Gigabyte bị tấn công bởi mã độc RansomEXX

Thành Luân
Thành Luân
08/08/2021 10:03 GMT+7

Nhà sản xuất bo mạch chủ Đài Loan Gigabyte đã bị tấn công bởi nhóm ransomware RansomEXX. Kẻ đe dọa sẽ xuất bản 112 GB dữ liệu bị đánh cắp trừ khi được trả tiền chuộc.

Theo BleepingComputer, cuộc tấn công xảy ra buộc công ty phải đóng cửa các hệ thống của mình ở Đài Loan. Vụ việc cũng ảnh hưởng đến nhiều trang web của công ty, bao gồm cả trang web hỗ trợ và các phần của trang web Đài Loan. Khách hàng cũng báo cáo cho biết họ đang gặp sự cố khi truy cập tài liệu hỗ trợ hoặc thông tin cập nhật về RMA, có thể là do cuộc tấn công ransomware gây ra.
Theo xác nhận từ Gigabyte, vụ tấn công mạng đã ảnh hưởng đến một số lượng nhỏ máy chủ của công ty. Sau khi phát hiện hoạt động bất thường trên mạng của mình, họ đã đóng hệ thống CNTT và thông báo cho cơ quan thực thi pháp luật.
Mặc dù Gigabyte chưa chính thức tuyên bố tổ chức nào đã thực hiện cuộc tấn công nhưng theo ghi nhận từ BleepingComputer, nhóm RansomEXX đứng sau vụ này. RansomEXX là nhóm tạo ghi chú đòi tiền chuộc trên mỗi thiết bị được mã hóa. Các ghi chú đòi tiền chuộc này chứa liên kết đến một trang không công khai, có nghĩa chỉ nạn nhân mới có thể truy cập được để kiểm tra khả năng giải mã của một tập tin và để lại địa chỉ email để bắt đầu đàm phán về tiền chuộc.
Trong một ghi chú đòi tiền chuộc được ghi nhận, những kẻ đe dọa nói rằng “Hello, Gigabyte (gigabyte.com)” bao gồm một liên kết đến trang rò rỉ riêng tư. Trên trang này, những kẻ đe dọa tuyên bố đã đánh cắp 112 GB dữ liệu từ mạng Gigabyte nội bộ cũng như American Megatrends Git Repository. Những kẻ đe dọa cũng chia sẻ ảnh chụp màn hình của 4 tài liệu Thỏa thuận bảo mật thông tin (NDA) bị đánh cắp trong cuộc tấn công, bao gồm tài liệu gỡ lỗi Megatrends của Mỹ, các vấn đề tiềm ẩn của Intel, lịch cập nhật SKU Ice Lake D và hướng dẫn sửa đổi AMD.
Được biết, hoạt động ransomware RansomEXX bắt đầu dưới tên Defray vào năm 2018 nhưng được đổi tên thành RansomEXX vào tháng 6.2020 khi chúng hoạt động nhiều hơn. Giống như các hoạt động ransomware khác, RansomEXX sẽ xâm phạm mạng thông qua Remote Desktop Protocol*, khai thác hoặc thông tin đăng nhập bị đánh cắp.
Khi họ có quyền truy cập vào mạng, họ sẽ thu thập được nhiều thông tin đăng nhập hơn khi giành quyền kiểm soát bộ điều khiển miền Windows. Trong quá trình lan truyền ngang qua mạng này, băng nhóm ransomware sẽ đánh cắp dữ liệu từ các thiết bị không được mã hóa được sử dụng làm đòn bẩy trong các vụ tống tiền.
RansomEXX không chỉ nhắm mục tiêu đến các thiết bị Windows mà còn tạo ra một trình mã hóa Linux để mã hóa các máy ảo chạy máy chủ VMware ESXi. Trong tháng qua, RansomEXX đã trở nên tích cực hơn khi chúng gần đây đã tấn công khu vực Lazio của Ý và Corporación Nacional de Telecomunicación (CNT) do nhà nước Ecuador điều hành. Các cuộc tấn công nổi tiếng khác của băng nhóm ransomware bao gồm các mạng của chính phủ Brazil, Bộ Giao thông Vận tải Texas (TxDOT), Konica Minolta, IPG Photonics và Tyler Technologies.
Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.