FBI cảnh báo về chiến thuật tấn công mới: Hacker cử người trực tiếp cắm USB để đánh cắp dữ liệu

FBI cảnh báo về chiến thuật tấn công mới: Hacker cử người trực tiếp cắm USB để đánh cắp dữ liệu

Nhóm tống tiền khét tiếng Silent Ransom Group (SRG) đang giả danh nhân viên hỗ trợ kỹ thuật trong một chiến dịch mới nhắm vào các công ty luật, theo cảnh báo mới nhất từ Cục Điều tra Liên bang Mỹ (FBI).

FBI cảnh báo về các mối đe dọa an ninh mạng mới

Hoạt động tích cực từ ít nhất là năm 2022, SRG bắt đầu nhắm vào các công ty luật tại Mỹ từ năm 2023. Phương thức chính của nhóm này trước đây là sử dụng email phishing và cuộc gọi kỹ thuật xã hội (social engineering), tự nhận là hỗ trợ các nạn nhân hủy bỏ phí đăng ký dịch vụ.

Tuy nhiên, trong một bản cảnh báo mới, FBI cho biết SRG đã thay đổi chiến thuật. Thay vì chỉ tấn công từ xa, nhóm hacker này hiện nay đóng vai một nhân viên thuộc bộ phận IT của chính nạn nhân.

Chiến thuật tấn công "trực diện"

Theo FBI, các tác nhân của SRG sẽ trực tiếp gọi điện hoặc gửi email phishing để thúc đẩy nhân viên của tổ chức nạn nhân gọi lại cho số máy do hacker cung cấp, người này đang đóng vai nhân viên hỗ trợ kỹ thuật.

Trong cuộc gọi, kẻ tấn công sẽ hướng dẫn nhân viên cấp quyền truy cập vào máy tính của họ thông qua phiên làm việc từ xa (remote desktop).

Điểm đáng lo ngại là nếu nỗ lực truy cập từ xa thất bại, chúng sẽ cử một người đến tận địa điểm làm việc của nạn nhân, giả danh nhân viên IT hỗ trợ trực tiếp.

"Trong kế hoạch này, tác nhân đe dọa nói với nạn nhân rằng họ cần tạo ảnh thiết bị (image) hoặc tệp sao lưu để giải quyết các tác động tiềm tàng từ email phishing," FBI giải thích.

Sau khi tiếp cận được máy tính, kẻ tấn công sẽ leo thang đặc quyền và ngay lập tức tiến hành trích xuất dữ liệu mà không triển khai mã độc mã hóa tống tiền (ransomware) truyền thống.

Khó phát hiện và quy trình đánh cắp dữ liệu

Để đánh cắp dữ liệu, SRG sử dụng các công cụ hợp pháp như WinSCP (Windows Secure Copy) hoặc phiên bản của Rclone. Trong một số trường hợp, chúng sao chép dữ liệu sang các nền tảng chia sẻ tệp nội bộ như Google Drive và Microsoft OneDrive.

Biểu tượng bảo mật mạng

FBI lưu ý: "Bằng cách cử người đến tận địa điểm của nạn nhân để hỗ trợ xâm nhập, các tác nhân SRG trích xuất dữ liệu ra ổ cứng ngoài hoặc USB do chính kẻ đe dọa cắm vào máy tính của nạn nhân."

Sau khi có dữ liệu, nhóm này sẽ tống tiền nạn nhân, đe dọa bán hoặc công bố dữ liệu bị đánh cắp trên mạng. Chúng thậm chí liên hệ với nhân viên và khách hàng của nạn nhân để gia tăng áp lực.

Một vấn đề lớn là các chiến dịch gần đây của SRG để lại rất ít dấu vết trên máy tính bị xâm phạm. Các sản phẩm chống virus truyền thống khó có thể phát hiện ra sự xâm nhập này vì SRG thường sử dụng các công cụ quản lý hệ thống hoặc truy cập từ xa hợp pháp để thực hiện tấn công.

Khuyến nghị phòng chống

Để ngăn chặn các cuộc tấn công của SRG, các tổ chức được khuyên nên:

• Xác minh lý lịch và giấy tờ tùy thân của tất cả cá nhân có quyền truy cập vào tài sản công ty.
• Hạn chế quyền truy cập vào dữ liệu nhạy cảm.
• Đào tạo nhân viên nhận biết các nỗ lực phishing.
• Thiết lập chính sách rõ ràng cho giao tiếp và xác thực hỗ trợ IT.

Ngoài ra, việc sao lưu tất cả dữ liệu công ty, triển khai xác thực đa yếu tố (MFA) kháng phishing, chặn truy cập vào các cổng thường bị khai thác và vô hiệu hóa quyền cài đặt ổ đĩa ngoài cũng là các biện pháp quan trọng để ngăn chặn sự xâm nhập và mất mát dữ liệu mật.