Cảnh báo mã độc malware cực nguy hiểm chuyên xóa dữ liệu đã trở lại

Một loại mã độc âm thầm lây nhiễm vào máy tính nạn nhân rồi tự động xóa bỏ tất cả dữ liệu trên máy khiến hệ thống ngừng hoạt động đã quay trở lại. 

Một loại mã độc âm thầm lây nhiễm vào máy tính nạn nhân rồi tự động xóa bỏ tất cả dữ liệu trên máy khiến hệ thống ngừng hoạt động đã quay trở lại. Mã độc này chính là Shamoon, phần mềm độc hại cực kỳ nguy hiểm đã từng tấn công hơn 35.000 máy tính của các công ty khí đốt Saudi Arabian năm 2012. Mã độc “khét tiếng” này nguy hiểm ở chỗ có thể xóa hết toàn bộ dữ liệu hệ thống khiên toàn bộ hệ thống tê liệt.

Nay mã độc này đã trở lại và lợi hại hơn xưa. Được biết với bộ dạng mới của mình, mã độc này đã có 3 đợt tấn công kể từ tháng 11 năm ngoái, may mắn là chỉ dừng lại ở phạm vi các nước Trung Đông. Thế nhưng sự việc không dừng ở đó, khi người ta phát hiện một loại mã độc với cách thức hoạt động tương tự đang nhắm vào một công ty dầu mỏ ở Châu Âu, nhiều chuyên gia đã tỏ vẻ lo ngại về mức độ nguy hiểm của nó.

Kaspersky Lab đặt tên cho loại mã độc này là “StoneDrill”. Các chuyên gia của Kaspersky Lab tình oc72 phát hiện ra phần mềm độc hại này khi đang nghiên cứu cuộc tấn công của Shamoon vào hai ngày cuối tháng 11 và một ngày cuối tháng Giêng. Phiên bản Shamoon 2.0 được trang bị những công cụ và kỹ thuật mới, cho phép chúng ít phụ thuộc vào các C&C Servers (máy chủ điều khiển qua lệnh) bên ngoài hơn, đây là một module đầy đủ các chức năng mã hóa và hoạt động tốt trên cả nền 32-bit và cả 64-bit.

Kaspersky Lab phát hiện StoneDrill khi đang điều tra về Shamoon

Khả năng ẩn nấp của StoneDrill ấn tượng hơn phiên bản Shamoon cũ vì không hề sử dụng trình điều khiển ổ đĩa trong quá trình cài đặt. Mã độc sẽ cắm một module xóa dữ liệu vào bộ nhớ máy tính, đồng thời tạo cửa hậu nhằm mục đích đánh cắp dữ liệu của hệ thống. Ngoài việc dùng chung một loại mã code giống Shamoon, các chuyên gia còn cho biết StoneDrill dùng các thủ thuật tương tự chiến dịch gián điệp “NewsBeef” nhắm vào nhiều tổ chức trên toàn thế giới.

Điểm giống và khác giữa StoneDrill với Shamoon 2.0 và NewsBeef

Trong báo cáo của Kaspersky Lab cũng có đề cập việc phát hiện ra mã độc xóa dữ liệu cực nguy hiểm này tại Châu Âu chứng tỏ rằng nhóm đứng đằng sau chúng đang mở rộng quy mô tấn công vượt ra ngoài các khu vực Trung Đông. Mục tiêu của chúng là một tập đoàn lớn thuộc ngành hóa dầu, không có mối quan hệ rõ ràng nào với Ả Rập Saudi.

Hiện các chuyên gia vẫn chưa hiểu rõ mối quan hệ giữa StoneDrill và Shamoon. Họ nghi ngờ có thể đây là hai nhóm hacker khác nhau với mục tiêu tấn công khác nhau. Vì StoneDrill hỗ trợ ngôn ngữ Ả Rập, trong khi đó, Shamoon lại dùng tiếng Ba Tư. Tuy nhiên Kaspersky Lab cũng cho rằng có thể đây là một đòn điệu hổ ly sơn nhằm đánh lạc hướng các nhà điều tra.

Kaspersky Lab đã phát hiện ra StoneDrill khi nghiên cứu các đợt tấn công của Shamoon. Ban đầu, các chuyên gia nghĩ rằng loại mã độc mới này là một loại biến thể hoặc cải tiến của Shamoon, nhưng khi phân tích sâu hơn thì họ tìm ra mã độc này dùng các phương thức đặc biệt chưa từng thấy trước đó. Phiên bản này âm thầm chiếm quyền kiểm soát và lây lan sang nhiều máy khác. Đến thời điểm, chúng sẽ xóa toàn bộ dữ liệu khiến hệ thống này ngừng hoạt động.

Minh Hương