Khi các doanh nghiệp chuyển từ việc sử dụng các máy chủ vật lý riêng lẻ sang máy chủ ảo hóa để dễ dàng quản lý tài nguyên, gia tăng hiệu suất và khắc phục sự cố hiệu quả, các nhóm tin tặc mã độc tống tiền đã tạo ra các bộ mã hóa nhằm chuyển hướng mục tiêu sang các nền tảng này.
Với việc VMware ESXi là một trong những nền tảng máy ảo phổ biến nhất hiện nay, hầu hết mọi nhóm tin tặc mã độc tống tiền đều đã bắt đầu nghiên cứu và phát triển các bộ mã hóa Linux để mã hóa dữ liệu trên các máy chủ ảo (với hầu hết mục tiêu nhắm vào VMware ESXi), bao gồm: Akira, Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX và Hive.
Mã độc tống tiền Abyss Locker
Abyss Locker là một dòng mã độc tống tiền tương đối mới được cho là đã xuất hiện vào tháng 3/2023, thời điểm khi nó bắt đầu các hoạt động tấn công vào các doanh nghiệp. Giống như các dòng mã độc tống tiền khác, Abyss Locker sẽ xâm nhập vào mạng của doanh nghiệp, nó sử dụng các cuộc tấn công Brute-Force SSH để khai thác các thông tin đăng nhập yếu hoặc bị xâm phạm để giành quyền truy cập vào hệ thống.
Khi phần mềm tống tiền giành được quyền truy cập vào máy chủ VMware ESXi, mã độc sẽ tiến hành đánh cắp dữ liệu và mã hóa các máy ảo, khiến chúng không thể truy cập và không sử dụng được. Dữ liệu bị đánh cắp sau đó được sử dụng để tống tiền nạn nhân bằng cách đe dọa rò rỉ các tệp tin nếu không trả tiền chuộc. Để thực hiện điều này, tin tặc đã tạo một trang web rò rỉ dữ liệu trên nền tảng Tor có tên “Abyss-data”, hiện đang có 14 nạn nhân được hiển thị trên nền tảng này. Các tin tặc tuyên bố đã đánh cắp một lượng lớn dữ liệu tại các doanh nghiệp, từ 35GB đến 700GB.
Hình 1. Trang web rò rỉ dữ liệu Abyss Locker
Nhắm mục tiêu vào máy chủ VMware ESXi
Các chuyên gia tại MalwareHunterTeam đã tìm thấy bộ mã hóa Linux ELF cho hoạt động của Abyss Locker. Sau khi xem xét các chuỗi trong tệp thực thi, rõ ràng là bộ mã hóa nhắm mục tiêu cụ thể đến các máy chủ VMware ESXi. Như được thể hiện trong Hình 2, bộ mã hóa sử dụng công cụ quản lý VMware ESXi dưới dạng dòng lệnh “esxcli” để liệt kê tất cả các máy ảo có sẵn và sau đó chấm dứt tiến trình hoạt động của chúng.
Hình 2. Dòng lệnh esxcli để liệt kê các máy ảo và chấm dứt tiến trình
Khi tắt máy ảo, Abyss Locker sẽ sử dụng lệnh “vm process kill” và một trong các tùy chọn “soft”, “hard” hoặc “force”. Tùy chọn “soft” thực hiện tắt máy đơn giản như thông thường, tùy chọn “hard” sẽ chấm dứt VM ngay lập tức và “force” được sử dụng như là phương án cuối cùng.
Bộ mã hóa chấm dứt tất cả các máy ảo để cho phép các đĩa ảo, ảnh snapshot và metadata được mã hóa đúng cách bằng việc mã hóa tất cả các tệp có phần mở rộng sau: “.vmdk”, “.vmsd” và “.vmsn”. Bên cạnh việc nhắm mục tiêu vào các máy ảo, mã độc tống tiền này cũng sẽ mã hóa tất cả các tệp khác trên thiết bị và nối thêm phần mở rộng “.crypt” vào tên tệp của chúng, như được hiển thị trong Hình 3.
Hình 3. Các tệp mã hóa và ghi chú đòi tiền chuộc
Đối với mỗi tệp, bộ mã hóa cũng sẽ tạo một tệp có phần mở rộng “.README_TO_RESTORE”, đóng vai trò như một ghi chú đòi tiền chuộc. Ghi chú này chứa thông tin về những gì đã xảy ra với các tệp và một liên kết duy nhất đến trang đàm phám Tor của tin tặc. Trang web được thiết kế rất đơn giản, chỉ có một bảng trò chuyện có thể được sử dụng để liên lạc và đàm phán với nhóm tin tặc.
Hình 4. Lưu ý đòi tiền chuộc của Abyss Locker
Chuyên gia an ninh mạng Michael Gillespie cho biết, bộ mã hóa Abyss Locker Linux có một số trùng lặp với mã độc tống tiền Hello Kitty và dường như được phát triển dựa trên mã độc này, chúng có thay đổi thuật toán khi sử dụng mã hóa ChaCha thay vì AES-256 và RSA-2048 như Hello Kitty. Tuy nhiên, đến thời điểm hiện tại vẫn chưa rõ Abyss Locker có phải là biến thể mới của của mã độc HelloKitty không, hay đó chỉ là một dòng mã độc khác được phát triển từ một tin tặc có quyền truy cập vào mã nguồn của HelloKitty. Mã độc này trước đây là một phần mềm tống tiền có khả năng ngăn chặn việc khôi phục các tệp miễn phí.
Hồng Đạt
15:00 | 20/09/2023
18:00 | 22/09/2023
14:00 | 18/07/2023
08:00 | 30/08/2023
11:00 | 21/03/2023
08:00 | 26/09/2023
14:00 | 13/02/2023
18:00 | 16/08/2022
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
09:00 | 28/02/2024
Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024