Cảnh báo ransomware tấn công giao diện quản lý từ xa HPE iLO

Các nhà nghiên cứu bảo mật cảnh báo ransomware tấn công giao diện quản lý từ xa HPE iLO. Theo đó kẻ tấn công đang nhắm mục tiêu vào các giao diện quản lý từ xa HPE iLO 4 có thể truy cập Internet, được cho là mã hóa ổ đĩa cứng, sau đó yêu cầu Bitcoins truy cập lại dữ liệu

Mặc dù chưa được xác nhận 100% nếu ổ cứng thực sự được mã hóa. Ransomware tấn công giao diện quản lý từ xa HPE iLO xảy ra từ hôm qua, nhiều nạn nhận đã bị ảnh hưởng bởi cuộc tấn công này.

HPE iLO 4 hay còn được gọi là HPE Integrated Lights-Out, là bộ xử lý quản lý được tích hợp trong một số máy chủ HP, cho phép các Admin quản lý thiết bị từ xa. Các Admin có thể kết nối với iLO thông qua trình duyệt web hoặc ứng dụng cho thiết bị di động, tại đó sẽ hiển thị trang đăng nhập như hình dưới đây:

canh bao ransomware tan cong giao dien quan ly tu xa hpe ilo

Cảnh báo ransomware tấn công giao diện quản lý từ xa HPE iLO

Sau khi đăng nhập, Admin có thể truy cập nhật ký, khởi động lại máy chủ, xem thông tin máy chủ, ... . Thậm chí còn có khả năng tải giao diện điều từ xa đến máy chủ, cung cấp quyền truy cập đầy đủ vào vỏ hệ điều hành hiện tại có thể truy cập được. Ví lý do này, người dùng không nên kết nối trực tiếp thiết bị iLO với Internet, thay vào đó chỉ yêu cầu quyền truy cập thông qua VPN an toàn.

Ransomware HPE iLO 4

Hôm nay nhà nghiên cứu bản mật M. Shahpasandi vừa đăng tải ảnh chụp màn hình đăng nhập HPE iLO 4 kèm theo thông báo "Security Notice" nói rằng ổ cứng máy tính đã được mã hóa và chủ sở hữu máy tính phải thanh toán khoản tiền chuộc để lấy lại dữ liệu của mình.

canh bao ransomware tan cong giao dien quan ly tu xa hpe ilo 2

Thông báo này được thêm vào thông qua thiết lập cấu hình iLO 4 Login Security Banner. Thiết lập này nằm trong Administration =>Security =>Login Security Banner như hình dưới đây.

canh bao ransomware tan cong giao dien quan ly tu xa hpe ilo 3

Theo đó Login security banner đã được chỉnh sửa để thêm các thông báo của kẻ tấn công:

canh bao ransomware tan cong giao dien quan ly tu xa hpe ilo 4

Hiện tại đã có 9 nạn nhân liên lạc với kẻ tấn công. Theo như nội dung email mà các nạn nhân nhận được, họ không còn quyền truy cập dữ liệu của mình nữa, như vậy các dữ liệu đã được mã hóa theo cách thức nào đó.

Theo M. Shahpasan, kẻ tấn công yêu cầu nạn nhân gửi 2 bitcoin đến địa chỉ "19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm" để lấy khóa giải mã dữ liệu, và chưa có khoản thanh toán nào được gửi đến cho địa chỉ này.

Đáng nói là kẻ tấn công cho biết các nạn nhân không thể thương lượng khoản tiền chuộc, trừ khi đó là các nạn nhân ở Nga. Điều này cũng dễ hiểu vì những kẻ tấn công có trụ sở ở Nga sẽ tránh phát tán, lây nhiễm mã độc cho người dùng ở Nga.

Thường thì các cuộc tấn công ransomware sẽ cung cấp một ID duy nhất cho một nạn nhân để phân biệt với các nạn nhân khác. Điều này để ngăn các nạn nhân có thể đánh cắp khoản thanh toán của nạn nhân khác để nhận khóa giải mã dữ liệu trên máy tính của họ.

Tuy nhiên trong cuộc tấn công này không có một ID duy nhất nào được cung cấp và địa chỉ email có thể truy cập công khai, có thể mục tiêu chính của cuộc tấn công này là xóa máy chủ hoặc có thể là mồi nhử cho một cuộc tấn công khác.

Không bao giờ kết nối HPE iLO 4 trực tiếp với Internet

Tốt nhất các công cụ HPE iLO 4 nên được truy cập thông qua các VPN an toàn để ngăn chặn bị quét và truy cập bởi người dùng khác trên Internet.

Nguy cơ phơi bày iLO công khai phức tạp hơn nhiều so với các lỗ hổng trong các phiên bản cũ, cho phép kẻ tấn công bỏ qua xác thực, thực hiện lệnh và thêm tài khoản Admin mới. Các Script khai thác các lỗ hổng này cũng sẵn có.

Ngay lúc này bạn hãy nhanh tay sở hữu cho mình một phần mềm phòng và chống ransomware nhé, chi tiết tại đây: Top phần mềm diệt Ransomware trên máy tính

Việc tìm kiếm các giao diện iLO được kết nối cũng không đáng kể. Một tìm kiếm nhanh trên Shodan cho thấy hơn 5.000 thiết bị iLO 4 được kết nối với Internet, nhiều thiết bị trong số đó được biết đến dễ bị tổn thương.

Nếu đang sử dụng iLO 4 trên máy chủ HP, và đang chạy phiên bản cũ hơn, tốt nhất là nâng cấp lên phiên bản mới nhất để sử dụng. Sau đó kiểm tra các tài khoản Admin để xác định xem có bất kỳ tài khoản mới nào được tạo mà bạn không biết hay không. Cuối cùng đảm bảo địa chỉ IP iLO của bạn không thể truy cập được qua Internet mà chỉ truy cập được thông qua VPN.

https://thuthuat.taimienphi.vn/canh-bao-ransomware-tan-cong-giao-dien-quan-ly-tu-xa-hpe-ilo-34511n.aspx
Sau một thời gian dài chờ đợi, Google tiến hành cập nhật Gmail với hàng loạt loạt tính năng mới cùng giao diện mới hoàn toàn vô cùng tuyệt vời. Nếu bạn chưa nhận được cập nhật này, hãy chờ thêm một vài ngày nhé.

Tác giả: Nguyễn Hải Sơn     (4.0★- 14 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Ransomware njRAT có khả năng trộm tiền ảo
Cảnh báo hacker sử dụng giao thức UPnP để tránh giải pháp giảm thiểu cuộc tấn công DDoS
Cảnh báo lỗ hổng trên chip Bluetooth khiến hàng triệu thiết bị bị tấn công từ xa
Petya Ransomware là gì? Cách phòng tránh, nhận biết và bảo vệ máy tính của bạn
Top 10 ransomware nguy hiểm nhất mọi thời đại
Từ khoá liên quan:

ransomware tấn công giao diện quản lý từ xa HPE iLO

, ransomware HPE iLO 4, tấn công HPE iLO 4,

SOFT LIÊN QUAN
  • RansomFree

    Công cụ chống mã độc ransomware

    RansomFree là công cụ chống mã độc ransomware miễn phí đầu tiên và duy nhất được thiết kế nhằm phát hiện và ngăn chặn 99% các mã độc ransomware khỏi tấn công các tập tin mã hóa. Phần mềm RansomFree sử dụng các công nghệ ...

Tin Mới