Avalanche - Hạ tầng tội phạm như một dịch vụ (crimeware-as-a-service infrastructure)

876
02-05-2018
Avalanche - Hạ tầng tội phạm như một dịch vụ (crimeware-as-a-service infrastructure)


Cụm từ "Avalanche" đề cập đến một mạng lưới toàn cầu rộng lớn lưu trữ cơ sở hạ tầng được sử dụng bởi tội phạm mạng, nơi chúng sẽ thực hiện các chiến dịch phân phối lừa đảo phishing, malware và các âm mưu tiền tệ. Hãy cùng Bizfly Cloud  tìm hiểu kĩ về thiệt hại cũng như cách khắc phục trong bài viết sau đây!

 1. Hệ thống bị ảnh hưởng 

Microsoft Windows

2. Tổng quan

Cụm từ "Avalanche" đề cập đến một mạng lưới toàn cầu rộng lớn lưu trữ cơ sở hạ tầng được sử dụng bởi tội phạm mạng, nơi chúng sẽ thực hiện các chiến dịch phân phối lừa đảo phishing, malware và các âm mưu tiền tệ. 

Bộ An ninh Nội địa Hoa Kỳ (DHS), phối hợp với Cục Điều tra Liên bang (FBI) thực hiện Cảnh báo Kỹ thuật này để cung cấp cho người dùng thêm thông tin về Avalanche.

3. Mô tả

Tội phạm mạng sử dụng cơ sở hạ tầng botnet Avalanche để lưu trữ và phân phối một loạt các biến thể của malware tới các nạn nhân, các nạn nhân này bao gồm cả hơn 40 tổ chức tài chính lớn. Những thông tin cá nhân sẽ là mục tiêu hàng đầu bị đánh cắp (ví dụ: thông tin đăng nhập tài khoản người dùng). Các hệ thống bị xâm nhập của nạn nhân cũng có thể được sử dụng để thực hiện các hoạt động độc hại khác, chẳng hạn như tấn công từ chối dịch vụ (DoS) hoặc phân phối các biến thể malware cho máy tính của những nạn nhân khác.

Ngoài ra, cơ sở hạ tầng Avalanche còn được sử dụng để tiến hành các âm mưu tiền tệ, đây sẽ là nơi mà bọn tội phạm tuyển người để thực hiện các hoạt động lừa đảo liên quan đến việc rửa tiền và vận chuyển hàng hóa bị đánh cắp.

Avalanche sử dụng DNS thông lượng nhanh, kỹ thuật này giúp bọn tội phạm ẩn đi các máy chủ, đằng sau một mạng lưới thay đổi liên tục của hệ thống bị xâm phạm đang hoạt động như các proxy.

Sau đây là các nhóm malware sẽ được lưu trữ trên cơ sở hạ tầng:

- Windows-encryption Trojan horse (WVT) (aka Matsnu, Injector,Rannoh,Ransomlock.P)

- URLzone (aka Bebloh) 

- Citadel 

- VM-ZeuS (aka KINS) 

- Bugat (aka Feodo, Geodo, Cridex, Dridex, Emotet)  

- newGOZ (aka GameOverZeuS) 

- Tinba (aka TinyBanker) 

- Nymaim/GozNym 

- Vawtrak (aka Neverquest) 

- Marcher 

- Pandabanker 

- Ranbyus 

- Smart App 

- TeslaCrypt 

- iBanking Trusteer App Trojan 

- Xswkit  

Avalanche cũng được sử dụng như một botnet thông lượng nhanh cung cấp cơ sở hạ tầng truyền thông cho các botnet khác, bao gồm:

- TeslaCrypt 

- Nymaim 

- Corebot 

- GetTiny 

- Matsnu 

- Rovnix 

- Urlzone 

- QakBot (aka Qbot, PinkSlip Bot)  

4. Ảnh hưởng

Người dùng nên thực hiện các hành động sau để giảm thiểu các thiệt hại khi bị nhiễm các malware được liên kết với Avalanche:

Sử dụng và duy trì phần mềm diệt virus

Các phần mềm chống vi-rút sẽ nhận dạng và bảo vệ máy tính của bạn khỏi hầu hết các loại vi-rút đã biết. Bởi vì các phần của Avalanche đã được thiết kế để tránh bị phát hiện, lẩn tránh các phần mềm này, nên các công ty bảo mật luôn không ngừng cập nhật phần mềm của hãng mình để chống lại các mối đe dọa cao cấp này. Do đó, cập nhập thường xuyên phần mềm diệt virus là thao tác cực kì quan trọng bạn phải thực hiện định kì. Nếu bạn cho rằng mình có thể đang là nạn nhân của malware Avalanche, hãy cập nhật phần mềm diệt vi-rút và tiến hành quét toàn bộ hệ thống (full-system scan).

Hạn chế click vào link trong email

Ngày nay, những kẻ tấn công đã trở nên rất giỏi và chuyên nghiệp trong việc tạo ra các email lừa đảo với vẻ ngoài khá hợp pháp và chính thống. Chính vì vậy, người dùng phải chắc chắn liên kết là hợp pháp trước khi quyết định click vào, bằng cách nhập liên kết vào một trình duyệt mới.

Thay đổi password

Mật khẩu ban đầu có thể đã bị xâm nhập trong quá trình hệ thống của bạn bị tấn công, vì vậy hãy thay đổi chúng đi ngay lập tức!

Thường xuyên cập nhập hệ điều hành và phần mềm ứng dụng

Tiến hành việc cài đặt các bản vá lỗi phần mềm, bạn sẽ khiến cho tội phạm mạng không thể tận dụng các vấn đề hoặc lỗ hổng đã biết để tiến hành các cuộc tấn công. Tiện lợi và an toàn hơn cả, bạn hãy bật tính năng cập nhật tự động của hệ điều hành nếu tùy chọn này khả dụng.

Sử dụng các công cụ chống lại malware

Sử dụng một chương trình chính thống có thể xác định và loại bỏ malware sẽ giúp bạn loại bỏ những cuộc xâm hại. Hoặc bạn có thể cân nhắc sử dụng một công cụ giúp khắc phục sự cố. Hãy tham khảo danh sách các công cụ dưới đây:

 - ESET Online Scanner

https://www.eset.com/us/online-scanner/

 - F-Secure

https://www.f-secure.com/en/web/home_global/online-scanner

 - McAfee Stinger

http://www.mcafee.com/us/downloads/free-tools/index.aspx

 - Microsoft Safety Scanner

https://www.microsoft.com/security/scanner/en-us/default.aspx

 - Norton Power Eraser

https://norton.com/npe

- Trend Micro HouseCall

http://housecall.trendmicro.com/

VCCloud via Avalanche (crimeware-as-a-service infrastructure)

>> Có thể bạn quan tâm: Lỗ hổng trong giao thức SSL 3.0 và tấn công POODLE

SHARE