FBI – Trung tâm quản trị mạng và an ninh mạng quốc tế Athena

FBI tìm ra hacker tấn công Twitter như thế nào?

admin — Tue, 04 Aug 2020 02:12:33 +0000

Cục điều tra Liên bang Mỹ (FBI) đã dựa trên các chi tiết “nghiệp dư” của những hacker tấn công vào Twitter và từng bước lần ra dấu vết.

Theo các cáo trạng được Bộ Tư pháp Mỹ (DOJ) công bố hôm 1/8, ba hacker tấn công vào Twitter gồm Mason Sheppard, có biệt danh là “Chaewon”, 19 tuổi, sống tại Bognor Regis (Anh); Nima Fazeli, 22 tuổi, còn được gọi là “Rolex“; và Graham Ivan Clark, 17 tuổi, biệt danh “Kirk“. Fazeli và Clark sống tại Tampa, Florida (Mỹ)

Hình ảnh hacker 17 tuổi tấn công Twitter

Tài liệu tòa án cho thấy, toàn bộ vụ tấn công bắt đầu vào ngày 3/5. Không biết bằng cách nào, Clark có được quyền truy cập vào công cụ quản trị nội bộ của Twitter. Thế nhưng, từ lúc đó đến thời điểm Twitter bị tấn công – ngày 15/7, mọi thứ dường như “án binh bất động”.

Trong khi đó, báo cáo của New York Times cho thấy, Clark tìm được thông tin truy cập hệ thống Twitter sau khi được quyền vào cuộc hội thoại Slack của nhân viên mạng xã hội này. Slack là ứng dụng chat nhóm nổi tiếng, được nhiều người yêu thích vì các tính năng gửi tập tin nhanh, trò chuyện tiện lợi thông qua các kênh và được mệnh danh là “sát thủ email”.

Tuy vậy, thông tin đăng nhập có được từ Slack chưa đủ để Clark truy cập vào hệ thống nội bộ của Twitter, bởi nó được bảo vệ bởi tính năng xác thực hai yếu tố (2FA). Hacker này tiếp tục thực hiện một cuộc tấn công lừa đảo khác qua điện thoại nhằm vào nhân viên Twitter, mục đích là để lấy mã 2FA và đã thành công.

Tài khoản Twitter nhân viên do Clark chiếm được có đầy đủ các tính năng thêm sửa và xóa bất kỳ nội dung nào

Clack tham gia Discord, một nền tảng trò chuyện bằng giọng nói và văn bản, vào ngày 7/7 với tên tài khoản là “Kirk#5270“. Hacker này đã tiếp cận với hai người khác trên kênh Discord của OGUsers, một diễn đàn dành riêng cho tin tặc bán và mua tài khoản truyền thông xã hội.

Nhật ký trò chuyện trên Discord thu thập được cho thấy, Clark đã tiếp cận hai hacker khác là Fazeli với tên tài khoản “Rolex#037” và Sheppard là “ever so anxious#0001“, đồng thời cho biết mình đang làm việc tại Twitter. Để chứng minh mình có thể hack được Twitter, Clark đã vào tài khoản của Fazeli và sửa đổi một số thông tin. Đồng thời, hacker 17 tuổi này cũng bán quyền truy cập của nhiều tài khoản Twitter dạng ngắn như @xx, @dark, @vampire, @obinna hay @drug cho Sheppard.

Sau đó, Clark thuyết phục Sheppard và Fazeli cùng mình đăng quảng cáo trên OGUsers để bán các tài khoản Twitter đánh cắp được. Từ lúc này, có thể không ít tài khoản đã bị mua bán. Đây cũng chính là nguyên nhân khiến hàng loạt tài khoản của các công ty và người nổi tiếng, như Barrack Obama, Joe Biden, Bill Gates, Elon Musk, Jeff Bezos, Apple, Uber, Kanye West, Kim Kardashian, Floyd Mayweather, Michael Bloomberg… đăng tweet yêu cầu gửi Bitcoin đến cùng một địa chỉ vào 15/7.

Nội dung Clark trao đổi với Fezali trên Discord

Theo tài liệu của DOJ, địa chỉ Bitcoin nói trên nhận khoảng 12,83 Bitcoin, tương đương 117.000 USD. Tuy nhiên, cuộc điều tra khác tiết lộ nền tảng trao đổi tiền điện tử Coinbase đã ngăn chặn số Bitcoin khác gửi đến địa chỉ trên với tổng số tiền 280.000 USD.

Đến lúc này, tài khoản Twitter nội bộ mà Clack dùng để đăng tweet trên tài khoản người nổi tiếng đã bị khóa. Mạng xã hội đã điều tra và phát hiện hacker này tương tác với ít nhất 130 tài khoản qua công cụ nội bộ, thiết lập lại mật khẩu của 45 tài khoản và xem tin nhắn riêng tư của 36 tài khoản.

Một ngày sau vụ hack, Twitter gửi đơn khiếu nại hình sự lên các nhà chức trách. FBI và Sở Mật vụ Mỹ nhanh chóng vào cuộc điều tra.

Đầu tiên, FBI đã sử dụng dữ liệu được chia sẻ trên mạng xã hội và các cơ quan báo chí, sau đó thu thập nhật ký trò chuyện và thông tin người dùng từ Discord. Do đã có một số quảng cáo được hacker đăng trên OGUsers, cộng thêm dữ liệu trên mạng khi diễn đàn này bị hack vào tháng 4, FBI nhanh chóng tìm thấy thông tin mình cần, gồm chi tiết tên người dùng, email, địa chỉ IP, thậm chí có cả tin nhắn riêng tư.

Tiếp đó, với sự giúp đỡ của Chi cục Thuế Mỹ (IRS), cơ quan điều tra đã thu được dữ liệu liên quan đến địa chỉ Bitcoin giao dịch qua sàn Coinbase. Xâu chuỗi thông tin từ Discord, OGUsers và Coinbase, FBI nhanh chóng tìm thấy danh tính của ba hacker.

Trong số này, Fazili phạm nhiều sai lầm nhất trong việc che giấu danh tính. FBI đã thấy rằng hacker này liên kết tên người dùng và địa chỉ email trên OGUsers với Discord. Đầu tiên, Fazili dùng email damniamevil20@gmail.com để đăng ký tài khoản trên OGUsers và dùng email chancelittle10@gmail.com để chiếm đoạt tài khoản Twitter @foreign. Tuy nhiên, hai email này cũng được dùng để đăng ký tài khoản Coinbase, sau đó xác minh danh tính bằng ảnh trên giấy phép lái xe của mình.

Thậm chí, Fazili còn “nghiệp dư” đến mức sử dụng luôn mạng Internet của gia đình mình để truy cập các tài khoản trên Discord, OGUsers và Coinbase mà không ẩn danh. Kết quả là, địa chỉ IP và nhật ký truy cập trên cả ba dịch vụ này đã được lưu lại.

Điều tương tự cũng xảy ra với Sheppard. FBI cho biết hacker có biệt danh “Chaewon” này đã kết nối tài khoản Discord với OGUsers và dùng nó để bán các tài khoản Twitter hack được. Thậm chí, tên này còn mua một trò chơi điện tử bằng ví Bitcoin có liên kết với địa chỉ tiền ảo đã đăng trên các tài khoản bị hack vào cùng ngày 15/7.

Với trường hợp của Clark, FBI không tìm thấy mối liên hệ trực tiếp giữa tài khoản “Kirk#5270” với hai dịch vụ còn lại. Tuy nhiên, xâu chuỗi bằng chứng, các nhân viên điều tra đã dần nhận biết đây là một cá nhân và nhanh chóng truy ra tên tuổi của hacker này sau đó.

Khóa học Hacker Mũ Trắng – AEH

FBI điều tra 1.000 vụ trộm cắp công nghệ từ Trung Quốc

admin — Fri, 14 Feb 2020 05:30:15 +0000

Cục Điều tra Liên bang Mỹ (FBI) cho biết đã có hơn 1.000 vụ trộm cắp các sở hữu trí tuệ có nguồn gốc từ Trung Quốc kể từ 2018.

“FBI có khoảng một nghìn cuộc điều tra liên quan đến việc Trung Quốc cố gắng đánh cắp công nghệ ở 56 văn phòng trên khắp nước Mỹ, trải trên mọi ngành nghề và lĩnh vực”, Giám đốc FBI Christopher Wray nói. “Điều này thực sự là mối đe dọa lâu dài với an toàn thông tin và tài sản trí tuệ của nước Mỹ, tác động mạnh đến đời sống kinh tế, xã hội”.

Số vụ trộm cắp công nghệ có nguồn gốc từ Trung Quốc do FBI điều tra.

Phát biểu của Wray được đưa ra tại hội nghị dành cho các thành viên chính phủ Mỹ tổ chức tuần này tại Washington, với chủ đề liên quan đến trộm cắp sở hữu trí tuệ. Trong thời gian 4 tiếng, một số quan chức cấp cao nhất của FBI và Bộ Tư pháp (DOJ) đã thảo luận những dấu hiệu báo động về các mối đe dọa và trộm cắp tài sản trí tuệ (IP) từ các thực thể Trung Quốc ở khối tư nhân và học thuật.

“Mối đe dọa từ Trung Quốc là có thật và nó dai dẳng do cách hoạt động hợp lý cũng như nguồn lực tốt từ phía sau. Nó sẽ không biến mất sớm”, John Demers, Trợ lý Tổng chưởng lý An ninh Quốc gia Mỹ, khai mạc hội nghị.

John Brown, Trợ lý Giám đốc FBI, cũng cho biết cơ quan này đã thực hiện 19 vụ bắt giữ trong năm qua liên quan đến gián điệp kinh tế có nguồn gốc Trung Quốc.

Một số quan chức Mỹ nhấn mạnh trong bài phát biểu của mình, rằng việc trộm cắp sở hữu trí tuệ đang diễn ra “bừa bãi” và đều được lập kế hoạch sẵn. “Họ không chỉ nhắm vào các công ty thuộc lĩnh vực quốc phòng. Mục tiêu của người Trung Quốc là mọi thứ, từ gạo, ngô cho đến phần mềm cho tuabin gió, thiết bị y tế cao cấp, bất cứ thứ gì mang lại cho họ lợi thế cạnh tranh”, Wray nói.

Cũng theo Wray, việc đánh cắp không dừng lại ở những người làm nghiệp vụ tình báo. Thay vào đó, bất kể doanh nghiệp nhà nước, công ty tư nhân, nghiên cứu sinh, người dân bình thường… đều có thể tham gia.

Mỹ cho rằng hacker Trung Quốc đang trộm cắp tài sản trí tuệ ở mọi lĩnh vực.

Jay Town, Luật sư thuộc Tòa án Quận Bắc Alabama, cho biết, các nỗ lực trộm cắp không chỉ xảy ra ở các thành phố lớn và trung tâm công nghệ của Mỹ như Thung lũng Silicon hay New York mà trên khắp đất nước, từ Alabama đến Iowa.

Tại hội nghị, quan chức Mỹ nghi ngờ Trung Quốc đang khuyến khích hành vi trộm cắp sở hữu trí tuệ từ nước ngoài, thậm chí có hẳn một hệ thống các mức thưởng cho những hành động này. “Chúng tôi chưa có bằng chứng, nhưng có căn cứ để nghi ngờ rằng chính phủ Trung Quốc đã mua sắm các tài sản trí tuệ đánh cắp được hoặc bảo trợ cho hành vi trộm cắp”, Adam Hickey, Phó Trợ lý DOJ, nói. “Có một cấu trúc được thiết lập để khuyến khích điều này”.

Trên mặt trận không gian mạng, cách thức tấn công để đánh cắp dữ liệu cũng “biến hóa” khôn lường hơn. Trích dẫn nhiều nguồn báo cáo, các hoạt động hack của Trung Quốc được Bộ An ninh Nhà nước Trung Quốc ra lệnh, được điều phối bởi nhân viên tình báo ở các lĩnh vực cụ thể. Những người này thay vì tự tấn công, họ sẽ thuê nhà thầu tư nhân để tránh sự chú ý, có thể là tin tặc hình sự, nhà nghiên cứu bảo mật, nhân viên công ty bảo mật hoặc chuyên gia công nghệ thông tin thông thường.

Ngoài ra, việc tấn công còn được thực hiện bởi những nhóm hacker được cho là thân với Bắc Kinh, chẳng hạn APT3, APT10, APT17 hay APT40. Trong đó, APT3 và APT10 đã bị DOJ khởi kiện lên tòa án Mỹ, cáo buộc các thành viên (là hacker độc lập, nhân viên công ty bảo mật, nhân viên tình báo) đánh cắp dữ liệu của doanh nghiệp Mỹ.

Nguồn vnexpress.net

Khóa học Hacker Mũ Trắng – AEH

FBI cảnh báo về vấn đề LockerGoga và MegaCortex Ransomware

admin — Wed, 25 Dec 2019 03:01:24 +0000

FBI đã đưa ra cảnh báo cho những người nhận trong ngành tư nhân để cung cấp thông tin và hướng dẫn về Ransomware LockerGoga và MegaCortex.

Cả LockerGoga và MegaCortex đều là những kẻ lây nhiễm ransomware nhắm vào doanh nghiệp bằng cách xâm nhập mạng và sau đó cố gắng mã hóa tất cả các thiết bị của mình.

Trong thông báo Flash của FBI được đánh dấu, FBI đang cảnh báo ngành công nghiệp tư nhân về hai trường hợp nhiễm ransomware và cách họ tấn công mạng.

“Kể từ tháng 1 năm 2019, ransomware LockerGoga đã nhắm mục tiêu vào các tập đoàn và tổ chức lớn ở Hoa Kỳ, Vương quốc Anh, Pháp, Na Uy và Hà Lan. (C2) cơ sở hạ tầng và nhắm mục tiêu tương tự như LockerGoga. “

Theo cảnh báo, các tác nhân đằng sau LockerGoga và MegaCortex sẽ có được chỗ đứng trên mạng công ty bằng cách khai thác, tấn công lừa đảo, tiêm SQL và thông tin đăng nhập bị đánh cắp.

Khi một mạng bị xâm phạm, các tác nhân đe dọa sẽ cài đặt công cụ kiểm tra thâm nhập có tên Cobalt Strike. Công cụ này cho phép kẻ tấn công triển khai “đèn hiệu” trên thiết bị bị xâm nhập để “tạo vỏ, thực thi các tập lệnh PowerShell, thực hiện leo thang đặc quyền hoặc tạo ra một phiên mới để tạo trình nghe trên hệ thống nạn nhân.”

Khi một mạng bị xâm phạm, các tác nhân sẽ cư trú trên mạng trong nhiều tháng trước khi họ triển khai các trường hợp nhiễm ransomware LockerGoga hoặc MegaCortex.

Mặc dù FBI chưa cho biết những kẻ tấn công này đang làm gì trong giai đoạn này, nhưng các diễn viên có thể đang làm cạn kiệt dữ liệu, triển khai trojan đánh cắp thông tin và làm tổn hại thêm máy trạm và máy chủ.

Khi mạng đã được thu thập bất cứ thứ gì có giá trị, những kẻ tấn công sẽ triển khai các nhiễm trùng LockerGoga hoặc MegaCortex để chúng bắt đầu mã hóa các thiết bị trên mạng. Điều này sẽ tạo ra một nguồn doanh thu cuối cùng cho những kẻ tấn công.

Trong quá trình triển khai ransomware, FBI tuyên bố các tác nhân sẽ thực thi tệp bó kill.bat hoặc stop.bat chấm dứt các quy trình và dịch vụ liên quan đến chương trình bảo mật, vô hiệu hóa các tính năng quét của Windows Defender và vô hiệu hóa các dịch vụ liên quan đến bảo mật.

Các tác nhân đe dọa cũng sẽ sử dụng nhiều LOLBins và phần mềm hợp pháp như 7-Zip, tập lệnh PowerShell, wmic, nslookup, adfind.exe, mstds.exe, Mimikatz, Ntsdutil.exe và massscan.exe.

Thật không may, cả hai trường hợp nhiễm ransomware này đều sử dụng thuật toán mã hóa an toàn, điều đó có nghĩa là không thể giải mã chúng miễn phí.

Khuyến nghị giảm thiểu của FBI

FBI đưa ra hướng dẫn và giảm thiểu lời khuyên rằng các chủ doanh nghiệp nên sử dụng để giảm thiểu rủi ro đối với phần mềm ransomware LockerGoga và MegaCortex.

Giảm thiểu quan trọng nhất do FBI cung cấp là đảm bảo bạn “sao lưu dữ liệu thường xuyên, giữ các bản sao lưu ngoại tuyến và xác minh tính toàn vẹn của quá trình sao lưu”.

Bằng cách có một bản sao lưu hoạt động và được xác minh, đặc biệt là các bản sao lưu ngoại tuyến, ransomware không phải là mối đe dọa vì bạn luôn có thể khôi phục dữ liệu của mình.

Các biện pháp giảm thiểu khác được FBI đề xuất bao gồm:

Đảm bảo rằng tất cả các phần mềm và hệ điều hành đã cài đặt được cập nhật. Điều này giúp ngăn chặn các lỗ hổng bị khai thác bởi những kẻ tấn công.
Cho phép xác thực hai yếu tố và mật khẩu mạnh để chặn các cuộc tấn công lừa đảo, thông tin đăng nhập bị đánh cắp hoặc các thỏa hiệp đăng nhập khác.
Vì các máy chủ từ xa được phơi bày công khai là cách phổ biến để những kẻ tấn công lần đầu tiên truy cập vào mạng, các doanh nghiệp nên kiểm tra nhật ký cho tất cả các giao thức kết nối từ xa.
Kiểm toán việc tạo tài khoản mới.
Quét các cổng mở hoặc nghe trên mạng và chặn chúng không thể truy cập được.
Vô hiệu hóa SMBv1 vì có nhiều lỗ hổng và điểm yếu tồn tại trong giao thức.
Giám sát các thay đổi nhóm Active Directory và nhóm quản trị viên của người dùng đối với người dùng trái phép.
Đảm bảo bạn đang sử dụng PowerShell cập nhật nhất và gỡ cài đặt mọi phiên bản cũ hơn.
“Kích hoạt tính năng ghi nhật ký và giám sát PowerShell cho các lệnh bất thường, đặc biệt là thực thi PowerShell được mã hóa Base64”

Bài hướng dẫn này đủ để áp dụng cho tất cả các trường hợp nhiễm ransomware và nên được tuân theo bởi tất cả các tổ chức và thậm chí là người tiêu dùng.

Nguồn BleepingComputer

Khóa học Chuyên Viên Quản Trị Mạng Nâng Cao – ANAT

Ransomware đã tấn công hơn 1.000 trường học ở Hoa Kỳ vào năm 2019

admin — Wed, 18 Dec 2019 10:22:09 +0000

Kể từ tháng 1, 1.039 trường học trên khắp Hoa Kỳ đã có khả năng bị tấn công bởi ransomware sau 72 khu học chánh và / hoặc các tổ chức giáo dục đã báo cáo công khai là nạn nhân của ransomware theo báo cáo từ nhà cung cấp giải pháp bảo mật Armor.

11 trong tổng số các khu học chánh ở Hoa Kỳ bị ảnh hưởng có hệ thống của họ bị ảnh hưởng bởi ransomware kể từ cuối tháng 10, với 226 trường bị ảnh hưởng trực tiếp.

“Trong số 11 khu học chánh bị tấn công trong đợt tấn công cuối cùng này, chỉ có 1 trường hợp báo cáo đã trả tiền chuộc, nhưng không tiết lộ số tiền (Port Neches-Groves), 3 báo cáo đã từ chối trả tiền (Wood County, Penn-Harris-Madison , Claremont) và 7 đã không tiết lộ liệu họ có trả tiền chuộc hay không, “báo cáo của Armor cho biết thêm.

Kể từ khi công ty báo cáo trước đó vào tháng 9 rằng hơn 500 trường học ở Hoa Kỳ đã bị tấn công bởi ransomware kể từ tháng 1, số trường bị ảnh hưởng đã tăng hơn gấp đôi trong vòng ba tháng theo số liệu thống kê của Armor.

Để hiểu được tác động của một cuộc tấn công ransomware có thể xảy ra khi nó tấn công khu học chánh, chỉ trong trường hợp của Trường công lập Las Cruces, sự cố đã dẫn đến việc tắt tất cả khoảng 30.000 thiết bị của quận từ 42 trường học, cũng như lau sạch ổ cứng và cài đặt lại hệ điều hành.

Thống đốc bang Louisiana John Edwards cũng tuyên bố tình trạng khẩn cấp vào cuối tháng 7 sau một làn sóng tấn công ransomware khổng lồ nhắm vào các khu học chánh của bang.

Danh sách đầy đủ của tất cả 11 khu học chánh bị tấn công bởi ransomware kể từ cuối tháng 10 có sẵn trong bảng được nhúng bên dưới.

Tên Quận	Thành Phố, Bang
Wood County Schools	Parkersburg, West VA
Port Neches-Groves Independent School District	Port Neches, TX
Penn-Harris-Madison School Corporation	Mishawaka, IN
Livingston New Jersey School District	Livingston, NJ.
Chicopee Public Schools	Chicopee, MA
Claremont Unified School District	Claremont, CA
Sycamore School District 427	DeKalb, IL
Maine School Administrative District #6	Buxton, ME
Lincoln County	Brookhaven, MS
San Bernardino City Unified School District	San Bernardino, CA
Las Cruces Public Schools	Las Cruces, NM

Nhìn chung, trải rộng trên tất cả các lĩnh vực công nghiệp, Armor nói rằng họ đã xác định các báo cáo tấn công ransomware công khai từ 269 tổ chức của Hoa Kỳ kể từ ngày 1 tháng 1 năm 2019, với các thành phố dẫn đầu về số nạn nhân với 82 báo cáo, theo sau là các quyền lợi giáo dục với 72.

Các tổ chức chăm sóc sức khỏe đã bị ảnh hưởng bởi 44 vụ tấn công ransomware kể từ đầu năm 2019, trong khi Nhà cung cấp dịch vụ được quản lý (MSP) và / hoặc Nhà cung cấp dịch vụ dựa trên đám mây đã báo cáo công khai 18 sự cố về ransomware.

Emsisoft xác nhận những con số khổng lồ

Trong một báo cáo ransomware hàng năm được công bố vào ngày 12 tháng 12, Emsisoft nói rằng các tổ chức giáo dục bị ảnh hưởng trong năm 2019 bao gồm “86 trường đại học, cao đẳng và khu học chánh, với hoạt động lên tới 1.224 trường riêng lẻ có khả năng bị ảnh hưởng.”

Họ cũng tuyên bố rằng 103 chính quyền tiểu bang và thành phố và các cơ quan cũng đã báo cáo các sự cố về ransomware, trong khi các nhà cung cấp dịch vụ chăm sóc sức khỏe đã bị các băng đảng ransomware tấn công 759 lần trong suốt năm 2019.

Trong một sự cố của các ngành công nghiệp, Emsisoft nhận thấy rằng lĩnh vực chăm sóc sức khỏe đứng đầu danh sách các mục tiêu ransomware phổ biến nhất trong năm nay, với khoảng 759 nhà cung cấp dịch vụ chăm sóc sức khỏe đã bị tấn công như vậy trong năm 2019.

Nhìn chung, nhà sản xuất chống phần mềm độc hại nói rằng ransomware đã ảnh hưởng trực tiếp đến “ít nhất 948 cơ quan chính phủ, cơ sở giáo dục và nhà cung cấp dịch vụ chăm sóc sức khỏe với chi phí tiềm năng vượt quá 7,5 tỷ USD”.

Cảnh báo và giảm thiểu Ransomware

Thượng viện đã thông qua ‘Đạo luật về các đội phản ứng sự cố và săn lùng sự cố của IBM vào tháng 9 để ủy quyền cho Bộ An ninh nội địa (DHS) để duy trì các đội phản ứng sự cố được thiết kế để cung cấp cho các thực thể tư nhân và công cộng giúp bảo vệ chống lại ransomware và các cuộc tấn công mạng.

Trung tâm Khiếu nại Tội phạm Internet của FBI cũng đã ban hành một thông báo dịch vụ công cộng vào tháng 10 về việc ngày càng có nhiều vụ tấn công ransomware có tác động cao nhắm vào các tổ chức công cộng và tư nhân của Hoa Kỳ.

FBI khuyên tất cả các thực thể của Hoa Kỳ hiện đang bị nhắm mục tiêu bởi một loạt các cuộc tấn công ransomware nặng nề để tuân theo các thực tiễn tốt nhất sau:

Thường xuyên sao lưu dữ liệu và xác minh tính toàn vẹn của dữ liệu
Tập trung vào nhận thức và đào tạo
Vá hệ điều hành, phần mềm và chương trình cơ sở trên thiết bị
Kích hoạt tự động cập nhật chống phần mềm độc hại và thực hiện quét thường xuyên
Thực hiện các đặc quyền tối thiểu cho các quyền, thư mục và quyền chia sẻ mạng
Vô hiệu hóa các tập lệnh macro từ các tệp Office được truyền qua email
Thực hiện các chính sách hạn chế và kiểm soát phần mềm
Sử dụng các thực hành tốt nhất để sử dụng RDP
Thực hiện danh sách trắng ứng dụng
Thực hiện phân tách vật lý và logic của các mạng và dữ liệu cho các đơn vị org khác nhau
Yêu cầu tương tác người dùng cho các ứng dụng của người dùng cuối giao tiếp với các tài sản trực tuyến chưa được phân loại

Các tổ chức và cá nhân bị tấn công bởi ransomware cũng được khuyến khích không trả tiền chuộc mà thay vào đó, hãy liên hệ với văn phòng FBI địa phương của họ và báo cáo sự cố cho IC3 càng sớm càng tốt.

Nguồn BleepingComputer