Các nhà nghiên cứu an ninh mạng đã xác định một hoạt động tấn công mạng quy mô lớn nhắm vào các tổ chức y tế châu Âu.
Từ tháng 6 đến tháng 10 năm 2024, một số tổ chức chăm sóc sức khỏe ở châu Âu đã trở thành mục tiêu của một chiến dịch tấn công tinh vi. Theo Orange Cyberdefense, một nhóm tin tặc có biệt danh "Green Nailao" bị cáo buộc đã khai thác các lỗ hổng bảo mật để xâm nhập vào các cơ sở hạ tầng quan trọng này. Kho vũ khí của họ là gì? Hai phần mềm độc hại gián điệp mạng nổi tiếng của Trung Quốc, ShadowPad và PlugX, và một loại ransomware mới, NailaoLocker.
Về phần mình, PlugX, hoạt động từ 2008, ban đầu nhắm mục tiêu vào các thực thể ở Nhật Bản trước khi lan rộng khắp Châu Á. Sự hiện diện của nó trong cuộc tấn công ở châu Âu này đánh dấu sự phát triển đáng chú ý về phạm vi hoạt động của nó.
Cách thức hoạt động của tin tặc dựa trên việc khai thác lỗ hổng hiện diện trong phần mềm bảo mật do một công ty Israel phát triển. Sau khi xâm nhập, chúng triển khai phần mềm độc hại này để kiểm soát các hệ thống và truy cập vào các cơ sở dữ liệu nhạy cảm.
Cách thức hoạt động của nó tương đối đơn giản: nó mã hóa các tệp của nạn nhân và yêu cầu thanh toán bằng Bitcoin thông qua địa chỉ ProtonMail. Mặc dù có hiệu quả, các chuyên gia chỉ ra những điểm không nhất quán về mặt kỹ thuật trong thiết kế của nó, cho thấy sự phát triển vội vã hoặc sự can thiệp của những tin tặc ít kinh nghiệm hơn.
Tại sao lại có một loại ransomware như vậy trong một cuộc tấn công tinh vi như vậy? Một số nhà phân tích cho rằng nó có thể được sử dụng cho cả hai mục đích: gián điệp và tài chính. Các nhóm tin tặc có liên hệ với nhà nước ngày càng sử dụng phần mềm tống tiền để đa dạng hóa doanh thu và che giấu một số hoạt động nhất định.
Bước cuối cùng dựa vào một kỹ thuật nổi tiếng: Tải DLL. Thông qua một tệp thực thi được ký bởi Công ty TNHH Công nghệ Mạng Huorong Bắc Kinh, họ cài đặt một trình tải có tên là NailaoLoader, trình tải này kích hoạt việc thực thi NailaoLocker. Để đảm bảo việc triển khai, chúng sử dụng Windows Management Instrumentation (WMI), một công cụ hợp pháp được chuyển hướng cho mục đích xấu.
Các chiến dịch gián điệp mạng trước đây được cho là do Trung Quốc thực hiện, đáng chú ý là các chiến dịch của nhóm APT41, đã cho thấy sự quan tâm rõ rệt đến lĩnh vực dược phẩm. Vào năm 2020, các cuộc tấn công tương tự đã nhắm vào các công ty đang nghiên cứu vắc-xin Covid-19.
Các chuyên gia an ninh mạng lo ngại những cuộc tấn công này sẽ ngày càng gia tăng. Mặc dù việc bổ sung phần mềm tống tiền có vẻ như là một chiến thuật mới, nhưng việc sử dụng ngày càng nhiều các kỹ thuật tiên tiến để vượt qua các biện pháp bảo vệ cho thấy các cuộc tấn công sẽ ngày càng khó chống lại. Theo họ, xu hướng này sẽ còn tăng tốc hơn nữa trong những tháng tới.
Từ tháng 6 đến tháng 10 năm 2024, một số tổ chức chăm sóc sức khỏe ở châu Âu đã trở thành mục tiêu của một chiến dịch tấn công tinh vi. Theo Orange Cyberdefense, một nhóm tin tặc có biệt danh "Green Nailao" bị cáo buộc đã khai thác các lỗ hổng bảo mật để xâm nhập vào các cơ sở hạ tầng quan trọng này. Kho vũ khí của họ là gì? Hai phần mềm độc hại gián điệp mạng nổi tiếng của Trung Quốc, ShadowPad và PlugX, và một loại ransomware mới, NailaoLocker.
Các công cụ gián điệp mạng được thiết lập tốt
ShadowPad và PlugX không còn xa lạ với bối cảnh gián điệp mạng. ShadowPad, xuất hiện vào năm 2015, đã bị phát hiện có liên quan đến các cuộc tấn công nhắm vào chính phủ, công ty công nghệ và ngành năng lượng. Phiên bản mới nhất của nó, được phát hiện trong chiến dịch này, đã được sửa đổi để tăng cường khả năng ẩn mình và tránh phân tích an ninh mạng.Về phần mình, PlugX, hoạt động từ 2008, ban đầu nhắm mục tiêu vào các thực thể ở Nhật Bản trước khi lan rộng khắp Châu Á. Sự hiện diện của nó trong cuộc tấn công ở châu Âu này đánh dấu sự phát triển đáng chú ý về phạm vi hoạt động của nó.
Cách thức hoạt động của tin tặc dựa trên việc khai thác lỗ hổng hiện diện trong phần mềm bảo mật do một công ty Israel phát triển. Sau khi xâm nhập, chúng triển khai phần mềm độc hại này để kiểm soát các hệ thống và truy cập vào các cơ sở dữ liệu nhạy cảm.
NailaoLocker: một phần mềm tống tiền bất ngờ và vụng về
Yếu tố gây ngạc nhiên của chiến dịch này vẫn là sự ra mắt của phần mềm tống tiền mới, có tên là NailaoLocker. Không giống như các cuộc tấn công thường được cho là do các nhóm gián điệp mạng Trung Quốc thực hiện, trong đó ưu tiên thường là thu thập thông tin một cách kín đáo, phần mềm độc hại này có mục tiêu trực tiếp hơn: tống tiền.Cách thức hoạt động của nó tương đối đơn giản: nó mã hóa các tệp của nạn nhân và yêu cầu thanh toán bằng Bitcoin thông qua địa chỉ ProtonMail. Mặc dù có hiệu quả, các chuyên gia chỉ ra những điểm không nhất quán về mặt kỹ thuật trong thiết kế của nó, cho thấy sự phát triển vội vã hoặc sự can thiệp của những tin tặc ít kinh nghiệm hơn.
Tại sao lại có một loại ransomware như vậy trong một cuộc tấn công tinh vi như vậy? Một số nhà phân tích cho rằng nó có thể được sử dụng cho cả hai mục đích: gián điệp và tài chính. Các nhóm tin tặc có liên hệ với nhà nước ngày càng sử dụng phần mềm tống tiền để đa dạng hóa doanh thu và che giấu một số hoạt động nhất định.
Một vụ xâm nhập tỉ mỉ và thực hiện suôn sẻ
Cách thức hoạt động của tin tặc tuân theo một trình tự cực kỳ hiệu quả. Chúng bắt đầu bằng cách khai thác mật khẩu yếu và bỏ qua xác thực đa yếu tố để đột nhập vào hệ thống mục tiêu. Sau khi vào vị trí, chúng thực hiện ánh xạ mạng trước khi di chuyển ngang qua Giao thức máy tính từ xa (RDP) để nâng cao đặc quyền của chúng.Bước cuối cùng dựa vào một kỹ thuật nổi tiếng: Tải DLL. Thông qua một tệp thực thi được ký bởi Công ty TNHH Công nghệ Mạng Huorong Bắc Kinh, họ cài đặt một trình tải có tên là NailaoLoader, trình tải này kích hoạt việc thực thi NailaoLocker. Để đảm bảo việc triển khai, chúng sử dụng Windows Management Instrumentation (WMI), một công cụ hợp pháp được chuyển hướng cho mục đích xấu.
Ngành chăm sóc sức khỏe, mục tiêu chính
Loại tấn công này vào ngành y tế không phải là chuyện ngẫu nhiên. Bệnh viện và phòng thí nghiệm xử lý dữ liệu có độ nhạy cảm cao, khiến chúng trở thành mục tiêu lý tưởng cho tội phạm mạng. Việc đánh cắp thông tin y tế hoặc làm tê liệt hệ thống có thể dẫn đến hậu quả nghiêm trọng, vượt xa tổn thất tài chính.Các chiến dịch gián điệp mạng trước đây được cho là do Trung Quốc thực hiện, đáng chú ý là các chiến dịch của nhóm APT41, đã cho thấy sự quan tâm rõ rệt đến lĩnh vực dược phẩm. Vào năm 2020, các cuộc tấn công tương tự đã nhắm vào các công ty đang nghiên cứu vắc-xin Covid-19.
Các chuyên gia an ninh mạng lo ngại những cuộc tấn công này sẽ ngày càng gia tăng. Mặc dù việc bổ sung phần mềm tống tiền có vẻ như là một chiến thuật mới, nhưng việc sử dụng ngày càng nhiều các kỹ thuật tiên tiến để vượt qua các biện pháp bảo vệ cho thấy các cuộc tấn công sẽ ngày càng khó chống lại. Theo họ, xu hướng này sẽ còn tăng tốc hơn nữa trong những tháng tới.
