Phát hiện 2 dạng mã độc tống tiền mới, thế giới mã độc này đã trở nên rất đa dạng

Các nhà nghiên cứu an ninh mạng quốc tế mới đây đã tìm thấy hai dạng ransomware hoàn toàn mới khá kỳ lạ. Chúng mang trên mình những đặc điểm rất khác biệt và hiếm khi được ghi nhận, là hồi chuông cảnh tỉnh, cho thấy thế giới ransomware đã trở nên biến hóa đa dạng thế nào. Đặc biệt là trong bối cảnh số lượng băng đảng ransomware cũng như các cuộc tấn công bằng mã độc tống tiền được ghi nhận ngày càng thường xuyên như hiện nay.

Cả hai chủng ransomware mới đều xuất hiện vào khoảng tháng 2, và đã được các nhà nghiên cứu an ninh mạng tại Trend Micro – AlumniLocker và Humble phát hiện. Điều đáng nói nằm ở chỗ hai phiên bản mã độc tống tiền này đều đang cố gắng “vòi” tiền chuộc dữ liệu từ nạn nhân theo những cách khác nhau, mặc dù đều nhắm đến đồng bitcoin.

Sau khi đi sâu phân tích, các nhà nghiên cứu phát hiện ra rằng AlumniLocker là một biến thể của Thanos ransomware. Ngay sau khi mã hóa được dữ liệu của mục tiêu, nó sẽ lập tức đưa ra yêu cầu thanh toán 10 Bitcoin tiền chuộc để đổi lấy key giải mã - con số hiện tương đương khoảng 450.000 USD.

Mã độc tống tiền này thường được lây truyền thông qua tệp đính kèm PDF độc hại ngụy trang dưới dạng là hóa đơn hợp lệ, được phân phối và đính kèm trong các email lừa đảo. File PDF này chứa một liên kết sẽ giải nén tệp ZIP chạy tập lệnh PowerShell nhằm kích hoạt payload và thực thi ransomware.

Giống như số lượng ngày càng tăng của các chiến dịch ransomware, những kẻ tấn công đằng sau AlumniLocker đe dọa sẽ công bố dữ liệu đánh cắp từ nạn nhân nếu họ không thanh toán tiền chuộc trong vòng 48 giờ. Mặc dù trên thực tế, mức tiền chuộc này là quá lớn và có thể nằm ngoài khả năng chi trả của nạn nhân.

Nhu cầu đòi tiền chuộc “đầy tham vọng” và những mâu thuẫn khác trong kỹ thuật tấn công của AlumniLocker - bao gồm cả cách trang web công bố dữ liệu đánh cắp không thực sự hoạt động - có thể chỉ ra rằng những kẻ đứng sau mã độc nhiều khả năng chỉ là những “tay mơ”, mới chuyển sang hoạt động trong mảng ransomware này.

“Có vẻ như đây có thể là một nhóm hacker mới, chưa có kinh nghiệm trong khâu tối ưu hiệu quả của các cuộc công bởi yêu cầu tiền chuộc cao hơn nhiều so với thông thường. Ngoài ra, việc trang web rò rỉ không hoạt động cũng là một ví dụ khác cho thấy đây là một nhóm hacker mới”, Jon Clay, kỹ sư bảo mật cấp cao tại Trend Micro, nhận định.

Chủng ransomware mới thứ hai, Humble, cũng xuất hiện lần đầu tiên vào tháng 2,như có cách thức hoạt động hoàn toàn khác biệt. Thứ nhất, Humble yêu cầu mức tiền chuộc dữ liệu nhỏ hơn nhiều so với AlumniLocker, chỉ 0,0002 Bitcoin - tức là chưa đến 10 USD theo tỉ giá hiện tại. Điều này cho thấy rằng Humble có thể đang nhắm mục tiêu đến các cá nhân riêng lẻ thay vi các tổ chức, doanh nghiệp như xu hướng chung của thế giới ransomware.

Hiện vẫn chưa biết chính xác Humble được phân phối như thế nào, nhưng các nhà nghiên cứu lưu ý rằng mã độc này nhiều khả năng được lây truyền là thông qua các cuộc tấn công lừa đảo (phishing).

Trong nỗ lực thúc đẩy nạn nhân trả tiền chuộc, Humble đe dọa bằng cách nói rằng nếu họ khởi động lại hệ thống của mình, Master Boot Record (MBR) sẽ được viết lại, khiến máy tính không còn có thể sử dụng được.

Humble là một chủng ransomware bất thường bởi nó được biên dịch với một trình bao thực thi (Bat2Exe) trong tệp batch. Điều kỳ lạ nữa là nó sử dụng Discord - một dịch vụ liên lạc bằng giọng nói, văn bản và video phổ biến trong giới game thủ - để gửi báo cáo lại cho những kẻ vận hành đằng sau.

Cả hai dạng ransomware mới nêu trên đều bất bình thường, nhưng chúng đều chỉ ra sự thận rằng ransomware tiếp tục là “miền đất hứa” với giới tội phạm mạng, nơi việc đút túi những khoản tiền phi pháp lớn trở nên dễ dàng hơn bao giờ hết.