Phát hiện chủng ransomware mới, không đòi tiền chuộc dữ liệu mà chỉ cần nạn nhân chịu tham gia máy chủ Discord của hacker

Các nhà nghiên cứu bảo mật quốc tế vừa tình cờ tìm ra một chủng ransomware (mã độc tống tiền mới) sở hữu hành vi khá kỳ lạ. Có tên “Hog”, mã độc tống tiền này vẫn xâm nhập vào hệ thống và mã hóa tệp dữ liệu của nạn nhân. Tuy nhiên nó chỉ chấp nhận yêu cầu giải mã tệp nếu nạn nhân chịu tham gia vào máy chủ Discord do chính những kẻ đứng sau điều hành mã độc kiểm soát.

Cụ thể hơn, nhà nghiên cứu bảo mật đến từ MalwareHunterTeam vừa tìm thấy một trình giải mã (decryptor) được phát triển cho “Hog ransomware”, trong đó yêu cầu nạn nhân phải tham gia máy chủ Discord nếu muốn tệp của mình được giải mã.

Trình mã hóa (encryptor) của mã độc sau đó cũng đã được tìm ra. Khi được thực thi, nó sẽ kiểm tra xem liệu một máy chủ Discord cụ thể có tồn tại hay không và nếu có, sẽ bắt đầu mã hóa tệp của nạn nhân.

Khi mã hóa thành công một tệp của nạn nhân, mã độc sẽ gắn thêm phần mở rộng .hog vào đuôi tệp đó như hình minh họa dưới đây, đồng thời tự động trích xuất thành phần trình giải mã.

Sau khi Hog mã hóa xong thiết bị mục tiêu, nó sẽ lập tức khởi chạy trình giải mã DECRYPT-MY-FILES.exe từ thư mục Windows Startup.

Trình giải mã này sẽ giải thích chi tiết cho nạn nhân về những gì đã xảy ra với họ, và sau đó nhắc nạn nhân nhập mã thông báo người dùng Discord được tạo riêng cho họ.

Nếu bạn chưa biết thì Discord là hệ thống trò chuyện bằng giọng nói và văn bản, cho phép giao tiếp với những người khác. Bất cứ ai cũng có thể tạo ra một máy chủ lưu trữ thảo luận bất cứ điều gì họ muốn. Bạn có thể tìm người để nói chuyện về Valkyrie và tạo lập các đội với hầu hết các thời điểm trong ngày. Tìm hiểu thêm về Discord tại bài viết NÀY.

Mã thông báo Discord cho phép ransomware xác thực với các API của Discord với tư cách là người dùng và kiểm tra xem họ có tham gia máy chủ của mình hay không, như được hiển thị bằng mã nguồn bên dưới.

Nếu nạn nhân đã tham gia vào máy chủ hoặc máy chủ không tồn tại, ransomware sẽ giải mã các tệp của nạn nhân bằng cách sử dụng khóa tĩnh được nhúng trong ransomware.

Mặc dù đây có vẻ là một ransomware đang trong quá trình phát triển, nhưng nó cho thấy xu hướng các tác nhân đe dọa bắt đầu sử dụng Discord thường xuyên hơn cho các hoạt động độc hại.

Một ransomware khác có tên Humble gần đây đã được phát hiện bởi Trend Micro, sử dụng webhook để đăng thông tin chi tiết về các nạn nhân mới lên máy chủ Discord của tin tặc.

Ngoài ra, Discord còn thường được các tác nhân đe dọa sử dụng để phát tán phần mềm độc hại hoặc thu thập dữ liệu bị đánh cắp.

Trước thực trạng trên, việc tăng cường triển khai giám sát lưu lượng truy cập Discord để phát hiện sớm các mối đe dọa hoặc hành vi bất thường là điều quan trọng mà quản trị viên và các công cụ an ninh mạng nên thực hiện.