-
09/04/2020
-
95
-
753 bài viết
Cảnh báo nguy cơ từ chiến dịch ransomware Medusa và driver độc hại ABYSSWORKER
Trong tháng 3/2025, các cuộc tấn công mạng sử dụng mã độc tống tiền (ransomware) và mã độc đánh cắp thông tin gia tăng đáng kể. Đáng chú ý, nhóm tội phạm mạng Medusa đã mở rộng phạm vi hoạt động, áp dụng các kỹ thuật tinh vi nhằm vô hiệu hóa hệ thống bảo mật của nạn nhân, đe dọa nghiêm trọng đến các tổ chức, doanh nghiệp và cá nhân.
Nhóm này khai thác lỗ hổng để thâm nhập vào hệ thống, mã hóa dữ liệu và yêu cầu tiền chuộc, với số tiền có thể lên đến hàng triệu USD. Một trong số các nạn nhân đáng chú ý là Dịch vụ Tài chính Toyota bị đòi tiền chuộc vào tháng 11/2023.
Vì vậy, các chuyên gia an ninh mạng khuyến cáo:
Ghi chú về tiền chuộc của Medusa ransomware (Nguồn: Unit 42)
Khi được cài đặt trên máy nạn nhân, ABYSSWORKER thực hiện các hành động nhằm vô hiệu hóa các hệ thống EDR, bao gồm:
Mô tả tiêu đề PE của trình điều khiển ABYSSWORKER (Nguồn: Elastic Security Labs)
ABYSSWORKER đã được phát hiện trước đó trong một chiến dịch độc lập. Tuy nhiên, các phân tích chuyên sâu sau đó đã làm rõ hơn cách thức sử dụng Relative Virtual Addresses (RVAs) và các mẫu mã để nghiên cứu mã độc này.
Để giảm thiểu rủi ro trước các mối đe dọa này, chuyên gia WhiteHat đưa ra một số khuyến cáo sau:
Medusa Ransomware - Mối đe dọa toàn cầu
Giữa tháng 3/2025, Cơ quan An ninh mạng (CISA) và Cục Điều tra Liên bang Mỹ (FBI) đưa ra cảnh báo về nhóm Medusa - một tổ chức tội phạm mạng chuyên sử dụng ransomware để tống tiền các cơ quan chính phủ, doanh nghiệp, bệnh viện và trường học.Nhóm này khai thác lỗ hổng để thâm nhập vào hệ thống, mã hóa dữ liệu và yêu cầu tiền chuộc, với số tiền có thể lên đến hàng triệu USD. Một trong số các nạn nhân đáng chú ý là Dịch vụ Tài chính Toyota bị đòi tiền chuộc vào tháng 11/2023.
Vì vậy, các chuyên gia an ninh mạng khuyến cáo:
- Bảo mật dịch vụ điều khiển từ xa và VPN.
- Cập nhật các bản vá bảo mật mới nhất.
- Sao lưu dữ liệu quan trọng định kỳ.
- Giám sát và phát hiện mối đe dọa sớm.
- Nâng cao nhận thức an ninh mạng và bảo vệ thông tin cá nhân.
ABYSSWORKER - Công cụ tấn công EDR trong chiến dịch Medusa
Ngoài ra, ABYSSWORKER là một trình điều khiển độc hại được sử dụng trong các chiến dịch tấn công tài chính, đặc biệt liên quan đến ransomware MEDUSA. Trình điều khiển này được ký bằng chứng chỉ đã bị thu hồi từ các nhà cung cấp Trung Quốc và giả mạo dưới dạng trình điều khiển hợp pháp của CrowdStrike Falcon (smuol.sys).Ghi chú về tiền chuộc của Medusa ransomware (Nguồn: Unit 42)
- Bảo vệ các tiến trình bằng cách tước quyền truy cập từ các tiến trình khác và từ chối truy cập trong tương lai thông qua ObRegisterCallbacks.
- Xóa dấu vết bằng cách loại bỏ các callback thông báo (như PsSetCreateProcessNotifyRoutine) và gỡ bỏ các trình điều khiển mini-filter như FltMgr.sys.
- Thay thế các chức năng chính của trình điều khiển khác bằng IopInvalidDeviceRequest.
Mô tả tiêu đề PE của trình điều khiển ABYSSWORKER (Nguồn: Elastic Security Labs)
ABYSSWORKER đã được phát hiện trước đó trong một chiến dịch độc lập. Tuy nhiên, các phân tích chuyên sâu sau đó đã làm rõ hơn cách thức sử dụng Relative Virtual Addresses (RVAs) và các mẫu mã để nghiên cứu mã độc này.
Nguy cơ từ phần mềm độc hại phát tán qua nền tảng lậu
Bên cạnh ransomware Medusa, Microsoft cũng cảnh báo về làn sóng tấn công nhằm vào người dùng Windows thông qua các trang xem phim lậu. Khi truy cập các trang này, thiết bị có thể bị điều hướng đến tải xuống mã độc, được tội phạm mạng lưu trữ trên GitHub nhằm qua mặt các hệ thống bảo mật.Để giảm thiểu rủi ro trước các mối đe dọa này, chuyên gia WhiteHat đưa ra một số khuyến cáo sau:
- Chặn các chứng chỉ đã biết được sử dụng bởi ABYSSWORKER.
- Giám sát việc cài đặt trình điều khiển đáng ngờ (ví dụ: \device\czx9umpTReqbOOKF).
- Tăng cường bảo vệ các công cụ EDR chống lại việc ghi đè chức năng trình điều khiển và xóa callback.
- Cẩn trọng khi truy cập các trang web không đáng tin cậy và tránh tải xuống phần mềm từ nguồn không chính thống.
Theo Security Online, Báo Thanh niên, WhiteHat