ݺߣ

ݺߣShare a Scribd company logo

Phân tích một chiến dịch ransomware: Từ lan truyền đến tống tiền

Security Bootcamp
Security Bootcamp

Phân tích một chiến dịch ransomware: Từ lan truyền đến tống tiền

1 of 30
Downloaded 48 times
Phân tích một chiến dịch ransomware: Từ lan truyền đến tống tiền Nguyễn Đức Kiên kiennd14@viettel.com.vn
@whoami kiennd14@viettel.com.vn Threat Analyst – Viettel Threat Intelligence
Nội dung chính 01 Tổng quan về tình hình mã độc ransomware RaaS 02 Profile mã độc ransomware Lockbit 3
4 1. TỔNG QUAN VỀ TÌNH HÌNH MÃ ĐỘC RANSOMWARE RaaS
5 Tình hình mã độc tại Việt Nam • Từ đầu năm đến nay, VCS-TI đã gửi 325 báo cáo chuyên sâu tới khách hàng. • Trong số đó có 13 báo cáo về mã độc Ransomware. • Ghi nhận nhiều cuộc tấn công của Ransomware nhắm vào các doanh nghiệp, tổ chức và để lại hậu quả lớn.
6 Tình hình mã độc tại Việt Nam 12 nhóm mã độc 26 cuộc tấn công được ghi nhận
7 Cách hoạt động của mô hình RaaS Operator Affiliate Cung cấp dịch vụ Sử dụng dịch vụ Công ty Nạn nhân Tấn công
8 Cách hoạt động của mô hình RaaS Hoạt động theo 5 bước:
9 Kênh giao dịch Trả tiền theo tháng Trả tiền theo từng vụ tống tiền Trả tiền một lần Theo nguồn từ IBM, zvelo, mã độc có thể được mua theo gói tháng với mức giá từ $40. Thông thường theo tỷ lệ 80-20 giữa Affiliate và Operator. Trả tiền môt lần để gia nhập vào chương trình RaaS với số tiền có thể lên tới $1,500.
10 Kênh giao dịch “Chia sẻ lợi nhuận 80/20 với khoản thanh toán được thực hiện tới địa chỉ tiền điện tử của bạn! Không lừa đảo! Tự động đăng dữ liệu lên onion blog thông qua Stealbit”
11 Kênh giao dịch Các forum được các nhóm RaaS quảng cáo bao gồm: • RAMP (farnetwork, lockbit3, alphv, ransomhub, REvil, mallox, BlackCat, Hive, qilin) • xss.is (cl0p, lockbit3, alphv, REvil, BlackCat, BlackBasta) • exploit.in (Blackmatter, mallox, BlackBasta) • https://www.nulled.to/ (mallox) • https://global.gerki.in/ (Beast ransowmare) • https://vlmi.one/ (farnetwork) • breachforum (qilin, Dispossessor) Top 3
12 Cách thức tấn công Affiliate có 2 cách để tấn công vào tổ chức: Cách 1: Mua các access point có sẵn trên mạng
13 Cách thức tấn công Cách 2: Khai thác lỗ hổng chưa vá của máy chủ
14 Builder của các nhóm ransomware
15 Builder của các nhóm ransomware alphv Quilin
16 Cách mã độc thỏa thuận
17 Dòng tiền của mã độc ransomware • Mã độc sử dụng các loại tiền ảo như: BTC, ETH, USDT, ZCASH, … • Sử dụng mixer để rửa tiền ảo BTC, ETH. • Rút tiền thông qua forum chợ đen như xss.is, exploit.in, ramp. Ví của Affiliate Mixer Chuyển tiền qua các ví khác
18 2. PROFILE NHÓM MÃ ĐỘC LOCKBIT
19 Adversary: Thông tin chung về Lockbit • Điều hành bởi LockbitSupp • Mô hình hoạt động: RaaS • Quảng cáo qua diễn đàn xss.is, RAMP, exploit.in và trang leak • Tỷ lệ ăn chia là 80 - 20 giữa Affiliate - Operator • Đuôi mã hóa: – v1.0: ".abcd" – v2.0 (Red): “.Lockbit” – v3.0:(Black): Đuôi file là 9 ký tự số và chữ ngẫu nhiên. – Green: Đuôi là 8 ký tự số và chữ ngẫu nhiên. – LOCKBIT-NG-DEV (lockbit .Net): Đuôi là 9 ký tự số và chữ ngẫu nhiên.
20 Adversary: Thời gian hoạt động của nhóm mã độc Lockbit 09/2019 • Mã độc lockbit bắt đầu hoạt động với tên ABCD ransomware 01/2020 • Chuyển sang mô hình RaaS 09/2020 • Hoạt động theo hướng tống tiền kép 06/2021 • Ra mắt stealbit và Lockbit Red 10/2021 • Ra mắt phiên bản Linux/ESXi 06/2022 • Lockbit ra mắt phiên bản Lockbit Black
21 Adversary: Thời gian hoạt động của nhóm mã độc Lockbit 09/2022 • Lockbit Black bị leak builder 01/2023 • Sử dụng source code leak của conti, Lockbit ra mắt phiên bản Lockbit Green 02/2024 • Lockbit ra mắt phiên bản mới viết bằng .Net 02/2024 • Lockbit bị FBI, interpol, NCA phối hợp chiếm quyền kiểm soát server 05/2024 • Lockbit tiếp tục bị hack bởi FBI, interpol và NCA, leak các thông tin nhạy cảm về nhóm
22 Capability: Công cụ mã hóa Trước tháng 2/2024 Sau tháng 2/2024
Capability: Công cụ tấn công Lockbit Affiliate thâm nhập vào tổ chức thông qua 4 đường chính: • Tài khoản lộ lọt • Brute force VPN password, spam email phishing • Từ server bị hack và rao bán • Sử dụng CVE Các công cụ được sử dụng: • PsExec • Cobalt Strike • mimikatz • Empire Để có thể lấy dữ liệu của nạn nhân về máy chủ, nhóm Lockbit sử dụng một trong hai cách sau: • Upload các file lên điện toán đám mây (Rclone, mega) • Sử dụng tool Stealbit
Infrastructure: Dòng tiền • Có hơn 30,000 địa chỉ BTC từ nhóm Lockbit với 500 địa chỉ đang hoạt động. • Nhận hơn 100 triệu bảng tiền chuộc. • Số tiền thực tế lớn hơn nhiều.
Infrastructure: Địa chỉ IP và domain Nhóm Affiliate thông thường sử dụng máy chủ C2 trên địa chỉ của Bulletproof hosting, các địa chỉ khó có thể bị đánh sập kể cả khi bị khiếu nại về hoạt động bất hợp pháp.
Victim: Nạn nhân theo khu vực Đông Nam Á
Victim: Nạn nhân theo các ngành nghề
Giải pháp phòng chống • Kiểm tra kết nối đến điện toán đám mây như googledrive, mega hoặc onedrive. • Thực hiện kiểm tra IOCs định kỳ. • Sử dụng hệ thống giám sát và phản ứng 24/7. • Sử dụng Threat Intelligence để có thể nhận biết và phản ứng sớm. • Tách rời giữa hệ thống IT và cơ sở dữ liệu backup
Giải pháp phòng chống Lockbit v3 sử dụng các mitre đặc trưng sau: • T1548.002: Abuse Elevation Control Mechanism: Bypass User Account Control • T1562.001: Impair Defenses: Disable or Modify Tools • T1490: Inhibit System Recovery VCS-Ti đã phát triển ra các rules để bắt kỹ thuật mitre trên bao gồm: • UAC_Bypass_via_ICMLuaUtil_Elevated_COM_Interface_Ver2 • Suspicious_Windows_Service_Tampering_Ver3 • Delete_Shadow_By_Wmiobject_Powershell_Ver1 • Delete_Shadow_Volumn_By_Wbadmin_Ver1 • Potentail_Delete_Volumn_By_Vssadmin_Ver1 • Delete_Shadow_By_Bcdedit_Ver1 • Suspicious_Delete_Important_Scheduled_Task_Ver1 • Suspicious_Disable_Important_Scheduled_Task_Ver1
Q&A

More Related Content

Phân tích một chiến dịch ransomware: Từ lan truyền đến tống tiền

  • 1. Phân tích một chiến dịch ransomware: Từ lan truyền đến tống tiền Nguyễn Đức Kiên kiennd14@viettel.com.vn
  • 3. Nội dung chính 01 Tổng quan về tình hình mã độc ransomware RaaS 02 Profile mã độc ransomware Lockbit 3
  • 4. 4 1. TỔNG QUAN VỀ TÌNH HÌNH MÃ ĐỘC RANSOMWARE RaaS
  • 5. 5 Tình hình mã độc tại Việt Nam • Từ đầu năm đến nay, VCS-TI đã gửi 325 báo cáo chuyên sâu tới khách hàng. • Trong số đó có 13 báo cáo về mã độc Ransomware. • Ghi nhận nhiều cuộc tấn công của Ransomware nhắm vào các doanh nghiệp, tổ chức và để lại hậu quả lớn.
  • 6. 6 Tình hình mã độc tại Việt Nam 12 nhóm mã độc 26 cuộc tấn công được ghi nhận
  • 7. 7 Cách hoạt động của mô hình RaaS Operator Affiliate Cung cấp dịch vụ Sử dụng dịch vụ Công ty Nạn nhân Tấn công
  • 8. 8 Cách hoạt động của mô hình RaaS Hoạt động theo 5 bước:
  • 9. 9 Kênh giao dịch Trả tiền theo tháng Trả tiền theo từng vụ tống tiền Trả tiền một lần Theo nguồn từ IBM, zvelo, mã độc có thể được mua theo gói tháng với mức giá từ $40. Thông thường theo tỷ lệ 80-20 giữa Affiliate và Operator. Trả tiền môt lần để gia nhập vào chương trình RaaS với số tiền có thể lên tới $1,500.
  • 10. 10 Kênh giao dịch “Chia sẻ lợi nhuận 80/20 với khoản thanh toán được thực hiện tới địa chỉ tiền điện tử của bạn! Không lừa đảo! Tự động đăng dữ liệu lên onion blog thông qua Stealbit”
  • 11. 11 Kênh giao dịch Các forum được các nhóm RaaS quảng cáo bao gồm: • RAMP (farnetwork, lockbit3, alphv, ransomhub, REvil, mallox, BlackCat, Hive, qilin) • xss.is (cl0p, lockbit3, alphv, REvil, BlackCat, BlackBasta) • exploit.in (Blackmatter, mallox, BlackBasta) • https://www.nulled.to/ (mallox) • https://global.gerki.in/ (Beast ransowmare) • https://vlmi.one/ (farnetwork) • breachforum (qilin, Dispossessor) Top 3
  • 12. 12 Cách thức tấn công Affiliate có 2 cách để tấn công vào tổ chức: Cách 1: Mua các access point có sẵn trên mạng
  • 13. 13 Cách thức tấn công Cách 2: Khai thác lỗ hổng chưa vá của máy chủ
  • 14. 14 Builder của các nhóm ransomware
  • 15. 15 Builder của các nhóm ransomware alphv Quilin
  • 16. 16 Cách mã độc thỏa thuận
  • 17. 17 Dòng tiền của mã độc ransomware • Mã độc sử dụng các loại tiền ảo như: BTC, ETH, USDT, ZCASH, … • Sử dụng mixer để rửa tiền ảo BTC, ETH. • Rút tiền thông qua forum chợ đen như xss.is, exploit.in, ramp. Ví của Affiliate Mixer Chuyển tiền qua các ví khác
  • 18. 18 2. PROFILE NHÓM MÃ ĐỘC LOCKBIT
  • 19. 19 Adversary: Thông tin chung về Lockbit • Điều hành bởi LockbitSupp • Mô hình hoạt động: RaaS • Quảng cáo qua diễn đàn xss.is, RAMP, exploit.in và trang leak • Tỷ lệ ăn chia là 80 - 20 giữa Affiliate - Operator • Đuôi mã hóa: – v1.0: ".abcd" – v2.0 (Red): “.Lockbit” – v3.0:(Black): Đuôi file là 9 ký tự số và chữ ngẫu nhiên. – Green: Đuôi là 8 ký tự số và chữ ngẫu nhiên. – LOCKBIT-NG-DEV (lockbit .Net): Đuôi là 9 ký tự số và chữ ngẫu nhiên.
  • 20. 20 Adversary: Thời gian hoạt động của nhóm mã độc Lockbit 09/2019 • Mã độc lockbit bắt đầu hoạt động với tên ABCD ransomware 01/2020 • Chuyển sang mô hình RaaS 09/2020 • Hoạt động theo hướng tống tiền kép 06/2021 • Ra mắt stealbit và Lockbit Red 10/2021 • Ra mắt phiên bản Linux/ESXi 06/2022 • Lockbit ra mắt phiên bản Lockbit Black
  • 21. 21 Adversary: Thời gian hoạt động của nhóm mã độc Lockbit 09/2022 • Lockbit Black bị leak builder 01/2023 • Sử dụng source code leak của conti, Lockbit ra mắt phiên bản Lockbit Green 02/2024 • Lockbit ra mắt phiên bản mới viết bằng .Net 02/2024 • Lockbit bị FBI, interpol, NCA phối hợp chiếm quyền kiểm soát server 05/2024 • Lockbit tiếp tục bị hack bởi FBI, interpol và NCA, leak các thông tin nhạy cảm về nhóm
  • 22. 22 Capability: Công cụ mã hóa Trước tháng 2/2024 Sau tháng 2/2024
  • 23. Capability: Công cụ tấn công Lockbit Affiliate thâm nhập vào tổ chức thông qua 4 đường chính: • Tài khoản lộ lọt • Brute force VPN password, spam email phishing • Từ server bị hack và rao bán • Sử dụng CVE Các công cụ được sử dụng: • PsExec • Cobalt Strike • mimikatz • Empire Để có thể lấy dữ liệu của nạn nhân về máy chủ, nhóm Lockbit sử dụng một trong hai cách sau: • Upload các file lên điện toán đám mây (Rclone, mega) • Sử dụng tool Stealbit
  • 24. Infrastructure: Dòng tiền • Có hơn 30,000 địa chỉ BTC từ nhóm Lockbit với 500 địa chỉ đang hoạt động. • Nhận hơn 100 triệu bảng tiền chuộc. • Số tiền thực tế lớn hơn nhiều.
  • 25. Infrastructure: Địa chỉ IP và domain Nhóm Affiliate thông thường sử dụng máy chủ C2 trên địa chỉ của Bulletproof hosting, các địa chỉ khó có thể bị đánh sập kể cả khi bị khiếu nại về hoạt động bất hợp pháp.
  • 26. Victim: Nạn nhân theo khu vực Đông Nam Á
  • 27. Victim: Nạn nhân theo các ngành nghề
  • 28. Giải pháp phòng chống • Kiểm tra kết nối đến điện toán đám mây như googledrive, mega hoặc onedrive. • Thực hiện kiểm tra IOCs định kỳ. • Sử dụng hệ thống giám sát và phản ứng 24/7. • Sử dụng Threat Intelligence để có thể nhận biết và phản ứng sớm. • Tách rời giữa hệ thống IT và cơ sở dữ liệu backup
  • 29. Giải pháp phòng chống Lockbit v3 sử dụng các mitre đặc trưng sau: • T1548.002: Abuse Elevation Control Mechanism: Bypass User Account Control • T1562.001: Impair Defenses: Disable or Modify Tools • T1490: Inhibit System Recovery VCS-Ti đã phát triển ra các rules để bắt kỹ thuật mitre trên bao gồm: • UAC_Bypass_via_ICMLuaUtil_Elevated_COM_Interface_Ver2 • Suspicious_Windows_Service_Tampering_Ver3 • Delete_Shadow_By_Wmiobject_Powershell_Ver1 • Delete_Shadow_Volumn_By_Wbadmin_Ver1 • Potentail_Delete_Volumn_By_Vssadmin_Ver1 • Delete_Shadow_By_Bcdedit_Ver1 • Suspicious_Delete_Important_Scheduled_Task_Ver1 • Suspicious_Disable_Important_Scheduled_Task_Ver1
  • 30. Q&A