nửa số nạn nhân trả tiền chuộc là các công ty tư nhân, 1/3 nạn nhân là các tổ
chức y tế, 1/4 còn lại đến từ các cơ quan chính phủ với đa phần là các tổ chức
ngành giáo dục. Khác với các kiểu tấn công của các loại ransomware khác (như spam,
trang web/phần mềm giả mạo, bộ công cụ khai thác độc hại), SamSam nhắm đến tấn
công hàng loạt mục tiêu vào một thời điểm (Ban đầu, kẻ tấn công sử dụng một lỗ
hổng đã biết và sử dụng các máy quét dò tìm và xác định các máy chủ có thể
truy cập Internet và chưa được vá). Ngoài ra Samsam ransomware còn sử dụng
nhiều công cụ hợp pháp như PsExec để mở rộng quyền truy cập vào các máy chủ cục
bộ từ nơi chúng có thể lây nhiễm sang các máy trạm khác, khi họ có quyền truy
cập đến các mục tiêu, các nhà khai thác SamSam sẽ triển khai nhị phân SamSam
theo cách thủ công thông qua máy chủ tới tất cả các máy chủ được kết nối. Dựa
trên hành vi, Sophos khẳng định SamSam ransomware dường như là công việc của
một cá nhân đơn độc, chứ không phải là nhóm.



Xem
chi tiết báo cáo



28/07/2018



BitPaymer ransomware đã tấn công 650 máy tính để
bàn và máy chủ nằm trên các bộ phận của mạng Mat-Su (Matanuska-Susitna).
Ngoài ra,  thành phố Valdez, Alaska cũng
đang đối phó với một cuộc tấn công tương tự.


BitPaymer, loại ransomware này lần đầu tiên được
phát hiện vào tháng 7 năm 2017, và lần đầu tiên nó phổ biến trong cộng đồng mạng
vào tháng 8 năm 2017 sau khi nó tấn công một loạt các bệnh viện Scotland. Ngoài


ra BitPaymer còn có liên kết với nhóm tội phạm
đang chạy botnet thư rác Necurs khét tiếng và trojan ngân hàng Dridex.



Tổng hợp nhiều
nguồn: Fakebook,
Matanuska-Susitna
, Eset



27/07/2018



Palo Alto Networks đơn vị 42 mô tả cách giải mã
phần mềm mã hoá LockCrypt Ransomware. Trước đó Bitdefender cũng đã phát hành
công cụ giải mã LockCrypt ransomware (tên file
mở rông .1btc)
h ôm
24/07/2018. Các tên file mở rộng khác LockCrypt Ransomware bao gồm .lock,
.mich, .2018 vui lòng liên hệ
Michael Gillespie để  được
giải mã.



Xem chi tiết



24/07/2018



Các phiên bản mới của các Trojan Banking Kronos được phát hiện trong chiến dịch tấn công mới
nhắm mục tiêu đến Đức, Nhật bản, Ba Lan và các Ngân hàng. Trojan Banking
Kronos sử dụng các kỹ thuật của trình duyệt cùng với các quy tắc webinject
(thường là định dạng Zeus) để sửa đổi các trang web của các tổ chức tài chính
nhằm đánh cắp thông tin người dùng, thông tin tài khoản, thông tin người dùng
khác và tiền thông qua các giao dịch gian lận. Ngoài ra keycut và ẩn VNC là
những chức năng hỗ trợ các hoạt động đánh cắp thông tin của Kronos. Một trong
những khác biệt chính của phiên bản mới là việc sử dụng các máy chủ điều khiển
mới C&C (.onion) được lưu trữ mã hoá cùng với Tor để giúp ẩn danh các
liên lạc. Phiên bản mới này còn được quảng cáo là một Trojan ngân hàng mới gọi
là “Osiris".



Xem chi tiết



23/07/2018



VNCERT vừa có công văn cảnh báo 234/VNCERT-ĐPƯC
khuyến cáo các tổ chức về việc tin tặc tấn công hệ thống thông tin một số
ngân hàng và hạ tầng quan trọng. Cụ thể, theo dõi và ngăn chặn kết nối đến
các máy chủ C&C có địa chỉ IP là 38.132.124.250 và 89.249.65.220, kiểm
tra quét hệ thống và xoá các tập tin mã độc có kích thước tương ứng:
syschk.ps1 (318 KB), hs.exe (259 KB). Đây là những mã độc tấn công có chủ đích
của nhóm Lazarus.



Xem chi
tiết



05/07/2018



Linux là hệ điều hành mở hiện đang có hơn 480 phiên bản khác nhau.



Xem chi tết



01/07/2018



Theo thống kê 6 tháng đầu năm 2018, số lượng các ransomware đang suy
giảm khoảng 30% so với năm 2017, thay vào đó việc khai thác tiền điện tử đang
gia tăng 44%. Cũng theo thống kê, sau 1 năm, WannaCry (21%) vẫn thống trị thế
giới ransomware, tiếp theo Locky (6%) Cerber (6%) và Shade (2%). Việt Nam chiếm
6,17% số người dùng bị tấn công bằng ransomware trong số tất cả người dùng gặp
phải phần mềm độc hại.



Xem chi tiết



26/06/2018



Các chuyên gia bảo mật của Cisco Talos đã phát hành công cụ giải mã Thanatos ransomware (có rất nhiều phiên bản, nhưng phiên bản lây nhiễm phổ biến nhất của
họ ransomware này là phiên bản 1.1)



Xem chi tiết


Download



22/06/2018



Avira là công ty bảo mật mạng đầu tiên chấp nhận thanh toán bằng
Bitcoin và Bitcoin Cash từ BitPay (Một nhà cung cấp dịch vụ thanh toán bằng
tiền điện tử kỹ thuật số, Bitpay cũng đã phát hành thẻ Visa prepaid liên kết
Bitcoin hơn 131 quốc gia trên toàn thế giới)



Xem chi tiết



21/06/2018



Theo hãng tin AFP, Chín thành viên của EU lên kế hoạch thành lập lực
lượng phản ứng nhanh Cyberforce nhằm chống lại các cuộc tấn công mạng bao gồm
Croatia, Estonia, Hà Lan, Romania, Phần Lan, Pháp, Ba Lan, Tây Ban Nha và
Lithuania. Cụ thể Lithuania sẽ lãnh đạo về các vấn đề cyberdefense, các
chuyên gia sẽ được thành lập thành các đơn vị trên cơ sở luân phiên sẵn sàng
giúp các nhà chức trách quốc gia giải quyết các cuộc tấn công mạng, bao gồm cả
các "hành vi không gian thù địch" từ Nga nhắm vào các thể chế nhà
nước và ngành năng lượng.Năm ngoái, Liên minh châu Âu cũng đã thiết lập một
liên minh về cường hợp tác quốc phòng nội khối, được gọi là
PESCO , một sáng kiến ​​do Lithuania đề xuất.



 



18/06/2018



Một báo cáo vừa được Bitdefender phát hành về Zacinlo
Rootkit
, nó tiềm ẩn trong ứng dụng
s5Mark, có cấu trúc dựa trên Adware Wreaks Havoc. Zacinlo cũng đi kèm với một
mô-đun để thực hiện các cuộc tấn công trung gian (MitM) để chặn lưu lượng
truy cập, thậm chí là HTTPS. Tính năng này cho phép nó chặn các các trang web
ngân hàng và giả mạo thanh toán trực tuyến, nhưng Zacinlo đã sử dụng tính
năng này chủ yếu để đưa quảng cáo vào bất kỳ trang web nào mà họ muốn. Một
mô-đun khác nổi bật là một mô-đun có thể phát hiện và loại bỏ phần mềm quảng
cáo cạnh tranh. Zacinlo cũng đi kèm với các thành phần phần mềm quảng cáo
thông thường thu thập thông tin hệ thống cục bộ, truyền nó đến một máy chủ điều
khiển từ xa và cho phép nhận lệnh từ kẻ tấn công (các lệnh này cho phép chủ
nhân của phần mềm quảng cáo gỡ cài đặt hoặc xóa bất kỳ dịch vụ cục bộ nào,
nguyên lý gần  giống như các dịch vụ cụ
thể cho phần mềm bảo mật) Bên cạnh rootkit và thành phần MitM,  còn có một mô-đun cho phép "chụp ảnh
màn hình" máy tính của nạn nhân, điều này ảnh hưởng đến quyền riêng tư
khi những ảnh chụp màn hình này có thể chứa các thông tin nhạy cảm như
e-mail, tin nhắn tức thời hoặc các phiên giao dịch ngân hàng điện tử...Tuy
nhiên, hiện tại Zacinlo được sử dụng chủ yếu là clickjacking và gian lận quảng
cáo, nó cũng có tính năng tự cập nhật để nâng cấp các thành phần phiên bản mới,
khả năng cài đặt bất kỳ phần mềm nào trên hệ thống của nạn nhân, mô-đun
"redirector" để khiến người dùng buộc phải điều hướng đến một trang
web và chạy quảng cáo thay thế hoặc cài đặt các chương trình mở rộng trên các
phiên duyệt Web của người dùng. Zacinlo cũng chạy trình duyệt Chromium ở chế
độ nền, nơi nó tải các trang web quảng cáo dựa trên việc nhấp chuột âm thầm để
tạo ra lợi nhuận cho kẻ lừa đảo. Báo cáo cũng cho biết Zacinlo là một mối đe
dọa nguy hiểm được âm thầm lan truyền đã hơn sáu năm, hầu hết các nạn nhân được
phát hiện ở Mỹ, Pháp, Đức, Brazil, Trung Quốc, Ấn Độ, Indonesia và
Philippines.



Xem chi tiết và danh sách IOCs



15/06/2018



Michael Gillespie cập nhập  công cụ 
giải mã Volcano Ransomware (tên file mở rộng:
[<email>].volcano). Volcano là bi
ến thể của Everbe
ransomware.



Download



15/06/2018



Michael Gillespie phát hành công cụ giải mã Everbe
Ransomware (tên file mở rộng: .everbe, .embrace, .pain) và công cụ giải mã
Sepsis Ransomware (tên file mở rộng: [[email protected]].SEPSIS)



Download


Download



14/06/2018



Tác giả của Satan ransomware đã đổi tên "sản phẩm" của họ
thành
DBGer
Ransomware
  sử dụng EternalBlue và Mimikats để lan truyền
qua mạng.



 



Apple phát hành iOS 11.4 bổ sung một tính năng bảo mật mới cho iOS gọi
là “USB Restricted Mode”, nếu trong một tuần điện thoại không được mở khoá lần
nào (bao gồm mở khóa bằng passcode hay sinh trắc học) nó sẽ vô hiệu hóa dữ liệu
khi kết nối thông qua USB nhưng vẫn cho phép thiết bị sạc.



Xem chi tiết



06/06/2018



Avast phát hiện RedEye ransomware là một biến thể mới của Stupid ransomware hoặc
biến thể của cùng một tác giả của
Annabelle ransomware với nick name: iCoreX



 



Hơn 92 triệu tài khoản khách hàng bao gồm địa
chỉ email và mật khẩu của  website
MyHeritage chuyên cung cấp dịch vụ xét nghiệm DNA đã bị tin tặc tấn công.



Xem chi tiết



05/05/2018



Operation
Prowli
, một botnet khổng
lồ được các nhà nghiên cứu bảo mật phát hiện đã tấn công hơn 40.000 máy chủ,
modem và các thiết bị loT kết nối internet. Hơn 9.000 doanh nghiệp thuộc nhiều
lĩnh vực khác nhau, bao gồm các tổ chức tài chính, giáo dục và chính phủ đã bị
lây nhiễm. Prowli Malware đã sử dụng các kỹ thuật tấn công khác nhau bao gồm
khai thác các lỗ hổng, mật khẩu và cài đặt yếu để quản lý các máy chủ, trang
web trên khắp thế giới. Prowli Malware cài đặt mã độc đào tiền ảo Monero
"
xm111" và “r2r2” – một phần mềm độc hại thực thi các cuộc tấn
công brute-force SSH từ các thiết bị bị nhiễm, cho phép phần mềm độc hại
Prowli chiếm đoạt quyền điều khiển thiết bị mới. (r2r2 tạo ngẫu nhiên các khối
địa chỉ IP và cố gắng đăng nhập SSH bằng các thông tin đăng nhập phổ biến).
Ngoài ra Prowli cũng lừa người dùng cài đặt tiện ích mở rộng độc hại bằng
cách sử dụng một webshell mã nguồn mở gọi là “WSO Web Shell” để sửa đổi các
máy chủ bị xâm nhập cho phép kẻ tấn công chuyển hướng khách truy cập trang
web đến các trang web giả mạo để cài đặt các extension độc hại.


Để bảo vệ thiết bị của bạn khỏi các cuộc tấn
công giống như Prowli, người dùng nên đảm bảo hệ thống luôn được Backup và cập
nhật mới nhất, sử dụng mật khẩu mạnh cho và trang bị phần mềm phòng chống
malware mạnh và uy tín.



Xem chi tiết



03/05/2018



Một báo cáo tiết lộ mối liên quan giữa những
nhóm gián điệp mạng do Chính phủ Trung Quốc bảo trợ, trong đó vài nhóm trong
đang hoạt động ở Xicheng, Bắc Kinh ( VD như nhiều trường hợp tin tặc truy cập
vào máy nạn nhân mà không qua proxy, từ đó tìm ra vị trí của tin tặc đang thực
hiện session có địa chỉ IP xác định được là 221.216.0.0/13, nằm tại tòa nhà
China Unicom Beijing Network). Báo cáo diễn giải các nhóm với nhiều mối quan
hệ của nhiều chiến dịch tấn công mạng diễn ra trong vòng 10 năm qua đều được
kết nối với bộ máy tình báo quốc gia Trung Quốc được gọi với cái tên “Winnti
umbrella” bao gồm: Winnti, Gref, PlayfullDragon, APT17, DeputyDog, Axiom, BARIUM,
LEAD, PassCV, Wicked Panda, và ShadowPad. Các nhóm này sử dụng phương thức, kỹ
thuật và quy trình tấn công tương đồng, nhiều chiến dịch còn chồng chéo lên
nhau và nền tảng tương tự nhau. Mục tiêu tấn công của các nhóm là những Công
ty công nghệ cao ở Mỹ, Nhật, Hàn và Trung Quốc với mục đích chính là thu thập
thông tin về Công nghệ, thao tác phần mềm và tài chính. Tuy nhiên theo các
nhà nghiên cứu thì mục tiêu chính của Winnti umbrella vẫn là chính trị.



Xem chi tiết


Danh sách IP, Domain và file hash.



04/06/2018



Magniber Ransomware vẫn họat động mạnh ở Hàn Quốc.



 



01/06/2018



Khoảng 75% của các Máy chủ Redis (REmote
DIctionary Server) mở bị nhiễm phần mềm độc hại (57.600 máy chủ trên tổng số  72.000 máy chủ), bằng chứng là phát hiện ra
ReddisWannaMine, một hoạt động botnet bí mật khai thác tiền điện
tử trên các máy chủ Redis mở được để lộ trực tuyến. Ngoài ra kẻ tấn công tiếp
tục cài đặt các khóa SSH trên máy chủ Redis bị xâm nhập để họ có thể truy cập
nó sau này



Xem chi tiết



30/05/2018



Karim Baratov (còn gọi là Karim Taloverov hoặc
Karim Akehmet Tokbergenov) được thuê gây ra vụ tấn công Yahoo năm 2014 làm ảnh
hưởng đến 500 triệu người dùng vừa bị kết án 5 năm tù và nộp phạt 250.000
USD. Hacker này cho biết mình không biết kẻ thuê tấn công là gián điệp Nga vì
anh không tìm hiểu thông tin về khách hàng của mình.



Xem chi tiết



28/05/2018



Theo báo cáo của Banco de Chile, ngân hàng lớn
nhất của Chile, tin tặc đã sử dụng phần mềm độc hại
KillDisk/KillMBR để phá hoại hàng trăm máy tính, cuộc tấn công
diễn ra vào ngày 24 tháng 5 đã phá hủy hơn 9.000 máy tính và hơn 500 máy chủ
của ngân hàng Chile này. Phần mềm độc hại KillDisk/KillMBR là một mối đe dọa
nổi tiếng nhắm mục tiêu ngân hàng và các tổ chức tài chính, chức năng chính của
nó là xóa sạch ổ đĩa, phá hủy dữ liệu hoặc được tích hợp với phần mềm
ransomware để mã hóa dữ liệu đòi tiền chuộc.


Cập nhập 26/07/2018: Thông qua Twitter, một nhóm tin tặc tự xưng là
TheShadowBrokers tuyên bố đã đánh cắp và rò rỉ hàng nghìn thẻ
tín dụng Banco de Chile. Vụ việc hiện vẫn đang được các cơ quan chức trách điều
tra.



Xem chi tiết


Xem chi tiết



26/05/2018



Theo như Gizmodo đưa tin, nhờ sự kết hợp điều
tra giữa Phòng Công tố Paris với Phòng Ủy quyền Quận Manhattan thuộc New
York, nơi Vevo đặt trụ sở chính, cảnh sát Paris đã bắt giữ hai hacker người
Pháp mới 18 tuổi, đứng đằng sau vụ hack video Despacito và hàng loạt ca khúc
khác của Vevo trên Youtobe tháng trước. Hai chàng trai tuổi teen này có tên
là "Nassim B." và "Gabriel K.A.B.", với hai mật danh sử dụng
trên mạng là "Prosox" và "Kuroi’ish". Thực hiện hành động
phá hoại xong, hacker
Prosox lên Twitter nói rằng toàn bộ vụ việc này
“chỉ để cho vui“
. Cả hai
đều bị truy cứ với tội danh "làm sai lệch dữ liệu có sẵn trong hệ thống
xử lý dữ liệu tự động"



Xem chi tiết



23/05/2018



VPNFilter là một malware đã lây nhiễm cho hơn 500.000
router phổ thông được dùng trong các hộ gia đình và các văn phòng trên toàn
thế giới như Linksys, MikroTik, Netgear, TP-Link, và trên các thiết bị lưu trữ  QNAP chạy QTS software (bao gồm: Linksys E1200, Linksys E2500, Linksys
WRVS4400N, MikroTik RouterOS
cho các router Cloud Core: phiên bản 1016,
1036, và 1072, Netgear DGN2200,
Netgear R6400, Netgear R7000, Netgear R8000, Netgear WNR1000, Netgear
WNR2000, QNAP TS251, QNAP TS439 Pro
, các thiết bị NAS khác của QNAP chạy
phần mềm QTS, TP-Link R600VP). Kẻ
tấn công có thể sử dụng nó để thu thập thông tin, phát động các cuộc tấn công
hay phá hủy vĩnh viễn các thiết bị chỉ với một câu lệnh từ xa. Vì đây là một
malware đa tầng, với mỗi tầng có (multi-stage) có cách thức tấn công và khả
năng duy trì trên thiết bị khác nhau nên VPNFilter là một trong số ít các
malware trên các thiết bị Internet of Things có thể sống sót qua việc khởi động
lại. Rất khó xác định liệu router có bị nhiễm malware này hay không, vì vậy
khuyến cáo người dùng của bất kỳ thiết bị nào trên đây nên thực hiện khôi phục thiết bị về cài đặt gốc
(factory reset) sau đó thiết lập lại
các cấu hình lưu trữ
trong thiết bị, ngoài ra nâng cấp lên firmware mới nhất nếu có thể, thay đổi mật khẩu quản trị mặc địnhvô hiệu hóa quản trị từ xa. Tối thiểu người dùng nên khởi động lại
thiết bị của mình 1 lần để ngăn chặn tầng (stage) 2 và 3 của malware khởi chạy.



Xem chi tiết (Nguồn: Talos)


Xem chi tiết (Nguồn Symante)



 



Mặc dù thủ lĩnh nhóm bị bắt
giữ ở Tây Ban Nha hai tháng trước, nhóm hacker Cobalt chuyên ăn cắp tiền từ
các ngân hàng và tổ chức tài chính vẫn hoạt động và tung ra một chiến dịch mới
là giả mạo cải trang thành cảnh báo bảo mật của Kaspersky, nạn nhân được kêu
gọi truy cập vào một liên kết để đọc và trả lời đơn khiếu nại mà Kaspersky nhận
được về một hành vi phạm tội được cho là do nạn nhân thực hiện, liên kết này
dẫn đến một trang web độc hại, và nạn nhân sẽ bị nhiễm trojan CobaIt.



 



16/05/2018



Cục Điều tra Liên bang Mỹ
(FBI) và hãng bảo mật Trend Micro vừa phối hợp đánh sập đường dây tội phạm
công nghệ xuyên quốc gia mang tên Scan4You. Trend Micro đã theo dõi trong suốt
hành trình 5 năm từ mùa hè năm 2012 sau khi phát hiện một số hoạt động bất
thường xảy ra trên máy quét về một công cụ phân phối phần mềm độc hại với tên
gọi “g01pack”. Scan4You đã  tiếp tay
cho những hoạt động của tội phạm công nghệ cao mà nổi tiếng nhất là dịch vụ
chống phần mềm diệt virus (Counter Antivirus - CAV) để vô hiệu hóa hơn 35 phần
mềm bảo mật nổi tiếng thế giới hoặc cho phép những kẻ tấn công có thể kiểm
tra mức độ hiệu quả của phần mềm độc hại mà không bị phát hiện. Ngoài
Scan4You đối thủ cạnh tranh là VirusCheckMate cũng đang là  dịch vụ CAV lớn nhất còn sót lại.



Xem chi tiết



14/05/2018



Chính phủ Hà Lan quyết định loại bỏ phần mềm
Kaspersky trên các mạng lưới chính phủ với lo ngại Hà Lan đã từng là một mục
tiêu gián điệp không gian mạng của Nga trong quá khứ mặc dù hôm nay Kaspersky
cũng đã thông báo họ đã chuyển một phần cơ sở hạ tầng bằng cách di chuyển dây
chuyền lắp ráp phần mềm và hệ thống lưu trữ dữ liệu người dùng trên nền tảng
trung lập của mình sang một trung tâm minh bạch ở Zurich, Thụy Sĩ - nơi nó có
thể được kiểm toán và xác nhận bởi các bên thứ ba độc lập.



Xem chi tiết


Xem chi tiết



10/05/2018



Billy
Ribeiro Anderson
- Một
hacker máy tính với biệt danh “Alfabetovirtual” đã tấn công trái phép hơn
11.000 trang web bao gồm cả các trang Web của 
quân đội và chính phủ Mỹ cuối cùng bị bắt tại Torrance, Los Angeles,
California.



Xem chi tiết



07/05/2018



PSCrypt
ransomware
đã quay trở lại với phiên bản "
Business ". PSCrypt ransomware được phát hiện lần đầu vào thàng 06 năm
2017 tấn công người dùng và  các tổ chức
ở Ukraine (ransomware được phân phối qua trang web Crystal Finance Millenniu
- là nhà cung cấp dịch vụ lưu trữ ngoại tuyến nhưng các bản lưu trữ tồn tại
trực tuyến như phần mềm kế toán, kiểm dịch hồ sơ y tế, phần mềm y tế..., khi
trang này bị hacker tấn công và cài đặt sẵn ransomware), PSCrypt có cấu trúc
tương tự (hoặc dựa trên nền tảng) của họ GlobeImposter ransomware.



 



 



Theo báo cáo mới nhất của Kaspersky, SynAck ransomware đã quay trở lại và sử dụng các kỹ thuật phức tạp
của Process Doppelgänging 
(Doppelgänging lần đầu tiên được trình bày tại một hội nghị an ninh
vào tháng 12/2017, nó tương tự một kỹ thuật khác gọi là Process Hollowing nhưng sử dụng kỹ thuật tiêm mã lạm dụng cơ chế
NTFS của Windows để tạo ra và ẩn các quy trình độc hại nhằm tránh bị phát hiện
bởi phần mềm chống vi-rút, ngăn chặn các kỹ thuật đảo ngược cũng như ngăn
phân tích sandbox tự động bằng cách kiểm tra thư mục từ nơi nó thực hiện, nếu
nó tìm thấy một nỗ lực để khởi chạy các tập tin thực thi độc hại từ một thư mục
nằm trong danh sách trắng , SynAck sẽ không chạy và nó sẽ tự kết thúc).  Sau khi thiết bị bị nhiễm SynAck, nó sẽ mã
hóa nội dung của mỗi tệp bị nhiễm bằng thuật toán
AES-256-ECB-ECIES-XOR-HMAC-SHA1 một cách hỗn hợp (phần mở rộng cho mã hóa được
tạo thành từ 10 ký tự alpha ngẫu nhiên) và hiển thị một ghi chú ransomware
ngay tại màn hình đăng nhập Windows bằng cách sửa đổi các khóa
LegalNoticeCaption và LegalNoticeText trong bản ghi registry. Bên cạnh đó nó
buộc nạn nhân phải liên hệ với tác giả về giá giải mã thương lượng qua email
hoặc BitMessage. SynAck thậm chí còn xóa các bản ghi sự kiện được lưu trữ bởi
hệ thống để tránh phân tích pháp y của một máy bị nhiễm bệnh.



Xem chi tiết


Kỹ thuật Process Hollowing và Process
Doppelgänging



04/05/2018



Kaspersky đã
công bố một báo cáo chi tiết về hoạt động của một nhóm gián điệp mạng mới gọi
ZooPark tấn công có chủ đích
(APT) nhắm đến mục tiêu người dùng Android đang hoạt động ở khu vực Trung
Đông. Nhóm này hoat động trong ba năm qua từ năm 2015. 



Xem chi tiết



 



Theo USA Today, Twitter - Công ty mạng xã hội có trụ sở tại San Francisco khuyên
336 triệu người dùng không những chỉ thay đổi mật khẩu của họ trên nền tảng
này, mà còn cả ở những dịch vụ khác nếu họ cũng sử dụng mật khẩu đó, sau khi
phát hiện một lỗi có thể làm lộ mật khẩu dưới dạng văn bản thuần túy ghi lại
nhật ký nội bộ của hệ thống, lỗi này xảy ra do một vấn đề trong quá trình mã
hóa mật khẩu bằng hàm băm, thay thế chúng bằng một chuỗi ký tự ngẫu nhiên
khác để lưu trên hệ thống của Twitter.



Xem chi tiết



03/05/2018



Ngân hàng Commonwealth của Úc đã xác
nhận rằng hai băng từ chứa thông tin giao dịch khoảng 19,8 triệu tài khoản bị
mất hai năm trước sau khi bị xử lý sai bởi Fuji Xerox, một nhà thầu cung cấp
các dịch vụ phá hủy dữ liệu. Sự cố này là một trong những tổn thất dữ liệu lớn
nhất của công chúng nước Úc, với dân số khoảng 26 triệu người.



Xem chi tiết



 



Công ty nghiên
cứu Cambridge Analytica thông báo
rằng họ ngừng tất cả các hoạt động tại Mỹ và Anh, song song với thủ tục phá sản
sẽ được tiến hành tai5 New York do sự gia tăng đáng kinh ngạc của công ty đối
với việc bị cáo buộc thu thập dữ liệu trái phép của 87 triệu người dùng
Facebook đã làm Cambridge Analytica mất đi khách hàng thường xuyên và gây nhiều
trở ngại nghiêm trọng.



Xem chi tiết



01/05/2018



Các nhà nghiên cứu tại Arbor Networks cho biết họ đã tìm thấy các phiên bản của ứng dụng
LoJack đã bị sửa đổi trong phần nhị phân của ứng dụng và thay đổi địa chỉ máy
chủ C&C. Thay vì các báo cáo gởi về máy chủ LoJack trung tâm, thì nay các
đại lý của LoJack đã báo cáo và nhận được hướng dẫn từ các miền thuộc quyền
kiểm soát của APT28 (APT28 còn được
gọi là Fancy Bear, Sofacy, X-agent ,
Sednit, Sandworm
hay Pawn Storm
là một nhóm gián điệp quốc gia được đặt tại Nga, có quan hệ với tình báo quân
sự của Nga). Các nhà nghiên cứu báo mật gọi nhựng mẫu LoJack độc hại này là
DoubleAgent malware.


Lojack (sản phẩm của
Computrace, một công ty chuyên sản xuất phần mềm giám sát) là một một ứng dụng
đơn lẻ cài đặt trên thiết bị như máy tính xách tay, máy tính bảng, điện thoại
thông minh... cho phép khôi phục dữ liệu, bảo vệ thiết bị nếu bị đánh cắp, định
vị và khóa thiết bị từ xa.



Xem chi tiết


Xem chi tiết  



27/04/2018



Kerala Cyber ​​Warriors (KCW), một nhóm gồm
15 tin tặc mũ trắng  thành lập
28/12/2015 có trụ sở tại Kerala,  Ấn Độ,
đã cài đặt KCW ransomware trên các trang web có trụ sở tại Pakistan, nó mã
hóa các tập tin trên một trang web và sau đó yêu cầu một khoản tiền chuộc để
lấy lại các tập tin. Theo quản trị viên của Kerala Cyber ​​Warriors, cụ thể
là GH057_R007 và 8L4CK_P3RL, "việc tấn công các trang web từ Pakistan chỉ
để ngăn chặn chúng xâm nhập các trang web của Ấn Độ"



Facebook nhóm
KCW



 



Chính quyền
Trung Quốc ở tỉnh Tân Cương đang buộc buộc người thiểu số Hồi giáo phải cài đặt
một ứng dụng gọi là Jingwang (An toàn công dân) được phát triển bởi lực lượng
cảnh sát từ Ürümqi (thủ phủ của Tân Cương) lên điện thoại của họ để cho phép
chính phủ quét thiết bị. Ứng dụng này cũng tạo bản sao của cơ sở dữ liệu
Weibo và WeChat của người dùng và tải nó lên máy chủ của chính phủ, cùng với
thông tin đăng nhập IMEI, IMSI và WiFi của người dùng. Biện pháp này chỉ áp dụng
ở Tân Cương nhằm " ngăn chặn những cuộc biểu tình và tình trạng bất ổn
trong khu vực " và cấm người Uyghur (Người Duy Ngô Nhĩ) mặc trang phục Hồi
giáo cổ điển.



Xem chi tiết



24/04/2018



Hôm nay, ngày
24 tháng 4 năm 2018, Công ty MITER
đã xuất bản số nhận dạng CVE số 100.000 (một trăm nghìn) số CVE-2017-2906 (báo cáo của Cisco Talos). Tập đoàn MITER được
thành lập năm 1958, là một công ty tư nhân phi lợi nhuận, đơn vị khởi chạy Dự
án CVE từ 1999. CVEs (Common Vulnerability Enumeration) là một danh sách hướng
dẫn kỹ thuật các lỗ hổng ảnh hưởng đến tất cả các loại phần mềm nhằm cung cấp
khả năng tương tác giữa các cơ sở dữ liệu dễ bị tổn thương.



Xem chi tiết



23/04/2018



Một báo cáo
cung cấp tổng quan kỹ thuật về cấy ghép phần mềm độc hại của các nhà phân
tích iDefense đã xác định một cuộc
tấn công có chủ đích nhằm vào Nhật Bản của nhóm APT10 ( APT10 còn được gọi là HOGFISH,
menuPass
hay Stone Panda, là một
nhóm gián điệp Trung Quốc đã tấn công vào nhiều tổ chức phương Tây kể từ đầu
năm 2009). Phần mềm độc hại được sử dụng trong chiến dịch này được phát hiện
là phiên bản mới nhất của
RedLeaves RAT có khả năng
cho phép thực hiện các tác vụ sau trên máy bị xâm phạm: Chụp ảnh màn hình;
Thu thập tên người dùng và mật khẩu của trình duyệt; Thu thập thông tin hệ thống
mở rộng; Gửi, nhận và thực thi các lệnh từ máy chủ C&C.



Xem chi tiết


(Bản lưu)



22/04/2018



Các nhà nghiên
cứu bảo mật cảnh báo Satan ransomware
đã tích hợp khai thác ExtenalBlue
đang lây nhiễm mạnh (Satan ransomware
được phát hiện lần đầu vào tháng 01/2017, tháng 11/2017 Satan ransomware đã
tích hợp khai thác ExtenalBlue để lây nhiễm qua mạng và mã hóa các tập tin
trong hệ thống mạng)



Xem chi tiết



 



Theo trang
Telegraph, Kaspersky đã bị cấm quảng cáo trên Twitter trước những cáo buộc
hành động kinh doanh của hãng đã đi ngược với chính sách quảng cáo của
Twitter cũng như những lo ngại bảo mật về mối quan hệ của Kaspersky với các
cơ quan tình báo Nga.



Xem chi tiết



20/04/2018



Xuất hiện RansSIRIA
ransomware
lợi dụng cuộc khủng hoảng người tị nạn
Syria tuyên bố rằng nó sẽ quyên góp tiền chuộc cho những người tị nạn Syria
và nhắm mục tiêu các nạn nhân Brazil. Đây là biến thể của ransomware
WannaPeace. Bên cạnh đó  ransomware
cũng sẽ mở ra một loạt các hình ảnh cho thấy chiến tranh khủng khiếp như thế
nào và hiển thị một
video YouTube thông qua câu
chuyện của một đứa trẻ.



 



17/04/2018



Phiên bản mới
của XiaoBa ransomware được chỉnh sửa cho phép cài đặt coinminer khai thác tiền
ảo bằng cách chèn một bản sao JavaScript Coinhive bên trong các tệp HTML vào
máy tính bị nhiễm. (XIAOBAMINER - RANSOMINER) 



 



16/04/2018



Intel cho phép
các công cụ chống vi-rút sử dụng các GPU tích hợp để quét phần mềm độc hại,
đây là công bố tại hội nghị bảo mật RSA 2018 về một số công nghệ mới tập
trung vào bảo mật, trong đó có một tính năng cho phép các sản phẩm bảo mật giảm
tải hoạt động quét vi-rút cho bộ xử lý đồ họa tích hợp được nhúng với một số
CPU Intel. Tên của công nghệ mới này là "Intel Accelerated Memory
Scanning" mục đích nhằm giảm sử dụng CPU, giải phóng tài nguyên cho các ứng
dụng khác mà còn tiết kiệm thời gian sử dụng pin bằng cách sử dụng các GPU
nhúng. Ngoài ra 02 tính năng khác cũng được Intel công bố là Intel Remote
Platform Telemetry (Intel kết hợp triển khai công nghệ mới này với nền tảng
Cisco Tetration, một công cụ kết hợp từ xa nền tảng với máy học để phát hiện
mối đe dọa nhanh hơn, khả năng bảo vệ an toàn cho đám mây và bảo mật cho các
trung tâm dữ liệu trên toàn cầu) và Intel Security Essentials, một bộ sưu tập
các khả năng bảo mật phần cứng gốc tin cậy sẽ được triển khai với bộ xử lý
Core, Xeon và Atom của Intel.



Xem bài viết



Bộ Thương mại Hoa Kỳ đã chính thức
áp đặt lệnh cấm các công ty của  Mỹ bán
các sản phẩm và phần mềm của nhà sản xuất thiết bị viễn thông  ZTE
Corp
, Trung Quốc trong vòng bảy năm. Sản phẩm xuất khẩu của ZTE xuất đi Mỹ
chiếm khoảng 25% đến 30% bao gồm điện thoại thông minh và thiết bị để xây dựng
mạng viễn thông.



Xem chi tiết



06/04/2018



Cập nhập công
cụ giải mã JigSawDecrypter (với
file mở rộng .LolSec)


LolSec ransomware VirusTotal



Download


Download



05/04/2018



VirusTotal bổ sung thêm
giao diện Droidy, là một kỹ thật
Sanbox mới dành cho Android. 



 



03/04/2018



Có vẻ như Microsoft Malware Protection là phần
mềm bảo mật liên tục dính
nhiều lỗi
bảo mật
quan trọng nhất từ trước đến nay khi mới đây CVE-2018-0986 (Khi nạn nhân thực hiện
scan file giả mạo của kẻ tấn công bằng Microsoft Malware Protection Engine sẽ
kích hoạt một lỗi trong bộ nhớ và thực hiện bất kỳ mã thực thi nào thông qua
remote code trên hệ thống mục tiêu. Mã khai thác này sẽ được chạy ở đặc quyền
LocalSystem và có quyền kiểm soát hệ thống) là lỗ hỗng nghiêm trọng tới
Engine các phần mềm Microsoft Endpoint Protection, Microsoft Exchange Server,
Microsoft Forefront Endpoint Protection, Microsoft Security Essentials và
Windows Defender. Nó ảnh hưởng tới tất cả các phiên bản Microsoft Malware
Protection Engine có v1.1.14600.4 hoặc thấp hơn.



Xem chi tiết



28/03/2018



Fauxpersky, mã độc mới
giả mạo phần mềm diệt virus Kaspersky, được viết bằng công cụ AutoHotKey (AHK) – công cụ được sử dụng
để tạo các phím tắt trên Windows phát triển từ năm 2003 – chuyên dùng để đánh
cắp thông tin cá nhân. Theo báo cáo, các mã độc dựa trên AHK được phát hiện
hàng ngày và ngày càng phức tạp, AHK là công cụ đơn giản và phổ biến nhất tạo
ra keylogger, clipbankers hoặc droppers.



Xem chi tiết



26/03/2018



Theo báo cáo mới
nhất của tạp chí Seattle Times, một nhà máy sản xuất của Boeing tại
Charleston, Nam Carolina đã bị mã độc WannaCry tấn công khiến cho bộ phận
quan trọng thuộc dây chuyền sản xuất và lắp ráp tự động của Boeing,  có tên là 777 đã không thể hoạt động. Kỹ sư
trưởng Mike VanderWel của Boeing đã phải gửi một thông báo tới toàn bộ công
ty, kêu gọi tạm thời dừng tất cả các hoạt động và rà soát kiểm tra lại toàn bộ
phần mềm của toàn hệ thống.



Xem chi tiết



1/ INTERPOL,
EuroPol, FBI và Cảnh sát Tây Ban Nha đã phối hợp bắt giữ thủ lĩnh nhóm CARBANAK tại Alicante (thuộc Tây ban Nha)
Carbanak là tên của nhóm hacker chuyên sử dụng công cụ tấn công có chủ đích
nhắm vào các tổ chức tài chính trên toàn thế giới với mục đích chính là đánh
cắp tiền. Vào thời điểm năm 2015, nhóm này đang sử dụng một loạt các công cụ,
trong đó có một chương trình tên Carbanak, sau khi bị phát hiện nhóm này đã
biến đổi công cụ và bắt đầu sử dụng phần mềm độc hại trên nền tảng
Cobalt-strike, bao gồm tên gọi cũng như cấu trúc máy chủ. Nhóm này sử dụng
phương pháp tấn công phi kỹ thuật nhưng vô cùng đơn giản như email phising với
các tập tin độc hại (VD như tập tin Word có nhúng phần mềm khai thác lỗ hổng),
nhắm vào nhân viên các tổ chức tài chính. Một khi nạn nhân bị lây nhiễm, kẻ tấn
công sẽ cài một backdoor thực hiện công tác gián điệp, đánh cắp và quản lý dữ
liệu các máy chủ bị lây nhiễm từ xa và chỉ việc chờ đợi các giao dịch tài
chính diễn ra. Theo ước tính nhóm này đã đánh cắp gần 1 tỷ đô la Mỹ. Từ năm
2013, Carbanak đã tấn công hơn 100 ngân hàng, hệ thống thanh toán điện tử và
nhiều tổ chức tài chính khác tại ít nhất 30 quốc gia châu Âu, châu Á, Bắc và
Nam Mỹ cùng những vùng lãnh thổ khác. Ngoài ra, các nhà nghiên cứu bảo mật
còn phát hiện các nhóm như Metal, GCMAN, Lazarus và Silence cũng đang tấn
công các tổ chức tài chính bằng phần mềm độc hại tùy biến với thủ pháp và quy
trình tương tự Carbanak.


2/ Cùng ngày,
cảnh sát Ukraine cũng tuyên bố bắt giữ một thành viên khác của nhóm
Carbanak/Cobalt ở Kiev, nghi phạm đã làm việc với nhóm Cobalt từ năm 2016 và
cũng tham gia vào các hoạt động gián điệp trên mạng như phát triển phần mềm độc
hại và bán dữ liệu cá nhân từ các công dân trên toàn thế giới.   



Bản tin 2015


Bản tin EuroPol


Bản tin Ukraine


Quá trình lây nhiễm Carbanak/Cobalt



25/03/2018



Xuất hiện một
ransomware mới là
AVCrypt cố gắng gỡ bỏ
cài đặt phần mềm bảo mật hiện có trên máy tính trước khi nó mã hóa máy tính.



 



22/03/2018


Thị trưởng
thành phố Atlanta, Georgia đã xác nhận trong một cuộc họp báo ngày hôm nay rằng
một số hệ thống CNTT của chính quyền địa phương hiện đang bị lây nhiễm bởi Samsam ransomware. Sự lây nhiễm
ransomware đã bắt đầu từ khoảng 5 giờ 40 sáng, giờ địa phương. Trước đây,
Samsam ransomware cũng đã tấn công và lây nhiễm mạnh ở Sở Giao Thông Colorado
hôm 21/02/2018.



Video họp   báo



20/03/2018



Thông tin về dữ
liệu cá nhân của hơn 50 triệu người dùng Fakebook đã được thu thập và sử dụng
trái phép thông qua một ứng dụng phát triển bởi công ty phân tích dữ liệu của
Anh - Cambridge Analytic (được ví như một liên minh của những dự án quốc
phòng và tính báo, với các nhà thầu tư nhân và những loại vũ khí ảo hiện đại).
Ứng dụng này sẽ ghi lại kết quả của từng bài kiểm tra, thu thập dữ liệu từ
tài khoản của những người đã làm bài trắc nghiệm tâm lý, và còn thu thập dữ
liệu từ Facebook của bạn bè của những người làm bài trắc nghiệm. Điều đáng
nói là Cambridge Analytic sử dụng những thông tin thu thập được cho mục đích
marketing cho các vấn đề liên quan đến tình dục, trí thông
minh,  giới tính sắc tộc, đảng phái chính trị và nga cả những chấn
thương tâm lý thời thơ ấu. Người dùng nên vô hiệu hóa các ứng dụng bên ngoài
(bên thứ 3) từ việc sử dụng dữ liệu Facebook của bạn.



Xem chi tiết



17/03/2018



Giới an ninh mạng
và Kaspersky Lab tuyên bố đã tìm ra những bằng chứng xác
thực
 các cuộc
tấn công từ phần mềm độc hại “
Olympic
Destroyer
” tại Olympic mùa Đông Pyeongchang
2018 cho dù bọn tin tặc tạo hiện trường giả rất tinh vi. P
hần mềm độc hại
nói trên có liên quan đến Lazarus – được chính phủ Triều Tiên hỗ trợ.



 



Thomasz T - Hacker người
Ba Lan, một tội phạm mạng nổi tiếng được cho là tác giả của các dòng
ransomware Polyski, Vortex và Flotera đã bị Cảnh sát Ba Lan bắt giữ vào thứ
Tư, 14 tháng 3, tại thị trấn Opole của Opole. Cảnh sát Ba Lan hiện đang khuyến
khích các nạn nhân của gia đình Polls, Vortex và Flotera ransomware đệ trình
khiếu nại chính thức với chính quyền địa phương để có thể nhận được chìa khóa
giải mã cho các tệp tin. Thomasz T hoạt động dưới biệt danh
"Armaged0n" trên Hackforums[.]net nổi tiếng.



Bản tin



15/03/2018



Theo báo cáo của
Microsoft (SIR 23), năm 2017 Châu Á là khu vực bị ảnh hưởng nặng nề nhất bởi
ransomware, mặc dù ba vụ ransomware là
WannaCry, NotPetya, và Bad Rabbit là điển hình
của năm nhưng top 5 ransomware hoạt động mạnh nhất 2017 thuộc về LockScreen
(Android screenlocker/ransomware), WannaCry, Cerber, Enestedel và Spora.



 



Xuất hiện Zenis ransomware không những
mã hóa dữ liệu mà còn tìm kiếm, ghi đè và xóa dữ liệu backup khiến cho việc
phục hồi trở nên khó khăn.



 



12/03/2018



Theo một báo
cáo của McAfee phát hành, Necurs (60%) và Gamut (37%) là 02 Botnets chiếm 97%
email spam của thế giới Internet. Lethic (1%) Darkmailer (1%), và một số
botnets khác chỉ chiếm 1 % còn lại. Cũng theo báo cáo, Flashback
(infostealer) và Longage (RAT) là các mối đe dọa Mac phổ biến nhất trong quý
4 năm 2017, phần mềm độc hại PowerShell tăng gấp ba lần, tăng 267%.


Necurs một botnet
spam được cho là có hàng triệu bot, hoạt động chính của Botnet là ngoài việc
lan truyền keylogger, Trojan ngân hàng, và một số dòng ransomware đình đám
như Locky, GlobeImposter... ngoài ra Necurs còn spam hàng triệu thư rác thu
hút người dùng cho các trang web dành cho người lớn, quảng bá tiền điện tử...
(ví dụ như thông qua những chiến dịch spam khổng lồ gửi hàng triệu email spam
cho một tiền ảo mới tên là Swisscoin
vào 01/2018 sau việc John McAfee, người sáng lập công ty bảo mật mạng McAfee,
đã đăng lên tài khoản Twitter của mình nhiều loại tiền điện tử trong  mẩu tin "Coin of the Day").


Gamut, một Botnet
khác cũng được xây dựng trên hệ thống các máy Windows bị nhiễm phần mềm độc hại
nhằm tấn công các hệ thống khác để gửi spam.


Theo thống kê,
Việt Nam cũng nằm trong Top 10 quốc gia bị kiểm soát bởi các botnets trên.



Xem chi tiết



07/03/2018



Sàn giao dịch Binance bị nghi ngờ tấn công khi rất
nhiều tài khoản (ví điện tử) được sử dụng để mua Viacoin ( một đồng tiền mã hóa ít người biết đến và làm
tăng giá trị của đồng tiền này lên gấp 3 – 4 lần chỉ trong vài tiếng đồng hồ)
Ngay sau đó, Binance đã có động thái là đóng băng tất cả các tài khoản, ngăn
chặn việc rút tiền, tiến hành điều tra và sẽ đảo ngược lại tất cả các giao dịch
sai phạm.  Sau đó 
Binance đã
treo giải thưởng bằng Binance Coin (BNB) trị giá 250.000 USD cho bất cứ ai có
thể cung cấp bằng chứng kết luận giúp Binance có thể truy tố và bắt giam kẻ tấn
công đã cố gắng tấn công vào sàn giao dịch.



 



28/02/2018



GitHub đã phải trải qua những
cuộc tấn công DDoS lớn nhất từ trước đến nay, với lưu lượng truy cập đến 1,35
Tbps.
 Kẻ tấn công đã bắt đầu lợi dụng
giao thức memcached để thực hiện các cuộc tấn công từ chối dịch vụ
(DDoS). Memcached là một hệ thống lưu trữ bộ nhớ đệm mã nguồn mở được
thiết kế để xử lý một số lượng lớn các kết nối mở. Máy khách có thể liên lạc
với các máy chủ memcached qua TCP hoặc UDP trên cổng 11211.


Taylor Huddleston –  26 tuổi đang sống tại Arkansas, Mỹ
bị phạt 33 tháng tù vì cố ý bán một trojan truy cập từ xa (RAT), được gọi là NanoCore, cho các tội phạm mạng với
giá 25 USD.



 Bài viết chi tiết



24/02/2018



Sau GandCrab ransomwareSaturn Ransomware thì Data Kepper là ransomware thứ ba được
cung cấp cho phép bất cứ ai cũng có thể phân phối ransomware miễn phí thông
qua chương trình liên kết Ransomware-as-a-Service (RaaS) trên các trang Web
đen.



Bài viết về RaaS



22/02/2018



Mã độc Red Alert 2.0 (Android Banking
Trojan) tiếp tục lây lan mạnh tại khu vực Nga và Châu Âu thông qua các ứng dụng
ngân hàng và ứng dụng xã hội.



Bài viết



21/02/2018



Bộ Giao thông
Colorado (DOT) đã phải ngưng sử dụng và phục hồi dữ liệu hệ thống cho hơn
2.000 máy tính sau khi hệ thống trên bị nhiễm SamSam ransomware.



Bản tin



20/02/2018



Phát hiện Annabelle
Ransomware
với khả năng: Vô hiệu hóa các chương trình
bảo mật, vô hiệu hóa tính năng Windows Defender, tắt tính năng Firewall
Protection, mã hóa dữ liệu người dùng, lây nhiễm qua các cổng USB và khởi động
nhiều chương trình khác nhau. Rất may, Annabelle Ransomware dựa trên Stupid
ransomware và sử dụng khóa tĩnh nên có thể giải mã được.


Cập nhập: Decrypter của
Bitdefender phát hành ngày 05/03/2018:


https://labs.bitdefender.com/2018/03/annabelle-ransomware-decryption-tool/



Download


Download



19/02/2018



Một trang web đã “nhái” lại màn
hình đăng nhập của Snapchat và hacker đã ăn cắp được hơn
 55.851 tài khoản đã được công khai rộng rãi trong trang web klkviral.org
(hiện Snapchat đang có 187 triệu người
dùng)



 



15/02/2018



Hãng bảo mật lừng
danh 
Gdata Software AG của Đức
ra mắt sản phẩm miễn phí kiểm tra phát hiện lỗ hổng bảo mật Meltdown và
Spectre.



Download



Christopher Victor Grupe, 46 tuổi, bị phạt tù 366 ngày vì tội đã đăng nhập
vào hệ thống bằng các thông tin của mình sau đó xóa quyền truy cập cấp quản
trị của các admin khác, xóa các tập tin quan trọng khỏi mạng và đổi mật khẩu
để các nhân viên khác không thể truy cập lại sau khi bị sa thải tại hãng đường sắt Canadian Pacific Railway
(CPR)  - Để đảm bảo an toàn CNTT, các công ty nên thu hồi mọi thứ
liên quan tới công việc trước khi sa thải những nhân viên nắm giữ thông tin quan
trọng của chính mình.



 



14/02/2018



Vương quốc Anh
đã trở thành quốc gia phương Tây đầu tiên chính thức buộc tội quân đội Nga điều
phối và tung ra vụ ransomware NotPetya. Sau vụ Petya xảy ra vào tháng 06/2017
thì Bab Rabbit xảy ra vào tháng 10/2017 là 01 phiên bản sửa lỗi của Petya
cũng được nghi ngờ do Cục Quản lý Thông minh Chính phủ Quân đội Nga (viết tắt
là GRU) tạo ra.



 



Cập nhập công
cụ giải mã JigSawDecrypter bản Korea  (với
file mở rộng .Locked)


Korean Jigsaw
ransomware
 VirusTotal



Download


Download



13/02/2018



Cập nhập công
cụ giải mã InsanseCryptDecrypter
(với file mở rộng .Tornado)



Download



Phát hành công
cụ giải mã Pendor ransomware (với
file mở rộng .pnr)



Download



09/02/2018



Một loại virus máy tính có tên Olympic
Destroyer
” được thiết kế để đánh sập
hệ thống máy tính bằng cách xóa các tập tin hệ thống quan trọng, và tấn công
vào trang web của Olympic mùa Đông Pyeongchang 2018 đã khiến một
số khán giả không thể in vé và đã làm tê liệt mạng lưới internet ,
hệ thống WiFi không hoạt động trong buổi lễ khai mạc với mục đích chỉ
để làm bẽ mặt nhà tổ chức.



 Bài viết



Song
song với việc Tổng thống Donald Trump vừa ký lệnh cấm sử dụng phần mềm
Kaspersky trên toàn nước Mỹ hôm 12/12/2017 áp dụng đối với tất cả các mạng lưới
dân sự lẫn quân sự do lo ngại việc Kaspersky đánh cắp dữ liệu người dùng và
có nguy cơ gián
điệp, Chính phủ Mỹ đang xem xét mở rộng lệnh
cấm với các nhà sản xuất Trung Quốc như ZTE , Huawei , Datang và Zhongxing,
hoặc các Công ty có công nghệ nhạy cảm. Nguyên nhân lo ngại là các thiết bị
di động có firmware chứa “cửa hậu” cho phép nhà sản xuất theo dõi, thu thập
thông tin người dùng, hoặc cài đặt thêm các phần mềm bổ sung ngay cả khi thiết
bị đã bàn giao cho người dùng. Ngoài ra rất nhiều firmware khác đang chạy
trên xe hơi, các thiết bị thông minh..., tự động cập nhật liên tục để cài ứng
dụng từ xa và truyền thông tin mà người dùng không hề hay biết giúp những
doanh nghiệp Trung Quốc khác theo dõi hành vi người dùng.



 



06/02/2018



Xuất hiện biến
thể mới của WannaCry là Black Ruby, tấn công vào máy
tính của người dùng, cài đặt phần mềm độc hại, kết hợp giữa việc mã hóa thiết
bị đòi tiền chuộc và đào tiền ảo
.



 



05/02/2018



Cập nhập công
cụ giải mã Crypt12Decrypter  (sử
dụng email [email protected])



Download


Download



30/01/2018



Trung Quốc
công bố siết chặt việc sử dụng phần mềm VPN vượt tường lửa, các
công ty và cá nhân trong và ngoài nước chỉ sử dụng phần mềm được Chính phủ
phê duyệt để truy cập Internet toàn cầu từ nước này.
 



 



24/01/2018



Công ty cổ phần Cảng Sài Gòn (mã chứng khoán SGP) vừa công bố thông tin hệ thông phần mềm kế toán (hệ thống PL-FS) của công
ty bị sự cố nhiễm WannaCry ransomware và bị mã hóa toàn bộ số liệu, dẫn đến
không thể đọc được dữ liệu nên công tác lập BCTC quý 4 và cả năm 2017 bị ảnh
hưởng, công ty không thể hoàn thành và công bố thông tin về các BCTC quý 4 và
cả năm 2017 theo đúng thời hạn quy định (ngày 30/1/2018).



Xem thông báo



19/01/2018



Samsam
(Samas) ransomware
đang bùng phát trở lại, tấn công hàng loạt
bệnh viện, cơ sở hạ tầng CNTT các thành phố, khu công nghiệp.



Bản tin



Nhóm tin tặc Dark Caracal đã được phát hiện tại một
tòa nhà ở thủ đô Beirut của Lebanon hoạt động trong bóng tối suốt 6 năm qua
chuyên hoạt động do thám giới nhà báo, giới quân sự, chính khách và các tập
đoàn lớn của 21 quốc gia trong đó có Việt Nam. Dark Caracal thường sử dụng mã
độc Android ẩn trong các ứng dụng tin nhắn giả dạng như Signal và WhatsApp nhằm
đánh cắp tin nhắn và các loại dữ liệu khác từ thiết bị di động. Mã độc
Android của Dark Caracal cho phép kích hoạt camera trước và sau điện thoại để
chụp ảnh trộm, đồng thời bí mật ghi âm trộm qua microphone. Ngoài ra 
CrossRAT  (một
mã độc đa nền tảng), hoặc  
FinFisher - một phần mềm
dạng công cụ gián điệp được Dark Caracal dùng để theo dõi các cơ quan chính
phủ và luật pháp.



Chi tiết 1


Chi tiết 2



16/01/2018



Trang chủ và hệ thống
thanh toán của OnePlus bị hack, hơn
40.000 thẻ tín dụng bị lộ thông tin.



 



Phillip
R. Durachinsky
(một lập trình viên sống tại bang Ohio, Mỹ) là
tác giả của malware
FruitFly (Durachinsky
khi tạo ra phiên bản đầu tiên của FruitFly khi mới chỉ có 14 tuổi)
chuyên tấn công những người dùng máy tính Mac của Apple trên toàn
thế giới hôn nay đã được Bộ Tư pháp Hoa Kỳ đưa ra xét xử với 16 cáo
buộc xoay quanh hành vi cài đặt phần mềm gián điệu lên hàng ngàn
máy tính trong suốt hơn 13 năm qua.


FruitFly là một
malware có khả năng giám sát các thiết bị MacOS, đồng thời cho phép
Duranchinsky điều khiển webcam, mic thoại, màn hình, chuột, bàn phím
và thậm chí là cài đặt những phần mềm độc hại từ xa. FruitFly đã
trú ẩn trong vô số những chiếc laptop MacOS bao lâu nay mà không bị
phát hiện, mặc dù những đoạn code của nó rất sơ đẳng và không có
gì phức tạp, mã nguồn của FruitFly bao gồm cả những mã lệnh Linux
và nó cũng hoạt động được với hệ điều hành Linux.



FruitFly VirusTotal



12/01/2018



Lo ngại về vấn đề an ninh và vi phạm các quy định của Đạo luật về thỏa
thuận Thương mại (TAA) như " Made in USA " ' UNITED DGITAL' /
'United Digital Technologies"... các căn cứ quân sự, không quân, đại sứ
quán và chính phủ của Mỹ gần đây đã tháo bỏ toàn bộ camera giám sát
Hikvision. Hikvision là công ty sản
xuất camera giám sát lớn nhất thế giới, chính quyền Trung Quốc nắm giữ 42% cổ
phần của công ty này. Mặc dù Hikvision cho biết sản phẩm của họ sản xuất phù
hợp với tiêu chuẩn chất lượng, an ninh, không có back door, đồng thời cam kết
không bị chính quyền Trung Quốc lợi dụng để ngầm giám sát. Nhưng dựa vào năng
lực gián điệp lớn mạnh của Trung Quốc, các chuyên gia an ninh mạng cũng đưa
ra quan ngại về vấn đề này. Họ chỉ ra, chính quyền Trung Quốc gây áp lực đối
với các doanh nghiệp tư nhân, và kiểm soát sự vận hành của các công ty này. Nửa
thế kỷ trước, Hikvision vốn là một phòng thực nghiệm của chính quyền Trung Quốc
về phát triển quân sự và kỹ thuật công nghiệp. Cùng với việc được chính quyền
Trung Quốc giúp đỡ, Hikvision cũng giúp đỡ chính quyền tiến hành giám sát 1,4
tỷ người dân Trung Quốc, vì thế mà sản phẩm của công ty này tại Trung Quốc
cũng được sử dụng rất rộng rãi.



Xem chi
tiết



04/01/2018



Hai lỗi bảo mật lớn trên chip máy tính vừa được phát hiện, được gọi là
Meltdown Spectre, ảnh hưởng đến hầu hết các thiết bị được sản xuất trong
20 năm qua.


Meltdown là lỗi bảo mật chỉ xảy ra với các thiết bị Intel. Spectre
nguy hiểm hơn, khi nó ảnh hưởng đến các CPU của cả AMD và Intel, chip ARM
trên thiết bị di động.



 



01/01/2018



FBI trao tặng "Huân Chương Người Hùng ransomware" cho Michael Gillespie (biệt danh Demonslay 335) là một thành viên của cộng đồng Infosec, là tác giả của các công cụ
giải mã ransomware khác nhau, và là người sáng tạo
ID Ransomware, RansomNoteCleanerCryptoSearch. Michael Gillespie đã hỗ
trợ miễn phí và tạo ra nhiều công cụ giúp giải mã ramsomware trong nhiều năm
trên các diễn đàn.