Mặc dù chưa được xác nhận 100% nếu ổ cứng thực sự được mã hóa. Ransomware tấn công giao diện quản lý từ xa HPE iLO xảy ra từ hôm qua, nhiều nạn nhận đã bị ảnh hưởng bởi cuộc tấn công này.
HPE iLO 4 hay còn được gọi là HPE Integrated Lights-Out, là bộ xử lý quản lý được tích hợp trong một số máy chủ HP, cho phép các Admin quản lý thiết bị từ xa. Các Admin có thể kết nối với iLO thông qua trình duyệt web hoặc ứng dụng cho thiết bị di động, tại đó sẽ hiển thị trang đăng nhập như hình dưới đây:
Cảnh báo ransomware tấn công giao diện quản lý từ xa HPE iLO
Sau khi đăng nhập, Admin có thể truy cập nhật ký, khởi động lại máy chủ, xem thông tin máy chủ, ... . Thậm chí còn có khả năng tải giao diện điều từ xa đến máy chủ, cung cấp quyền truy cập đầy đủ vào vỏ hệ điều hành hiện tại có thể truy cập được. Ví lý do này, người dùng không nên kết nối trực tiếp thiết bị iLO với Internet, thay vào đó chỉ yêu cầu quyền truy cập thông qua VPN an toàn.
Ransomware HPE iLO 4
Hôm nay nhà nghiên cứu bản mật M. Shahpasandi vừa đăng tải ảnh chụp màn hình đăng nhập HPE iLO 4 kèm theo thông báo "Security Notice" nói rằng ổ cứng máy tính đã được mã hóa và chủ sở hữu máy tính phải thanh toán khoản tiền chuộc để lấy lại dữ liệu của mình.
Thông báo này được thêm vào thông qua thiết lập cấu hình iLO 4 Login Security Banner. Thiết lập này nằm trong Administration =>Security =>Login Security Banner như hình dưới đây.
Theo đó Login security banner đã được chỉnh sửa để thêm các thông báo của kẻ tấn công:
Hiện tại đã có 9 nạn nhân liên lạc với kẻ tấn công. Theo như nội dung email mà các nạn nhân nhận được, họ không còn quyền truy cập dữ liệu của mình nữa, như vậy các dữ liệu đã được mã hóa theo cách thức nào đó.
Theo M. Shahpasan, kẻ tấn công yêu cầu nạn nhân gửi 2 bitcoin đến địa chỉ "19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm" để lấy khóa giải mã dữ liệu, và chưa có khoản thanh toán nào được gửi đến cho địa chỉ này.
Đáng nói là kẻ tấn công cho biết các nạn nhân không thể thương lượng khoản tiền chuộc, trừ khi đó là các nạn nhân ở Nga. Điều này cũng dễ hiểu vì những kẻ tấn công có trụ sở ở Nga sẽ tránh phát tán, lây nhiễm mã độc cho người dùng ở Nga.
Thường thì các cuộc tấn công ransomware sẽ cung cấp một ID duy nhất cho một nạn nhân để phân biệt với các nạn nhân khác. Điều này để ngăn các nạn nhân có thể đánh cắp khoản thanh toán của nạn nhân khác để nhận khóa giải mã dữ liệu trên máy tính của họ.
Tuy nhiên trong cuộc tấn công này không có một ID duy nhất nào được cung cấp và địa chỉ email có thể truy cập công khai, có thể mục tiêu chính của cuộc tấn công này là xóa máy chủ hoặc có thể là mồi nhử cho một cuộc tấn công khác.
Không bao giờ kết nối HPE iLO 4 trực tiếp với Internet
Tốt nhất các công cụ HPE iLO 4 nên được truy cập thông qua các VPN an toàn để ngăn chặn bị quét và truy cập bởi người dùng khác trên Internet.
Nguy cơ phơi bày iLO công khai phức tạp hơn nhiều so với các lỗ hổng trong các phiên bản cũ, cho phép kẻ tấn công bỏ qua xác thực, thực hiện lệnh và thêm tài khoản Admin mới. Các Script khai thác các lỗ hổng này cũng sẵn có.
Ngay lúc này bạn hãy nhanh tay sở hữu cho mình một phần mềm phòng và chống ransomware nhé, chi tiết tại đây: Top phần mềm diệt Ransomware trên máy tính
Việc tìm kiếm các giao diện iLO được kết nối cũng không đáng kể. Một tìm kiếm nhanh trên Shodan cho thấy hơn 5.000 thiết bị iLO 4 được kết nối với Internet, nhiều thiết bị trong số đó được biết đến dễ bị tổn thương.
Nếu đang sử dụng iLO 4 trên máy chủ HP, và đang chạy phiên bản cũ hơn, tốt nhất là nâng cấp lên phiên bản mới nhất để sử dụng. Sau đó kiểm tra các tài khoản Admin để xác định xem có bất kỳ tài khoản mới nào được tạo mà bạn không biết hay không. Cuối cùng đảm bảo địa chỉ IP iLO của bạn không thể truy cập được qua Internet mà chỉ truy cập được thông qua VPN.
Sau một thời gian dài chờ đợi, Google tiến hành cập nhật Gmail với hàng loạt loạt tính năng mới cùng giao diện mới hoàn toàn vô cùng tuyệt vời. Nếu bạn chưa nhận được cập nhật này, hãy chờ thêm một vài ngày nhé.