Biến thể mới này được theo dõi với tên gọi là “Qilin.B”, theo nhà nghiên cứu, mã độc tống tiền này hiện hỗ trợ mã hóa AES-256-CTR với khả năng AESNI (phần mở rộng cho kiến trúc tập lệnh x86) cho các CPU hỗ trợ, giúp tăng tốc quá trình mã hóa, trong khi vẫn giữ lại Chacha20 cho các hệ thống cũ hơn không có phần cứng phù hợp cho AESNI, đảm bảo mã hóa mạnh mẽ trong mọi trường hợp.
Ngoài ra, RSA-4096 với lớp đệm OAEP (padding) được sử dụng để bảo vệ khóa mã hóa, khiến việc giải mã tệp mà không có khóa riêng của kẻ tấn công hoặc giá trị Seed đã thu thập được là không thể.
Qilin còn được gọi là Agenda, lần đầu tiên được cộng đồng an ninh mạng chú ý vào tháng 7 và tháng 8/2022, với các phiên bản đầu tiên được viết bằng Golang trước khi chuyển sang ngôn ngữ Rust. Phần mềm độc hại này đã phát triển với các kỹ thuật mã hóa tiên tiến và khả năng trốn tránh được tăng cường. Nó đặc biệt nhắm vào các hệ thống quan trọng như sao lưu và cơ sở hạ tầng mạng, làm phức tạp đáng kể các nỗ lực phục hồi cho các tổ chức.
Các cuộc tấn công mới nhất liên quan đến hoạt động mã độc tống tiền này đã đánh cắp thông tin đăng nhập lưu trữ trong trình duyệt Google Chrome trên một nhóm nhỏ các điểm cuối (endpoint) bị xâm phạm, đánh dấu một sự thay đổi nhỏ với các cuộc tấn công tống tiền kép thông thường.
Các mẫu biến thể Qilin.B được Halcyon phân tích cho thấy nó được xây dựng dựa trên các phiên bản cũ hơn với khả năng mã hóa nâng cao và chiến thuật hoạt động vận hành được cải thiện hơn.
Điều này bao gồm việc sử dụng AES-256-CTR hoặc Chacha20 để mã hóa, ngoài ra còn thực hiện các bước để chống phân tích và phát hiện bằng cách chấm dứt các dịch vụ liên quan đến công cụ bảo mật, xóa Windows Event Logs và tự xóa chính nó.
Qilin.B cũng tích hợp các tính năng để hủy các tiến trình được liên kết với các dịch vụ sao lưu và ảo hóa như Veeam, SQL và SAP, cũng như xóa các bản sao lưu ổ đĩa, do đó làm phức tạp thêm các nỗ lực khôi phục.
Halcyon cho biết: “Sự kết hợp giữa các cơ chế mã hóa nâng cao, chiến thuật né tránh phòng thủ hiệu quả và sự gián đoạn liên tục của các hệ thống sao lưu của Qilin.B khiến nó trở thành một biến thể mã độc tống tiền đặc biệt nguy hiểm”.
Qilin.B nhắm vào cả thư mục cục bộ và thư mục mạng, tạo ra các ghi chú đòi tiền chuộc cho mỗi thư mục được xử lý, bao gồm cả ID nạn nhân trong tiêu đề.
Thông báo tiền chuộc
Để đạt được phạm vi tối đa, phần mềm độc hại đã sửa đổi Registry bằng một mục riêng để cho phép chia sẻ ổ đĩa mạng giữa các tiến trình. Mặc dù những tính năng trên không phải là mới đối với các dòng mã độc tống tiền, nhưng chúng có thể gây ra tác động nghiêm trọng và sâu rộng khi được kết hợp với các phần mềm độc hại khác trong những cuộc tấn công mạng do các tác nhân đe dọa gây ra.
Vũ Mạnh Hà
(Tổng hợp)
14:00 | 14/01/2025
13:00 | 25/10/2024
09:00 | 24/01/2025
13:00 | 11/11/2024
13:00 | 25/10/2024
13:00 | 23/10/2024
14:00 | 06/12/2024
Các nhà nghiên cứu của Công ty an ninh mạng Trend Micro (Nhật Bản) cho biết, nhóm tin tặc do nhà nước Trung Quốc hậu thuẫn là Salt Typhoon đã sử dụng backdoor GhostSpider mới trong các cuộc tấn công vào các nhà cung cấp dịch vụ viễn thông.
10:00 | 25/11/2024
Apple vừa phát hành bản cập nhật iOS 18.1.1 và macOS 15.1.1 để khắc phục hai lỗ hổng bảo mật nguy hiểm, đồng thời khuyến cáo người dùng iPhone nên cập nhật càng sớm càng tốt.
07:00 | 07/11/2024
Ngày 30/10, nền tảng LottieFiles đã phát đi cảnh báo về cuộc tấn công chuỗi cung ứng nhắm vào gói npm "lottie-player" của họ. Kẻ tấn công đã lén lút cài mã độc vào các phiên bản mới của gói này nhằm chiếm đoạt tiền điện tử từ ví của người dùng.
07:00 | 21/10/2024
Một nghiên cứu mới đây cho thấy 7 nhãn hiệu ô tô hàng đầu tại Úc đang thu thập và bán dữ liệu về người lái, gây lo ngại về quyền riêng tư. Đặc biệt, Hyundai và Kia bị cáo buộc bán dữ liệu nhận dạng giọng nói cho bên thứ ba để huấn luyện AI.
Một lỗ hổng mới trong cơ chế UEFI Secure Boot, được theo dõi với mã CVE-2024-7344, đã được phát hiện, cho phép kẻ tấn công triển khai bootkit ngay cả khi Secure Boot đang được kích hoạt.
14:00 | 24/01/2025