Thêm 2 mã độc tống tiền mới xuất hiện, cách hoạt động lạ lùng

www.tuoitre.vn -   11/03/2021 12:00:00 792

Các nhà nghiên cứu an ninh mạng quốc tế mới đây đã tìm thấy hai dạng ransomware hoàn toàn mới khá kỳ lạ. Chúng mang trên mình những đặc điểm rất khác biệt và hiếm khi được ghi nhận, là hồi chuông cảnh tỉnh, cho thấy thế giới ransomware đã trở nên biến hóa đa dạng thế nào. Đặc biệt là trong bối cảnh số lượng băng đảng ransomware cũng như các cuộc tấn công bằng mã độc tống tiền được ghi nhận ngày càng thường xuyên như hiện nay.

Thêm 2 mã độc tống tiền mới xuất hiện, cách hoạt động lạ lùng

Cả hai chủng ransomware mới đều xuất hiện vào khoảng tháng 2. Điều đáng nói nằm ở chỗ hai phiên bản mã độc tống tiền này đều đang cố gắng “vòi” tiền chuộc dữ liệu từ nạn nhân theo những cách khác nhau, mặc dù đều nhắm đến đồng bitcoin.

Sau khi đi sâu phân tích, các nhà nghiên cứu phát hiện ra rằng AlumniLocker là một biến thể của Thanos ransomware. Ngay sau khi mã hóa được dữ liệu của mục tiêu, nó sẽ lập tức đưa ra yêu cầu thanh toán 10 Bitcoin tiền chuộc để đổi lấy key giải mã - con số hiện tương đương khoảng 450.000 USD.

Mã độc tống tiền này thường được lây truyền thông qua tệp đính kèm PDF độc hại ngụy trang dưới dạng là hóa đơn hợp lệ, được phân phối và đính kèm trong các email lừa đảo. File PDF này chứa một liên kết sẽ giải nén tệp ZIP chạy tập lệnh PowerShell nhằm kích hoạt payload và thực thi ransomware.

Giống như số lượng ngày càng tăng của các chiến dịch ransomware, những kẻ tấn công đằng sau AlumniLocker đe dọa sẽ công bố dữ liệu đánh cắp từ nạn nhân nếu họ không thanh toán tiền chuộc trong vòng 48 giờ. Mặc dù trên thực tế, mức tiền chuộc này là quá lớn và có thể nằm ngoài khả năng chi trả của nạn nhân.

Nhu cầu đòi tiền chuộc “đầy tham vọng” và những mâu thuẫn khác trong kỹ thuật tấn công của AlumniLocker - bao gồm cả cách trang web công bố dữ liệu đánh cắp không thực sự hoạt động - có thể chỉ ra rằng những kẻ đứng sau mã độc nhiều khả năng chỉ là những “tay mơ”, mới chuyển sang hoạt động trong mảng ransomware này.

Thêm 2 mã độc tống tiền mới xuất hiện, cách hoạt động lạ lùng

“Có vẻ như đây có thể là một nhóm hacker mới, chưa có kinh nghiệm trong khâu tối ưu hiệu quả của các cuộc công bởi yêu cầu tiền chuộc cao hơn nhiều so với thông thường. Ngoài ra, việc trang web rò rỉ không hoạt động cũng là một ví dụ khác cho thấy đây là một nhóm hacker mới”, kỹ sư bảo mật cấp cao nhận định.

Chủng ransomware mới thứ hai, Humble, cũng xuất hiện lần đầu tiên vào tháng 2,như có cách thức hoạt động hoàn toàn khác biệt. Thứ nhất, Humble yêu cầu mức tiền chuộc dữ liệu nhỏ hơn nhiều so với AlumniLocker, chỉ 0,0002 Bitcoin - tức là chưa đến 10 USD theo tỉ giá hiện tại. Điều này cho thấy rằng Humble có thể đang nhắm mục tiêu đến các cá nhân riêng lẻ thay vi các tổ chức, doanh nghiệp như xu hướng chung của thế giới ransomware.

Hiện vẫn chưa biết chính xác Humble được phân phối như thế nào, nhưng các nhà nghiên cứu lưu ý rằng mã độc này nhiều khả năng được lây truyền là thông qua các cuộc tấn công lừa đảo (phishing).

Trong nỗ lực thúc đẩy nạn nhân trả tiền chuộc, Humble đe dọa bằng cách nói rằng nếu họ khởi động lại hệ thống của mình, Master Boot Record (MBR) sẽ được viết lại, khiến máy tính không còn có thể sử dụng được.

Humble là một chủng ransomware bất thường bởi nó được biên dịch với một trình bao thực thi (Bat2Exe) trong tệp batch. Điều kỳ lạ nữa là nó sử dụng Discord - một dịch vụ liên lạc bằng giọng nói, văn bản và video phổ biến trong giới game thủ - để gửi báo cáo lại cho những kẻ vận hành đằng sau.

Cả hai dạng ransomware mới nêu trên đều bất bình thường, nhưng chúng đều chỉ ra sự thật rằng ransomware tiếp tục là “miền đất hứa” với giới tội phạm mạng, nơi việc đút túi những khoản tiền phi pháp lớn trở nên dễ dàng hơn bao giờ hết.

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 153
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 73
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 222
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 218
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 274
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 141
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ