Chính phủ Hoa Kỳ cảnh báo về các cuộc tấn công ransomware nhắm tới hệ thống chăm sóc sức khỏe
Thứ tư vừa qua, Cục Điều tra Liên bang (FBI), Bộ An ninh Nội địa, cùng Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS) đã đưa ra một cảnh báo chung về sự gia tăng của mã độc tống tiền ransomware và nhiều cuộc tấn công mạng khác nhắm tới hệ thống bệnh viện và các tổ chức chăm sóc sức khỏe.
“Tội phạm mạng đang nhắm mục tiêu tới các tổ chức chăm sóc sức khỏe bằng mã độc TrickBot . Điều này thường dẫn tới các cuộc tấn công ransomware, rò rỉ dữ liệu, và gây gián đoạn các dịch vụ chăm sóc sức khỏe,” Cơ quan An ninh mạng và Cơ sở hạ tầng cho biết .
Mạng botnet khét tiếng này thường lây nhiễm qua các email spam độc hại. Sau đó, chúng sẽ đánh cắp dữ liệu tài chính, thông tin cá nhân của nạn nhân và cài đặt mã độc tống tiền ransomware trên các hệ thống bị ảnh hưởng.
Đáng chú ý là nhóm tội phạm mạng đã từng sử dụng TrickBot để nhắm tới một nhà cung cấp dịch vụ chăm sóc sức khỏe lớn có tên là Universal Health Services . Được biết vào cuối tháng trước hệ thống của nhà cung cấp này đã bị tê liệt do Ryuk ransomware tấn công.
Những tuần gần đây, cơ sở hạ tầng TrickBot cũng đã bị gián đoạn nghiêm trọng khi Microsoft cùng các công ty công nghệ phối hợp với nhau tấn công vào các máy chủ command-and-control (C2) của mạng botnet này và khiến nó không thể truy cập được.
“Việc các công ty công nghệ nỗ lực đánh sập mạng botnet này đã làm cơ sở hạ tầng của TrickBot thay đổi, và khiến chúng tôi đối mặt với thách thức mới do không còn hệ thống phân tích telemetry như trước đây,” chuyên gia bảo mật Alex Holden của Hold Security chia sẻ với The New York Times.
Mặc dù báo cáo liên bang không nêu tên bất cứ tin tặc nào, nhưng bản tư vấn bảo mật đã đề cập tới một backdoor framework mới của TrickBot có tên là Anchor. Framework này đang được sử dụng trên nền tảng mới là Linux để có thể nhắm tới nhiều nạn nhân hơn.
“Những cuộc tấn công này thường dẫn tới việc trích xuất trái phép dữ liệu từ các hệ thống và thiết bị PoS,” CISA cho biết. “Các nhà phát triển Trickbot còn tạo Anchor_DNS, một phần của bộ công cụ Anchor mới, có chức năng gửi và nhận dữ liệu từ các máy nạn nhân bằng cách sử dụng DNS tunneling.”
Như bản tin đã đưa vào ngày hôm qua, Anchor_DNS là một backdoor cho phép máy nạn nhân giao tiếp với các máy chủ C2 thông qua DNS tunneling nhằm tránh bị phát hiện bởi các phần mềm bảo vệ hệ thống, và làm cho quá trình liên lạc của chúng lẫn với các DNS traffic hợp pháp.
Ngoài ra, FireEye mới đây cũng đã tiết lộ thông tin chi tiết về một nhóm tin tặc có động cơ tài chính tên là “UNC1878”. Nhóm tin tặc này đã triển khai Ryuk ransomware trong một loạt các chiến dịch nhắm vào các bệnh viện, hội hưu trí và trung tâm y tế.
Bên cạnh việc thúc giục các tổ chức thuộc lĩnh vực chăm sóc sức khỏe vá hệ điều hành, và thực hiện giới hạn quyền truy cập cho các hệ thống quan trọng, CISA còn khuyến nghị các tổ chức không nên trả tiền chuộc vì nó có thể khuyến khích kẻ xấu nhắm mục tiêu vào các tổ chức khác.
“Các tổ chức nên thường xuyên sao lưu dữ liệu, air-gap, và cài đặt mật khẩu bảo vệ cho các bản sao lưu ngoại tuyến,” cơ quan này cho biết. “Đồng thời các tổ chức cũng nên triển khai các kế hoạch khôi phục để duy trì và lưu giữ bản sao của các dữ liệu, máy chủ quan trọng ở một vị trí an toàn, riêng biệt về mặt vật lý.”
Theo The Hacker News
The post Chính phủ Hoa Kỳ cảnh báo về các cuộc tấn công ransomware nhắm tới hệ thống chăm sóc sức khỏe appeared first on SecurityDaily .