Black Basta: Cuộc Tấn công Ransomware và Chiến lược Phòng thủ

15/03/2025
2 mins read

Thông tin từ bài viết về các cuộc tấn công ransomware Black Basta trên các thiết bị mạng biên nêu bật một số điểm chính:

Nội dung
1. Công cụ Tấn công Tự động
2. Phương pháp Hoạt động
3. Kỹ thuật Trốn tránh
4. Chiến lược Phòng thủ
5. Những Thông tin Bổ sung

1. Công cụ Tấn công Tự động

  • Black Basta đã phát triển một khung công cụ tấn công tự động gọi là ‘BRUTED’ để xâm nhập vào các thiết bị mạng biên như tường lửa và VPN.
  • Khung này nhằm mục tiêu vào các sản phẩm VPN và truy cập từ xa cụ thể, bao gồm SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access), và WatchGuard SSL VPN.

2. Phương pháp Hoạt động

  • BRUTED tìm kiếm các thiết bị mạng biên có thể truy cập công khai bằng cách liệt kê các tên miền con, giải mã địa chỉ IP và thêm các tiền tố như ‘.vpn’ hoặc ‘remote.’ Nó sau đó báo cáo các mục tiêu tiềm năng về máy chủ điều khiển và điều khiển (C2).
  • Khi các mục tiêu được xác định, BRUTED lấy các ứng viên mật khẩu từ một máy chủ từ xa và kết hợp chúng với các phỏng đoán được tạo ra tại chỗ để thực hiện nhiều yêu cầu xác thực thông qua nhiều tiến trình CPU.

3. Kỹ thuật Trốn tránh

  • Để tránh bị phát hiện, khung này sử dụng danh sách các proxy SOCKS5 với tên miền thú vị nhằm che giấu hạ tầng của kẻ tấn công phía sau một lớp trung gian.

4. Chiến lược Phòng thủ

  • Thực thi mật khẩu mạnh, duy nhất cho tất cả các thiết bị biên và tài khoản VPN cùng với việc sử dụng xác thực đa yếu tố (MFA) để chặn truy cập ngay cả khi thông tin xác thực bị xâm phạm là rất quan trọng.
  • Theo dõi các nỗ lực xác thực từ các vị trí không xác định và các lỗi đăng nhập với tần suất cao, thực hiện giới hạn tốc độ và các chính sách khóa tài khoản, và tạo các quy tắc tường lửa mới để chặn các yêu cầu từ hạ tầng độc hại đã biết cũng được khuyến nghị.

5. Những Thông tin Bổ sung

  • Sự phát hiện về BRUTED đến từ nhà nghiên cứu EclecticIQ là Arda Büyükkaya sau khi xem xét kỹ lưỡng các nhật ký trò chuyện nội bộ bị rò rỉ của băng nhóm ransomware.
  • Khung này không khai thác bất kỳ lỗ hổng nào để xâm nhập vào các thiết bị mạng biên, nhưng nhấn mạnh tầm quan trọng của việc giữ cho những thiết bị này cập nhật bằng cách áp dụng các bản cập nhật bảo mật mới nhất.
Tags