Buzz
Mặc dù chưa được xác nhận 100% liệu ổ cứng có thực sự bị mã hóa hay không, cuộc tấn công ransomware vào giao diện quản lý từ xa HPE iLO đã diễn ra từ hôm qua, và nhiều nạn nhân đã bị ảnh hưởng bởi cuộc tấn công này.
HPE iLO 4, hay còn được biết đến là HPE Integrated Lights-Out, là bộ xử lý quản lý tích hợp trong một số máy chủ HP, cho phép các quản trị viên quản lý thiết bị từ xa. Các quản trị viên có thể kết nối với iLO thông qua trình duyệt web hoặc ứng dụng di động, và tại đó sẽ hiển thị trang đăng nhập như hình dưới đây:
Cảnh báo về cuộc tấn công ransomware vào giao diện quản lý từ xa HPE iLO
Sau khi đăng nhập, quản trị viên có thể truy cập nhật ký, khởi động lại máy chủ, xem thông tin máy chủ, ... . Thậm chí còn có khả năng tải giao diện điều khiển từ xa đến máy chủ, cung cấp quyền truy cập đầy đủ vào hệ điều hành hiện tại. Vì lý do này, người dùng không nên kết nối thiết bị iLO trực tiếp với Internet, thay vào đó chỉ nên yêu cầu quyền truy cập qua VPN an toàn.
Ransomware trên HPE iLO 4
Hôm nay, nhà nghiên cứu bảo mật M. Shahpasandi đã đăng tải ảnh chụp màn hình đăng nhập HPE iLO 4 kèm theo thông báo 'Security Notice' thông báo rằng ổ cứng của máy tính đã được mã hóa và chủ sở hữu máy tính phải thanh toán tiền chuộc để khôi phục lại dữ liệu của mình.
Thông báo này được thêm vào qua cài đặt của iLO 4 Login Security Banner. Cài đặt này nằm trong Administration =>Security =>Login Security Banner như thể hiện trong hình dưới đây.
Do đó, Login security banner đã được sửa đổi để bổ sung các thông báo từ kẻ tấn công:
Hiện tại, đã có 9 nạn nhân liên lạc với kẻ tấn công. Theo nội dung email mà các nạn nhân nhận được, họ không còn quyền truy cập vào dữ liệu của mình nữa, cho nên dữ liệu đã bị mã hóa theo một cách nào đó.
Theo M. Shahpasan, kẻ tấn công yêu cầu nạn nhân chuyển 2 bitcoin đến địa chỉ '19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm' để nhận khóa giải mã dữ liệu, và chưa có khoản thanh toán nào được gửi đến địa chỉ này.
Nói rõ rằng, kẻ tấn công khẳng định các nạn nhân không thể đàm phán với số tiền chuộc, ngoại trừ trường hợp là nạn nhân ở Nga. Lý do cho điều này cũng dễ hiểu vì kẻ tấn công có trụ sở tại Nga sẽ hạn chế phát tán và lây nhiễm mã độc cho người dùng ở quốc gia này.
Thường thì các cuộc tấn công ransomware sẽ cung cấp một ID duy nhất cho mỗi nạn nhân để phân biệt với các nạn nhân khác. Điều này nhằm ngăn chặn các nạn nhân có thể lấy cắp tiền chuộc của nạn nhân khác để nhận khóa giải mã dữ liệu trên máy tính của họ.
Tuy nhiên, trong cuộc tấn công này không có cung cấp ID duy nhất nào và địa chỉ email có thể truy cập công khai, có thể mục tiêu chính của cuộc tấn công này là xóa máy chủ hoặc có thể là mồi nhử cho một cuộc tấn công khác.
Không bao giờ kết nối trực tiếp HPE iLO 4 với Internet
Để đảm bảo an toàn, hãy truy cập các công cụ HPE iLO 4 thông qua VPN an toàn để ngăn chặn bị quét và truy cập bởi người dùng khác trên Internet.
Nguy cơ tiết lộ iLO công khai phức tạp hơn nhiều so với các lỗ hổng trong các phiên bản cũ, cho phép kẻ tấn công bỏ qua xác thực, thực hiện lệnh và thêm tài khoản Admin mới. Các Script khai thác các lỗ hổng này cũng sẵn có.
Bây giờ là thời điểm bạn nên sở hữu ngay một phần mềm phòng và chống ransomware. Tìm hiểu chi tiết tại đây: Top phần mềm diệt Ransomware trên máy tính.
Việc tìm kiếm các giao diện iLO được kết nối cũng không đáng kể. Một tìm kiếm nhanh trên Shodan cho thấy hơn 5.000 thiết bị iLO 4 được kết nối với Internet, nhiều thiết bị trong số đó đã được biết đến và dễ bị tổn thương.
Nếu bạn đang sử dụng iLO 4 trên máy chủ HP và phiên bản của bạn đang cũ, hãy nâng cấp lên phiên bản mới nhất để có trải nghiệm tốt nhất. Sau đó, kiểm tra các tài khoản Admin để xác định xem có bất kỳ tài khoản mới nào được tạo mà bạn không biết. Cuối cùng, hãy đảm bảo rằng địa chỉ IP của iLO không thể truy cập được qua Internet mà chỉ thông qua VPN.
Sau một thời gian chờ đợi, Google đã cập nhật Gmail với hàng loạt tính năng mới và giao diện hoàn toàn mới, rất ấn tượng. Nếu bạn vẫn chưa nhận được cập nhật này, hãy kiên nhẫn chờ thêm một vài ngày nữa nhé.
