Ransomware này được lan truyền bởi phần mềm độc hại BEDEP
sau một nhiễm trùng hệ thống gây ra bởi các Angler Exploit Kit (EK). Các nhà
nghiên cứu đã mô tả: “một Angler EK vào BEDEP đã đẩy cả một tải trọng
ransomware và Dridex 222”. Điều này có nghĩa rằng các trang web lưu trữ Angler
khai thác bộ được phân phối CryptXXX. Bộ kit sau đó tận dụng
các lỗ hổng trên hệ thống để thúc đẩy việc tải BEDEP. CryptXXX được xem như một
giai đoạn nhiễm khuẩn thứ hai vận chuyển như một DLL thực hiện chậm chờ đợi ít
nhất 62 phút để khởi động. Khi thực hiện các ransomware, nó mã hóa các tập tin
hệ thống bị nhiễm và gắn thêm một phần mở rộng .crypt vào tên tập tin.
Trend Micro cho biết, tương tự như các
ransomware khác như Locky, TeslaCrypt, và Cryptowall, CryptXXX tạo ra ba loại tập tin: de_crypt_readme.bmp,
de_crypt_readme.txt, de_crypt_readme.html để báo hiệu và thông báo cho các nạn
nhân của hệ thống thỏa hiệp và yêu cầu thanh toán các khoản tiền chuộc để lấy lại
quyền truy cập các tập tin. Theo các nhà nghiên cứu, các ransomware đòi một khoản
tiền chuộc khá cao đến 500 USD cho mỗi hệ thống khác xa với tiền chuộc thường
thấy trong quá khứ. Hơn nữa, CryptXXX trốn tránh phát hiện thông qua cách chống
VM và chức năng chống phân tích, trong đó nó sẽ kiểm tra tên của CPU trong đăng
ký và cài đặt một thủ tục “móc câu” để giám sát hoạt động.
CryptXXX
cũng được cho rằng có khả năng đánh cắp quyền sở hữu Bitcoin ngoài các thông
tin thu hoạch và thông tin cá nhân khác từ mục tiêu của nó. Các nhà nghiên cứu
Trend Micro cho biết nó có thể ăn cắp dữ liệu từ FTP, nhắn tin và các ứng dụng
mail. Những thông tin đánh cắp các chức năng trong ransomware này cũng giống
như hình thức “ăn cắp riêng tư” được phân phối bởi trường hợp này của BEDEP trước
đó.
Các kết nối Reveton
Phần
lớn các kết nối Reveton dựa trên phân tích của các nhà nghiên cứu vector lây
nhiễm và lịch sử của nó, nó được thiết lập bởi CryptXXX được liên kết đáng kể đến
nhóm chạy Angler và BEDEP.
Trong
khi điều tra và phân tích của CryptXXX vẫn đang tiếp diễn, các nhà nghiên cứu
phát hiện ra đằng sau ransomware này được hậu thuẫn bởi tác động lớn của các kết
nối Reveton.
Với
lịch sử lâu dài trong phân phối phần mềm độc hại trên quy mô lớn, CryptXXX được
các hacker mong đợi trở nên phổ biến dựa trên các kết nối Reveton. Ngoài ra, kể
từ khi Angler EK có số lượng cao nhất về khối lượng, nó có thể gây thiệt hại
nhiều hơn trong các cuộc tấn công, giống như cách Locky ngày trước ngay lập tức
gây ra một sự khuấy động sau khi tấn công trúng một số lĩnh vực.
Cục
diện ransomware ngày nay đã phát triển đáng kể và dễ dàng lây lan từ các mối đe
dọa thông qua các phần mềm độc hại dữ liệu mã hóa tải xuống các tập tin và hệ
thống. Gần đây,
sự gia tăng liên tục các biến thể mới và tinh vi hơn của ransomware đã đẩy
chính quyền nỗ lực phòng chống ransomware liên tục. Và cài đặt phần mềm bảo mật là phương pháp an toàn nhất
có thể giúp người dùng và các doanh nghiệp tránh mọi hiểm họa
MAI
KHÔI