Theo phân tích của Microsoft, WhisperGate được khai thác thông qua Impacket và ghi đè Master Boot Record (MBR) trên hệ thống nạn nhân với thông báo yêu cầu tiền chuộc là 10.000 đô la Bitcoin. Đáng lưu ý là sau khi thiết bị tắt nguồn, mã độc sẽ thực thi.
Microsoft đánh giá, đây là hình thức tấn công không điển hình như những cuộc tấn công ransomware thông thường khác, payload ransomware sẽ được tùy chỉnh trên mỗi nạn nhân bị ảnh hưởng.
“Hầu như tất cả ransomware đều mã hóa nội dung của các tệp trên hệ thống tệp tin. Với WhisperGate, nó sẽ ghi đè MBR mà không có cơ chế phục hồi. Số tiền thanh toán được thể hiện rõ ràng và địa chỉ ví tiền điện tử hiếm khi được chỉ định trong ghi chú đòi tiền chuộc”, Microsoft giải thích.
Bình luận về trường hợp này, Calvin Gan, Giám đốc cấp cao tại công ty an minh mạng F-Secure cho biết: “Có thể, địa chỉ ví Bitcoin và kênh liên lạc trong ghi chú đòi tiền chuộc của WhisperGate là một chiến thuật để chuyển hướng sự chú ý về ý định thực sự của tin tặc trong khi khiến việc theo dõi chúng trở nên khó khăn hơn”.
Sự xuất hiện của mã độc mới này đã làm dấy lên tình trạng báo động trong cộng đồng an ninh mạng toàn cầu, vốn đã được cảnh báo về sự leo thang phá hoại dữ liệu. Với phương thức tấn công đặc biệt của WhisperGate, nó sẽ trải qua 2 giai đoạn cụ thể sau đây.
Giai đoạn 1: Ghi đè MBR để hiển thị ghi chú thông báo giả về tiền chuộc
Mã độc này nằm trong các thư mục khác nhau, bao gồm C:\PerfLogs, C:\ProgramData, C:\ hay C:\temp và thường được đặt tên là “stage1.exe”. Phân tích các hành vi cho thấy, mã độc thực thi chương trình thông qua thư viện Impacket, thường được các tin tặc sử dụng để truy cập từ xa máy tính của nạn nhân.
Giai đoạn đầu tiên là ghi đè MBR trên hệ thống nạn nhân bằng một ghi chú thông báo đòi tiền chuộc. MBR là một phần của ổ cứng cho máy tính biết cách tải hệ điều hành của nó. Thông báo đòi tiền chuộc có chứa ví Bitcoin và Tox ID (số nhận dạng tài khoản duy nhất được sử dụng trong ứng dụng nhắn tin được mã hóa) mà Microsoft chưa từng phát hiện trước đây.
Thông tin yêu cầu đòi tiền chuộc
Mã độc sẽ được thực thi khi thiết bị đã tắt nguồn. Ghi đè MBR không phải là chiến lược chung cho các cuộc tấn công ransomware của tin tặc. Trên thực tế, ransomware sẽ phá hủy MBR và nội dung của các tệp trên các hệ thống nạn nhân. Có một số lý do cho thấy rằng hoạt động của hình thức mới này không phù hợp với hoạt động ransomware mà Microsoft đã từng nghiên cứu, cụ thể:
Giai đoạn 2: Thực thi các tệp bị lỗi độc hại
“Stage2.exe” là một chương trình tải xuống độc hại. Khi thực thi, stage2.exe sẽ tải xuống mã độc với liên kết đã được hardcode. Mã độc ở giai đoạn này có thể được mô tả như một phần mềm để tải các tệp lỗi, bị hư hỏng độc hại (file corrupt). Sau khi được thực thi trong bộ nhớ, các tệp lỗi này sẽ xác định những tệp trong các thư mục trên hệ thống bằng một trong các tệp mở rộng, với những định dạng được hardcode như sau:
Các định dạng mở rộng
Nếu tệp là một trong các định dạng ở trên, thì các tệp bị hỏng sẽ ghi đè nội dung của chúng với một số byte 0xCC cố định (tổng kích thước tệp là 1MB). Sau khi ghi đè nội dung, nó sẽ đổi tên từng tệp với phần mở rộng 4 byte ngẫu nhiên. Microsoft cho biết rằng quá trình phân tích mã độc này vẫn đang được tiến hành và mở rộng thêm.
Những khuyến nghị dành cho người dùng
Đến nay, Microsoft đã triển khai các biện pháp bảo vệ để có thể phát hiện những kiểu hình thức tấn công tương tự với mã độc WhisperGate, ví dụ như DoS: Win32/WhisperGate.A!Dha thông qua chương trình chống virus Microsoft Defender Antivirus và Microsoft Defender for Endpoint.
Dưới đây là những khuyến nghị của Microsoft dành cho người dùng để có thể giảm thiểu mã độc bằng cách áp dụng các cân nhắc bảo mật sau:
BẢNG 1: CÁC CHỈ SỐ THOẢ HIỆP
Hiện tại, Microsoft cũng đã cung cấp danh sách các chỉ số thoả hiệp (IoC) trong quá trình điều tra của họ. Microsoft khuyến nghị: “Chúng tôi khuyến khích khách hàng phân tích các chỉ số này trong môi trường của họ và triển khai các biện pháp phát hiện cũng như bảo vệ để xác định những hoạt động liên quan trước đó, và ngăn chặn các cuộc tấn công trong tương lai”.
Đinh Hồng Đạt
09:00 | 07/07/2021
14:00 | 07/03/2022
14:00 | 04/03/2022
10:00 | 20/09/2021
16:00 | 26/05/2021
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024
