Cảnh báo – 2 mã độc tống tiền nguy hiểm đã trở lại

www.tuoitre.vn -   16/08/2017 11:00:00 2621

Mã độc tống tiền (Ransomware) đang ngày càng trở nên nguy hiểm và dần trở thành mối lo thật sự với người dùng máy tính và các doanh nghiệp lớn làm thiệt hại hàng triệu USD và ảnh hưởng nặng nề.

Cảnh báo – 2 mã độc tống tiền nguy hiểm đã trở lại

Chỉ mới vài tháng trước, toàn thế giới phải đối mặt với sự xuất hiện của hàng loạt mã độc tống tiền Ransomware cực kỳ nguy hiểm như WannaCry, NotPetya, LeakerLocker làm chao đảo hàng loạt hệ thống bệnh viện, nhà máy, viễn thông, ngân hàng và nhiều tổ chức doanh nghiệp khác.

Trước sự ra đời của WannaCry và NotPetya, có thể kể đến bậc đàn anh Mamba – mã độc tống tiền có khả năng mã hóa đĩa cứng hệ thống và mã độc tống tiền Locky xuất hiện và gây ra hàng loạt sự cố an ninh mạng trên thế giới vào năm ngoái. Tin xấu là năm nay, chúng đang trở lại và lợi hại hơn xưa gấp nhiều lần.

Diablo6: Biến thể mới của mã độc tống tiền Locky

Lần đầu tiên xuất hiện vào đầu năm 2016, Locky được xem là một trong những mã độc tống tiền Ransomware có khả năng lây lan rộng nhất trên toàn thế giới và gây ra nhiều thiệt hại nặng nề cho nạn nhân nào dính phải nó.

Cảnh báo – 2 mã độc tống tiền nguy hiểm đã trở lại

Bằng cách lừa người dùng nhấp vào một tập đính kèm độc hại, Locky mã hóa hầu như toàn bộ loại tập tin có trên máy tính của nạn nhân và hệ thống mạng lưới để khóa lại và tống tiền nạn nhân. Mã độc này đã kiếm được rất nhiều tiền qua 2 kênh lây lan chính là Necurs botnet và Dridex botnet.

Lần này các chuyên gia bảo mật đã phát hiện một chiến dịch spam mã độc mới lây lan bởi chủng biến thể mới của Locky với tên Diablo6 và nhắm vào hàng loạt hệ thống máy tính trên thế giới, trong đó chủ yếu là Mỹ, kế đến là Áo.

Một chuyên gia bảo mật độc lập sử dụng bí danh Racco42 đã phát hiện ra chủng biến thể Locky mới này đã mã hóa tập tin trong các máy tính bị lây nhiễm và có tên tập tin mở rộng là .diablo6.

Mã độc tống tiền này cũng lây lan qua email chứa tập tin Microsoft Word đính kèm. Một khi tập tin được mở lên, một mã VBS Downloader sẽ tự tải mã độc Locky Diablo6 từ server quản lý từ xa.

Mã độc sẽ tự động mã hóa các tập tin với key RSA-2048 trên máy tính bị lây nhiễm trước khi hiển thị dòng tin thông báo cho nạn nhân phải tải và cài đặt trình duyệt Tor, truy cập trang web của kẻ tấn công để thực hiện các bước hướng dẫn trả tiền chuộc.

Được biết, mã độc tống tiền Locky Diablo6 đòi một khoản tiền là 0.49 Bitcoin (tương đương 2,079 USD) để giải mã và lấy lại tập tin dữ liệu.

Điều đáng tiếc là ở thời điểm hiện tại, các chuyên gia vẫn chưa tìm ra giải pháp để giải mã loại mã độc này, cho nên người dùng phải hết sức cẩn thận khi mở các tập tin đính kèm email.

Mamba đã trở lại và lợi hại hơn xưa

Mamba là một chủng loại ransomware khác cực kỳ mạnh và nguy hiểm bởi một khi đã bị lây nhiễm vào máy tính và hệ thống của người dùng, mã độc tống tiền này sẽ ngay lập tức mã hóa toàn bộ ổ cứng thay vì chỉ khóa tập tin dữ liệu như Locky, buộc toàn bộ hệ thống tê liệt chỉ trừ khi nạn nhân bỏ tiền ra chuộc lại hệ thống.

Cảnh báo – 2 mã độc tống tiền nguy hiểm đã trở lại

Sử dụng chung chiến thuật tấn công với các mã độc tống tiền khác như NotPetya và WannaCry nhưng mã độc Mamba được thiết kế để phá hoại doanh nghiệp và các tổ chức lớn hơn là khai thác Bitcoin.

Cuối năm ngoái, mã độc tống tiền Mamba đã lây nhiễm toàn hệ thống mạng lưới công ty vận tải San Francisco (San Francisco's Municipal Transportation Agency (MUNI)) trong dịp lễ Tạ Ơn, làm tê liệt toàn bộ hệ thống quản lý của tổ chức này, buộc phải hoãn toàn bộ chuyến tàu và tắt toàn bộ máy bán vé cũng như cổng kiểm soát của một số trạm tàu.

Nay, các chuyên gia bảo mật của Kaspersky Lab đã phát hiện ra chiến dịch lây lan Mamba mới, tấn công chủ yếu vào mạng lưới các công ty ở nhiều quốc gia, trong đó nổi bật là Brazil và Ả Rập Saudi.

Mamba sử dụng một công cụ mã hóa ổ đĩa Windows nguồn mở hợp pháp được gọi là Disk Cryptor, có khả năng khóa toàn bộ ổ cứng máy tính của tổ chức mà kẻ tấn công nhắm đến. Do đó khả năng gỡ khóa là rất khó bởi các giao thức mã hóa bởi DiskCryptor rất mạnh.

Mặc dù các chuyên gia vẫn chưa rõ cách thức xâm nhập của mã độc tống tiền này vào hệ thống mạng lưới của tổ chức, nhưng các chuyên gia tin rằng, Mamba có thể sẽ khai thác các lỗ hổng bảo mật của hệ thống hoặc qua các website độc hại hoặc qua email có đính kèm tập tin độc hại.

Nội dung tống tiền của Mamba cũng không yêu cầu tiền ngay lập tức, mà chỉ thông báo cho nạn nhân rằng ổ cứng của họ đã bị mã hóa và cung cấp 2 địa chỉ email, một ID number độc nhất để có thể lấy key giải mã sau này.

Minh Hương 

TIN CÙNG CHUYÊN MỤC

Sự phát triển của AI trong các vụ lừa đả...

17/01/2025 08:00:00 3
Sự phát triển vượt bậc của AI không chỉ tác động đến nhiều ngành công nghiệp mà còn thay đổi chiến t...

Làn sóng tấn công an ninh mạng mới: AI b...

14/01/2025 08:00:00 4
Sự phát triển vượt bậc của trí tuệ nhân tạo (AI) đã cách mạng hóa mọi khía cạnh cuộc sống, từ mua sắ...

Các sản phẩm của Kaspersky dẫn đầu về hi...

07/01/2025 08:00:00 4
Kaspersky tiếp tục thiết lập chuẩn mực mới về hiệu suất, khẳng định vị thế dẫn đầu trong lĩnh vực an...

Khi tiện ích mở rộng tốt trở nên tệ hại:...

31/12/2024 08:00:00 151
Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện í...

Hàng chục tiện ích mở rộng của Chrome bị...

30/12/2024 08:00:00 131
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nh...

Apple bồi thường 95 triệu USD vì Siri ng...

30/12/2024 12:00:00 385
Apple đã lưu trữ bất hợp pháp dữ liệu tương tác giữa người dùng với trợ lý ảo Siri mà không có sự đồ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button