Nhóm ransomware Atom Silo mới nhắm mục tiêu vào các máy chủ Confluence

Một nhóm ransomware mới có tên Atom Silo đang nhắm mục tiêu vào lỗ hổng của máy chủ Confluence và Confluence Data Center.

Phần mềm Atlassian Confluence là không gian làm việc nhóm công ty dựa trên nền tảng web rất phổ biến giúp nhân viên cộng tác trong các dự án khác nhau.

Vào ngày 25 tháng 8, Atlassian đã phát hành bản cập nhật bản vá lỗ hổng thực thi mã từ xa Confluence (RCE) với mã định danh CVE-2021-26084.

Các băng đảng ransomware tấn công các máy chủ Confluence

Các nhà nghiên cứu SophosLabs đã phát hiện ra nhóm ransomware mới này khi các sự cố liên quan đến máy chủ Confluence diễn ra gần đây. Họ cũng phát hiện ra rằng phần mềm ransomware do nhóm mới này sử dụng gần như giống với phần mềm ransomware của LockFile.

Tuy nhiên, các nhà nghiên cứu cũng tiết lộ rằng nhóm ransomware Atom Silo đã sử dụng một số kỹ thuật mới khiến việc điều tra trở nên cực kỳ khó khăn.

Sau khi xâm nhập các máy chủ Confluence và cài đặt một backdoor - cửa hậu, các hacker sẽ sử dụng file DLL và khởi chạy nó trên hệ thống bị xâm phạm.

Ngoài ra, phần mềm ransomware do Atom Silo triển khai cũng đi kèm với một trình điều khiển độc hại được sử dụng để phá vỡ các giải pháp bảo vệ và để tránh bị phát hiện.

Lỗ hổng Confluence bị khai thác nhiều

Nhiều hacker đã bắt đầu khai thác lỗ hổng Confluence RCE để cài đặt các công cụ khai thác tiền điện tử sau khi bản vá của Atlassia được phát hành.

Ngoài ra, các hacker cũng đang cài đặt các công cụ khai thác tiền điện tử khác (ví dụ: các công cụ khai thác tiền điện tử XMRig Monero) trên các máy chủ Windows và Linux Confluence.

Bộ Tư lệnh Mạng Hoa Kỳ (USCYBERCOM) đã đưa ra một cảnh báo vào đầu tháng 9 để thúc giục các tổ chức của Hoa Kỳ vá lỗ hổng Atlassian Confluence nghiêm trọng ngay lập tức vì nó đã bị khai thác quá nhiều.

Chia sẻ bài viết này