Được phát hiện bởi các nhà nghiên cứu bảo mật của Kaspersky thông qua hệ thống giám sát hoạt động Darknet Threat Intelligence của công ty an ninh mạng này, Luna dòng mã độc tống tiền mới dường như được thiết kế để dành riêng cho các tin tặc Nga.
Kaspersky cho biết: “Một đoạn quảng cáo trên diễn đàn dark web chỉ ra rằng Luna chỉ làm việc với các chi nhánh của Nga. Ngoài ra, ghi chú tiền chuộc được mã hóa cứng bên trong tệp binary mắc một vài lỗi chính tả. Do đó, chúng tôi đưa ra giả thuyết các tin tặc phát triển Luna là những người đến từ Nga. Mã độc Luna thêm phần mở rộng .luna vào tất cả các tệp được mã hóa, với khả năng hạn chế dựa trên các tùy chọn dòng lệnh có sẵn, có thể thấy Luna còn khá đơn giản và vẫn đang trong quá trình phát triển".
Tùy chọn dòng lệnh của mã độc tống tiền Luna
Tuy nhiên, Luna sử dụng một lược đồ mã hóa không phổ biến, kết hợp trao đổi khóa Elliptic Curve Diffie-Hellman X25519 nhanh chóng và an toàn bằng cách sử dụng Curve25519 với thuật toán mã hóa đối xứng Advanced Encryption Standard (AES). Luna được phát triển dựa trên ngôn ngữ đa nền tảng Rust và có thể lây nhiễm sang nhiều nền tảng với rất ít thay đổi đối với mã nguồn, đồng thời tránh các nỗ lực phân tích tĩnh.
Các nhà nghiên cứu của Kaspersky cho biết thêm: “Phiên bản mã độc Luna trên Linux và ESXi đều được biên dịch bằng cùng một mã nguồn, với một số thay đổi nhỏ so với phiên bản Windows. Phần còn lại của mã không có thay đổi đáng kể”.
Vì mã độc Luna mới được phát hiện nên vẫn còn ít dữ liệu về nạn nhân của mã độc tống tiền này, Kaspersky đang tích cực để theo dõi và điều tra thêm về hoạt động của Luna. Với sự xuất hiện của Luna giúp xác nhận thêm rằng xu hướng mới nhất được các băng nhóm tội phạm mạng áp dụng, đó là phát triển mã độc tống tiền đa nền tảng sử dụng các ngôn ngữ như Rust và Golang để tạo ra mã độc hại có khả năng nhắm mục tiêu vào nhiều hệ điều hành với rất ít hoặc không có thay đổi nào.
Black Basta là một biến thể mã độc tống tiền tương đối mới được viết bằng C++, phát hiện lần đầu tiên vào tháng 2/2022. Nó tồn tại ở 2 phiên bản, phiên bản đầu tiên dành cho Windows và Linux, phiên bản thứ hai chủ yếu nhắm mục tiêu đến ảnh các máy ảo ESXi.
Một tính năng nổi bật của phiên bản Windows là nó khởi động hệ thống ở chế độ an toàn (safe mode) trước khi mã hóa. Điều này cho phép mã độc tránh bị phát hiện bởi các giải pháp bảo mật, khi nhiều giải pháp trong số đó không hoạt động ở chế độ an toàn. Để bắt đầu ở chế độ này, Black Basta thực hiện các lệnh sau:
C:\Windows\SysNative\bcdedit /set safeboot networkChanges
C:\Windows\System32\bcdedit /set safeboot networkChanges
Đáng chú ý, Black Basta hỗ trợ tùy chọn dòng lệnh “-forcepath” và được sử dụng để mã hóa chỉ các tệp trong một thư mục cụ thể. Bất cứ khi nào Black Basta mã hóa tệp, nó cũng sẽ sửa đổi tên gốc của tệp đó. Các nạn nhân có thể thấy rằng phần lớn các tệp được lưu trữ đều có phần mở rộng tệp “.basta”.
Bên cạnh đó, mã độc này sẽ thay đổi nền màn hình bằng một hình ảnh mới, đồng thời tạo một tệp văn bản có tên là “readme.txt”, với mục đích thông báo và hướng dẫn nạn nhân thực hiện các thao tác để nhận thêm thông tin về các bước xử lý tiếp theo. Trong thông báo này, dữ liệu sẽ được các tin tặc công bố trên trang web chuyên dụng được lưu trữ trên mạng TOR nếu nạn nhân không trả tiền chuộc.
Ghi chú thông báo mã hóa dữ liệu Black Basta của phiên bản trước và hiện tại
Các phiên bản trước của Black Basta chứa một thông báo khác với thông báo hiện đang được sử dụng, cho thấy những điểm tương đồng với ghi chú đòi tiền chuộc được mã độc tống tiền Conti sử dụng. Điều này không quá bất thường bởi vì Black Basta vẫn đang trong chế độ phát triển vào thời điểm đó.
Trong một báo cáo khác được công bố vào tháng 6/2022, Kaspersky đã thảo luận về phiên bản Black Basta trên Linux. Nó được thiết kế đặc biệt để nhắm mục tiêu các hệ thống ESXi, nhưng cũng có thể được sử dụng để mã hóa chung cho các hệ thống Linux, mặc dù điều đó sẽ hơi khó khăn.
Tương tự như phiên bản trên Windows, phiên bản Linux chỉ hỗ trợ một tùy chọn dòng lệnh: “-forcepath”. Khi nó được sử dụng, chỉ thư mục được chỉ định mới được mã hóa. Nếu không có tùy chọn nào được đưa ra, mã độc sẽ mã hóa thư mục “/vmfs/volume”. Cấu trúc mã hóa cho phiên bản này sử dụng ChaCha20 và đa luồng để tăng tốc quá trình mã hóa với sự trợ giúp của các bộ xử lý khác nhau trong hệ thống. Trước khi mã hóa tệp, Black Basta sử dụng lệnh “chmod” để truy cập vào tệp đó.
Thông tin về các nạn nhân được công bố bởi Black Basta cho thấy, nhóm tin tặc này đã tấn công hơn 40 nạn nhân khác nhau trong một khoảng thời gian rất ngắn, trong số đó có các công ty hoạt động trong các lĩnh vực sản xuất, điện tử,… Theo Kaspersky, mục tiêu của Black Basta là một số quốc gia như Mỹ, Australia, các khu vực Mỹ Latinh, châu Âu và châu Á.
Các khu vực tấn công của Black Basta
Để bảo vệ bản thân và doanh nghiệp trước các cuộc tấn công bằng mã độc tống tiền, Kaspersky đề xuất và khuyến nghị như sau:
Đinh Hồng Đạt
13:00 | 22/09/2022
08:00 | 23/06/2022
13:00 | 16/09/2022
10:00 | 15/12/2022
11:00 | 11/11/2022
07:00 | 20/05/2022
14:00 | 29/09/2022
10:00 | 14/06/2022
12:00 | 23/09/2022
17:00 | 20/06/2022
09:00 | 08/08/2023
14:00 | 28/05/2024
16:00 | 19/09/2024
Dưới đây là góc nhìn chuyên môn của các chuyên gia bảo mật Kaspersky về vụ việc của Crowdstrike và dự án XZ Utils, cùng chiến lược mà các tổ chức có thể áp dụng để ứng phó với các cuộc tấn công chuỗi cung ứng.
08:00 | 26/08/2024
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
17:00 | 12/07/2024
Một hoạt động thực thi pháp luật có tên là MORPHEUS đã đánh sập gần 600 máy chủ được các nhóm tội phạm mạng sử dụng và một phần của cơ sở hạ tầng có liên quan đến Cobalt Strike.
08:00 | 14/06/2024
Website bán vé trực tuyến nổi tiếng Ticketmaster vừa xác nhận bị tấn công mạng và lộ dữ liệu của hàng trăm triệu người dùng.
Một chuỗi các lỗ hổng bảo mật mới đã được phát hiện trong hệ thống in CUPS (Common Unix Printing System) Linux, có thể cho phép các tin tặc thực hiện chèn lệnh từ xa trong một số điều kiện nhất định.
09:00 | 11/10/2024