Mã độc tống tiền mới: Kẻ gây hại hay đối tác kinh doanh tiềm năng?

08/12/2015 07:03

Đó là một câu hỏi đưa ra cho dành cho mã độc mã hóa dữ liệu tống tiền có tên Chimera (Ransom_CRYPCHIM.A). Thoạt nhìn, nó có vẻ giống mã độc Crypto-Ransomeware; tuy nhiên, có ba điều khiến Chimera trở nên khác biệt.

Tống tiền trực tuyến

Điều đầu tiên là việc đe dọa tiết lộ thông tin: Chimera không những mã hóa các tập tin mà còn đe dọa sẽ tung chúng lên mạng nếu nạn nhân không trả tiền chuộc theo quy định. Đây là lần đầu tiên mã độc crypto-ransomware công khai đe dọa tung ra dữ liệu được mã hóa ngay từ đầu.

Phần mềm độc hại này có hai phiên bản thông tin tiền chuộc, được viết bằng Tiếng Đức và Tiếng Anh.

Lời đe dọa này sẽ thôi thúc nạn nhân trả tiền chuộc. Phân tích của hãng bảo mật TrendMicro cho thấy rằng, mặc dù đưa ra lời đe dọa nhưng các phần mềm độc hại không có khả năng chuyển các tập tin của nạn nhân đến một máy chủ điều khiển. Thông tin duy nhất nó gửi cho máy chủ là ID, địa chỉ Bitcoin và mã khóa riêng của nạn nhân.

Chương trình liên kết

Lời nhắn đòi tiền chuộc cũng bao gồm một đề xuất thú vị dành cho các nạn nhân. Ở dưới cùng lời nhắn có nói rằng người dùng nên “tận dụng lợi thế các chương trình liên kết của họ”, với nhiều chi tiết trong mã nguồn của tập tin. Vế sau rõ ràng là cách để sàng lọc những người có kỹ năng về công nghệ.

Lời mời đến chương trình liên kết

Nhìn vào những dòng mã được dịch, thật sự có một địa chỉ để liên lạc với họ trong trường hợp bạn muốn tham gia cùng họ. Đây là một địa chỉ Bitmessage; Bitmessage - một giao thức truyền thông P2P (Peer-to-Peer) hợp pháp dùng để gửi tin nhắn được mã hóa và che giấu thông tin người nhận và người gửi.

Trả tiền chuộc

Lời nhắn đòi tiền chuộc hướng dẫn các nạn nhân tải về phần mềm giải mã. Khi đã tải về, phần mềm này sẽ tìm kiếm các tập tin được mã hóa và lời nhắn đòi tiền chuộc để xác định địa chỉBitcoin của nạn nhân.

Sau đó nó sẽ hiển thị tin nhắn dưới dây:

Các chỉ dẫn thêm để thanh toán

Phần mềm giải mã cũng chứa phần mềm nhúng BitMessage. Một khi việc thanh toán được xác nhận, người đưa ra lời đe dọa sẽ gửi một BitMessage chứa ID của nạn nhân và key giải mã cho phần mềm giải mã nhằm xác nhận với nạn nhân và bắt đầu quá trình giải mã.

Ransomware như một dịch vụ

Một điều kỳ lạ có thể thấy là khi người tạo ra các phần mềm độc hại cũng mở ra cách cửa cho các đối tác tiềm năng. Chính vì vậy, việc rò rỉ dữ liệu thêm phần lo ngại.

Rao bán mã độc ransomware như một dịch vụ ( RaaS) có một số lợi thế. RaaS làm giảm khả năng các hoạt động bất hợp pháp truy dấu lại người sáng lập. Bán các ransomware như một dịch vụ cho phép người sáng lập hưởng một vài lợi ích mà không gia tăng nguy cơ bị phát hiện. Đối với Chimera, tiền hoa hồng là 50%, một lợi nhuận vô cùng lớn.

Nhưng nếu so sánh với các mã độc mã hóa dữ liệu khác (ví dụ: CryptoWall, TeslaCrypt), chúng ta thấy rằng RaaS không quá phức tạp. Một mã mà không có bất kỳ kỹ thuật làm rối mã (obfuscation) sẽ để lại string độc nhất giúp các nhà nghiên cứu hoặc điều tra viên có thể dùng để nhận dạng mối đe dọa. Một vài RaaS thiếu các cơ sở máy chủ C&C tốt hoặc thất bại trong việc khai thác lợi thế của Tor2Web, thay vào đó lại dựa vào một Tor chạy thông tin có thể tải được.

Cái giá phải trả

Cách thức hoạt động của Chimera mặc dù có vẻ mới đối với hệ thống mã độc ransomware nhưng lại khá giống với những dự đoán về sự gia tăng các vụ tống tiền trực tuyến 2016 của hãng bảo mật TrendMicro đến từ Nhật Bản.

Các chuyên gia của TrendMicro đã dự đoán về những kẻ tống tiền ảo sẽ đưa ra các hình thức mới nhắm vào tâm lý nạn nhân nhằm thực hiện những vụ tấn công cá nhân và doanh nghiệp gây ra những ảnh hưởng nghiêm trọng. Trong đó, thiệt hại lớn nhất chính là danh tiếng.

Để lấy lại dữ liệu bạn chỉ cần trả đúng số tiền chuộc được yêu cầu nhưng không có gì đảm bảo rằng bọn tội phạm sẽ tôn trọng những thỏa thuận trước đó. Để chắc rằng các tập tin không bao giờ bị nhiễm các mã độc Ransomware, các chuyên gia bảo mật khuyến cáo người dùng nên thường xuyên sao lưu các tập tin theo quy tắc 3-2-1 và hơn hết là nên cài đặt một ứng dụng bảo mật tin cậy.

MAI KHÔI

Ý kiến bạn đọc (1)
"sao lưu các tập tin theo quy tắc 3-2-1" là gì admin?

Thang - 11-12-2015 09:47

Tên   Email

Lên đầu trang