Chống tấn công DDoS Ransomware HelloKitty chuyên khai thác lỗ hổng Website
04 Tháng 11, 2021

Chống tấn công DDoS Ransomware HelloKitty chuyên khai thác lỗ hổng Website

Trong thời gian qua đã xảy ra rất nhiều vụ tấn công mạng bằng mã độc tống tiền (ransomware). Như công ty đường ống dẫn nhiên liệu hàng đầu của Mỹ Colonial hay ngay cả công ty công nghệ hàng đầu thế giới Kaseya cũng là nạn nhân của tấn công ransomware. Và thời gian gần đây, cộng đồng an ninh mạng thế giới đã phải xôn xao với một loại mã độc mới có tên là HelloKitty. Vậy ransomware HelloKitty là gì và cách phòng chống tấn công DDoS ransomware HelloKitty như thế nào?

Vì sao các doanh nghiệp cần phải ngăn chặn tấn công DDoS Ransomware HelloKitty?

Cục Điều tra Liên bang Hoa Kỳ (FBI) đã lên tiếng cảnh báo về một loại ransomware nguy hiểm mới. Đó là mã độc tống tiền HelloKitty hay còn gọi là DeathRansom, FiveHands. Trước kia, loại ransomware này chỉ mã hoá file và đòi tiền chuộc. Nhưng giờ đây, HelloKitty còn sẵn sàng dùng tấn công từ chối dịch vụ phân tán (DDoS) để buộc nạn nhân trả tiền chuộc.

Vào tuần trước, FBI phối hợp với Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đưa ra thông báo mới. Họ cho biết HelloKitty sẽ đánh sập hệ thống web nếu nạn nhân không tuân thủ các yêu cầu đòi tiền chuộc.

HelloKitty chuyên đánh cắp các tài liệu nhạy cảm từ máy chủ của nạn nhân và mã hoá chúng. Những kẻ tấn công dùng dữ liệu nhạy cảm đó làm “con tin”, buộc nạn nhân phải trả tiền chuộc. Nếu không, hậu quả là những kẻ đứng đằng sau HelloKitty sẽ làm rò rỉ những thông tin đó trên các trang chuyên về rò rỉ dữ liệu.

FBI còn cho biết thêm: “Trong một số trường hợp, nếu nạn nhân không phản hồi sớm hoặc không trả tiền chuộc, tội phạm mạng sẽ tấn công DDoS vào website của nạn nhân.”

“HelloKitty/FiveHands thường yêu cầu các khoản tiền chuộc bằng Bitcoin tương xứng với quy mô và tiềm lực của nạn nhân. Nếu không trả tiền chuộc, kẻ tấn công đe doạ sẽ đăng dữ liệu lên trang Babuk.bin). Hoặc bán nó cho một bên thứ ba, thường là các nhà môi giới dữ liệu.” Vì vậy, nếu doanh nghiệp không có các biện pháp chống DDoS Ransomware HelloKitty attack, hậu quả sẽ rất nghiêm trọng.

Ransomware HelloKitty tấn công website doanh nghiệp như thế nào?

HelloKitty tấn công nạn nhân từ các thông tin đăng nhập bị rò rỉ. Hoặc chúng lợi dụng lỗ hổng bảo mật của website để xâm nhập vào hệ thống mạng của họ. Các lỗi bảo mật này có thể là các bản vá trong các sản phẩm SonicWall như CVE-2021-20016, CVE-2021-20021, CVE-2021-20022, CVE-2021 -2002.

Ransomware này bắt đầu hoạt động vào cuối năm ngoái, tháng 11/2020. Và bị FBI để mắt tới từ đầu năm 2021. Nhưng đến tháng 2 năm nay, HelloKitty mới được nhiều người biết đến. Chúng là thủ phạm đứng sau vụ xâm phạm và mã hoá hệ thống của studio game CD Projekt Red. Tại thời điểm đó, băng nhóm này tuyên bố đã đánh cắp mã nguồn của Cyberpunk 2077, Witcher 3, Gwent và các trò chơi khác.

Không lâu sau đó, HelloKitty lên tiếng thông báo đã bán các tệp đánh cắp từ CD Projekt Red. Tuy nhiên, thông tin này vẫn chưa được xác minh rõ ràng.

Vào tháng 7 vừa qua, nhóm ransomware này đã có dấu hiệu hoạt động trở lại. Lần này, chúng sử dụng một biến thể Linux nhắm mục tiêu vào nền tảng máy ảo ESXi của VMware. HelloKitty chỉ là một trong số nhiều nhóm ransomware tấn công vào các máy chủ Linux.

Vậy tại sao mục tiêu của Ransomware HelloKitty lại là hệ thống máy chủ ảo?

Máy chủ ảo giúp sử dụng tài nguyên hiệu quả hơn và quản lý các thiết bị dễ dàng hơn. Vì vậy, không có gì ngạc nhiên khi ngày càng có nhiều doanh nghiệp sử dụng chúng. Bằng cách tấn công vào các máy chủ ảo, những kẻ tấn công có thể mã hoá đồng thời nhiều máy chủ chỉ với một lệnh duy nhất. Hiển nhiên, điều này giúp chúng tiết kiệm được rất nhiều thời gian và công sức. Do đó, các doanh nghiệp sử dụng máy chủ ảo trở thành mục tiêu tấn công là một điều dễ hiểu.

ngăn chặn tấn công DDoS Ransomware HelloKitty

Đệ trình ransomware HelloKitty (ID Ransomware)

Theo ghi nhận từ ID Ransomware, HelloKitty đã gia tăng đáng kể vào tháng 7 và tháng 8 năm nay. Chúng đã hoạt động mạnh mẽ hơn kể từ khi sử dụng biến thể Linux trong các cuộc tấn công.

Ngoài ra, FBI cũng đã chia sẻ về các chỉ số xâm phạm (IOC) trong cảnh báo của họ. Nhờ vậy, các chuyên gia an ninh mạng và quản trị viên hệ thống có thể sớm nhận biết. Từ đó đưa ra các biện pháp thích hợp để chống tấn công ransomware HelloKitty.

Làm thế nào để ngăn chặn tấn công DDoS Ransomware HelloKitty?

Các cơ quan chức năng như FBI cũng đã lên tiếng cảnh báo về mức độ nguy hiểm của chúng cũng như việcngăn chặn tấn công DDoS Ransomware HelloKitty. Vì vậy, các doanh nghiệp cần phải hết sức cảnh giác. Đồng thời thực hiện các biện pháp chống tấn công DDoS Ransomware HelloKitty như sau:

  • Không mở các tệp đính kèm email, các liên kết từ người gửi không xác định.

  • Tránh mở các bản tải xuống bằng trình tải xuống của bên thứ ba hoặc các website không chính thức.

  • Chỉ sử dụng các công cụ được phát hành từ các nhà phát triển chính thức.

  • Luôn cập nhật các phần mềm chống vi-rút và chống phần mềm gián điệp.

Nếu doanh nghiệp của bạn đã nhiễm mã độc tống tiền HelloKitty, cần thực hiện các bước sau đây đểngăn chặn DDoS Ransomware HelloKitty attack trở nên nghiêm trọng hơn:

Bước 1: Báo cáo ransomware cho các cơ quan chức năng ngay lập tức

Bước 2: Cách ly thiết bị đang nghi ngờ bị nhiễm ransomware

Bước 3: Xác định nguồn lây nhiễm ransomware

Bước 4: Tìm kiếm các công cụ giải mã ransomware

Bước 5: Khôi phục các tệp bằng các công cụ khôi phục dữ liệu

Bước 6: Tạo bản sao lưu dữ liệu

VNIS – Giải pháp chống tấn công DDoS Web/App do Ransomware

Những kẻ tấn công ransomware HelloKitty có rất nhiều thủ đoạn để xâm nhập vào hệ thống của doanh nghiệp. Chúng còn kết hợp cả tấn công DDoS để tăng mức độ uy hiếp đối với nạn nhân.

Các phương pháp phòng chống trên chỉ giảm được phần nào nguy cơ bị nhiễm mã độc của doanh nghiệp. Và các công cụ khôi phục dữ liệu cũng không thể đảm bảo phục hồi được tất cả dữ liệu. Vì vậy, doanh nghiệp nên sớm trang bị giải pháp bảo mật chuyên nghiệp để chống tấn công DDoS Ransomware HelloKitty hiệu quả.

VNIS là giải pháp bảo mật website toàn diện cho doanh nghiệp. Với công nghệ Cloud WAF tiên tiến kết hợp cùng trí tuệ nhân tạo AI và máy học, VNIS sẽ kiểm soát và ngăn chặn các lỗ hổng bảo mật, các trình thu thập dữ liệu độc hại, đặc biệt là các lỗ hổng top 10 OWASP. Ngoài ra, nhờ tích hợp công nghệ Multi CDN với băng thông global lên đến 2.600Tbps, VNIS giúp ngăn chặn các cuộc tấn công DDoS layer 3/4/7 lớn nhất.

Nếu bạn cần hỗ trợ hoặc hướng dẫn các giải pháp bảo vệ website toàn diện cho doanh nghiệp, đừng ngần ngại liên hệ với chúng tôi ngay, hoặc gọi về hotline: (028) 7306 8789.

Bài Viết Liên Quan
Cách chống DDoS ngành Y Tế và 5 hiểu biết về các tấn công mạng
Vnetwork|29 Tháng 12, 2021
Cách chống DDoS ngành Y Tế và 5 hiểu biết về các tấn công mạng

Các hệ thống chăm sóc sức khỏe thường dễ bị tấn công DDoS (tấn công từ chối dịch vụ phân tán). Nhưng thực tế lại cho thấy, các tổ chức này chưa nhận biết được những nguy hiểm mà họ đang phải đối mặt. Bài viết dưới đây sẽ trình bày về những mục đích mà Hacker thực hiện các cuộc tấn công DDoS

Những vụ tấn công mạng chấn động và giải pháp chống DDoS cho doanh nghiệp
Vnetwork|30 Tháng 12, 2021
Những vụ tấn công mạng chấn động và giải pháp chống DDoS cho doanh nghiệp

Hiện nay, hầu hết các doanh nghiệp, tổ chức đang chuyển dần sang lưu trữ thông tin trên nền tảng đám mây. Số lượng các cuộc tấn công internet toàn cầu đang tăng dần theo từng năm.

VNETWORK chống DDoS website những ngày đầu năm 2022
Vnetwork|20 Tháng 1, 2022
VNETWORK chống DDoS website những ngày đầu năm 2022

Tấn công DDoS xảy ra ở bất kỳ lĩnh vực nào, cho dù là Thương Mại Điện Tử hay Tài Chính Chứng Khoán,... Bất kể nơi nào có các dịch vụ trực tuyến, đều có khả năng bị DDoS. Các nhà cung cấp dịch vụ bảo mật cũng không ngoại lệ.

© 2019 VNETWORK JSC. All Rights Reserved

VNETWORK Joint Stock Company

Phòng 23.06, Tầng 23, Tòa nhà UOA, 06 Tân Trào, Tân Phú, Quận 7, TP. Hồ Chí Minh

Enterprise Code: 0312353730 - 03/07/2013

Registration Division: Department of Planning and Investment of HCMC

Powered by VNETWORK