Cách thức hoạt động của Winnti bao gồm sử dụng phần mềm độc hại tùy chỉnh, các công cụ hack tiên tiến và các chiến dịch lừa đảo được tổ chức tốt để xâm nhập vào các tổ chức mục tiêu. Khi đã vào bên trong, họ di chuyển theo chiều ngang qua các mạng, lấy cắp thông tin tài chính nhạy cảm và triển khai ransomware để tống tiền. Các hoạt động của họ được đặc trưng bởi sự kiên trì lâu dài trong các mạng nạn nhân, thường không bị phát hiện trong thời gian dài.
Các nhà nghiên cứu bảo mật đã xác định một số loại phần mềm độc hại chính được sử dụng bởi Winnti, bao gồm ShadowPad, PlugX và chính Winnti. Những công cụ này cho phép nhóm duy trì quyền truy cập backdoor, thực thi các lệnh từ xa và thu thập dữ liệu một cách bí mật. Các hoạt động gần đây của nhóm này cho thấy một sự chuyển dịch đáng lo ngại hướng tới lợi ích tài chính, tận dụng chuyên môn kỹ thuật của họ để khai thác các lỗ hổng trong các hệ thống và tổ chức tài chính.
Ngành tài chính được khuyến khích tăng cường các biện pháp an ninh mạng, bao gồm phân đoạn mạng mạnh mẽ, kiểm tra bảo mật thường xuyên và đào tạo toàn diện cho nhân viên để nhận biết và phản ứng với các cuộc tấn công lừa đảo. Sự hợp tác giữa các cơ quan an ninh mạng quốc tế là rất quan trọng để theo dõi, xác định và giảm thiểu tác động của các mối đe dọa mạng phức tạp như vậy. Khi Winnti tiếp tục phát triển các chiến lược của mình, các tổ chức phải cảnh giác và chủ động trong các cơ chế phòng thủ của họ để bảo vệ chống lại các hoạt động gián điệp mạng tiên tiến này.
Source: GBHackers
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.