Lựa chọn ngôn ngữ
VNCDN Products
CDN
SECUMAIL Products
Other Products

Tên Miền

Solutions

Email: contact@vnetwork.vn

Hotline: (028) 7306 8789

Phát hiện phần mềm độc hại kỳ lạ, chỉ tấn công người giàu

09/07/2019
Phát hiện phần mềm độc hại kỳ lạ, chỉ tấn công người giàu

Mới đây, các nhà nghiên cứu bảo mật đã nhận thấy một vài thay đổi quan trọng được áp dụng với biến thể mới của Ransomware Ryuk, vốn không được tìm thấy ở các phiên bản trước đó

Các ransomware khác thường dùng nhiều cách khác nhau để lây lan mã độc đến người dùng, nhưng ransomware Ryuk này lại khác, nó lây nhiễm một cách có chọn lọc. Cụ thể, ransomware Ryuk chỉ lây nhiễm đối với các doanh nghiệp lớn, dựa trên lỗ hổng bảo mật được tạo ra do một phần mềm độc hại khác có tên là Trickbot trước đó. Điều đặc biệt là các doanh doanh nghiệp nhỏ cũng bị nhiễm Trickbot thì Ryuk lại không tấn công có dấu hiệu xâm nhập.

Dựa trên Trickbot, Ryuk sẽ thăm dò hệ thống của đối tượng, tìm hiểu nguồn nhân lực và khả năng chi trả khoản tiền chuộc khổng lồ của họ. Để doanh nghiệp không kịp trở tay, phần mềm độc hại này sẽ không vội tấn công ngay mà sẽ dò thám hệ thống quan trọng nhất, sau đó mới tiến hành thực hiện tấn công quy mô lớn.

Nhà nghiên cứu bảo mật Vitali Kremez đã nghiên cứu kỹ lưỡng về biến thể này và nhận thấy rằng, ransomware Ryuk đã được bổ sung thêm khả năng kiếm tra dữ liệu đầu ra của arp –a cho các chuỗi IP cụ thể và nếu chuỗi IP này được tìm thấy, nó sẽ không mã hóa máy tính nạn nhân. Bên cạnh đó, các chuỗi IP cục bộ được mã độc tìm kiếm gồm: 10.30.4, 10.30.5, 10.30.6 hoặc 10.31.32.

Ngoài danh sách đen địa chỉ IP, biến thể Ryuk này cũng sẽ có khả năng so sánh tên máy tính mục tiêu với các chuỗi “SPB”, “Spb”, “spb”, “MSK”, “Msk” và “msk”. Nếu mục tiêu mã hóa chứa chuỗi ký tự này, Ryuk sẽ không tiến hành mã hóa dữ liệu trên máy tính.

Mã độc tống tiền Ryuk nhắm vào doanh nghiệp lớnMã độc tống tiền Ryuk nhắm vào doanh nghiệp lớn

Ngược lại nếu hệ thống máy tính mục tiêu không chứa “đặc điểm nhận dạng” của mã độc, nó sẽ tiến hành mã hóa như bình thường. Các file bị Ryuk mã hóa thành công sẽ có phần đuôi mở rộng .RYK. Trong khi mã hóa tập tin cũng sẽ tạo ra các file RyukReadMe.html với nội dung là ghi chú tiền chuộc có chứa cụm từ “balance of shadow universe” và một vài địa chỉ email để nạn nhân liên hệ thanh toán tiền chuộc.

Tính đến thời điểm hiện tại, ransomware Ryuk đã thu về hơn 4 triệu đô USD dưới dạng bitcoin bằng hình thức mã hóa dữ liệu và tống tiền từ một số doanh nghiệp lớn. 

Bảo vệ dữ liệu trước sự lây lan của ransomware Ryuk

Về bản chất, mã độc tống tiền chỉ thực sự gây hại trong trường hợp nạn nhân hoàn toàn không thể khôi phục lại dữ liệu khi bị mã hóa. Do vậy, sở hữu một bản sao lưu là điều cần thiết đối với mọi doanh nghiệp. 

Mặc dù, phần mềm ransomware này không thường được phát tán qua thư rác như nhiều mã độc tống tiền nổi tiếng khác, nhưng rất có thể nó được cài đặt bởi các Trojan. Như vậy, điều quan trọng tiếp theo là tất cả người dùng hệ thống máy tính, chính xác hơn là nhân viên của doanh nghiệp cần phải được đào tạo, cũng như bổ sung kiến thức nhận biết email độc hại, cẩn trọng với những tệp đính kèm, URL không rõ ràng. Để an toàn hơn, doanh nghiệp cũng nên cân nhắc trong việc sử dụng giải pháp bảo mật email giúp gia tăng độ nhận tin cậy của email và ngăn chặn triệt để malware, ransomware thường “ẩn mình” trong email.

Cuối cùng, phải đảm bảo rằng hệ thống mạng của bạn không làm cho các dịch vụ Remote Destop Service có thể truy cập công khai trên Internet.

Tổng hợp