Theo phân tích của Microsoft, WhisperGate được khai thác thông qua Impacket và ghi đè Master Boot Record (MBR) trên hệ thống nạn nhân với thông báo yêu cầu tiền chuộc là 10.000 đô la Bitcoin. Đáng lưu ý là sau khi thiết bị tắt nguồn, mã độc sẽ thực thi.
Microsoft đánh giá, đây là hình thức tấn công không điển hình như những cuộc tấn công ransomware thông thường khác, payload ransomware sẽ được tùy chỉnh trên mỗi nạn nhân bị ảnh hưởng.
“Hầu như tất cả ransomware đều mã hóa nội dung của các tệp trên hệ thống tệp tin. Với WhisperGate, nó sẽ ghi đè MBR mà không có cơ chế phục hồi. Số tiền thanh toán được thể hiện rõ ràng và địa chỉ ví tiền điện tử hiếm khi được chỉ định trong ghi chú đòi tiền chuộc”, Microsoft giải thích.
Bình luận về trường hợp này, Calvin Gan, Giám đốc cấp cao tại công ty an minh mạng F-Secure cho biết: “Có thể, địa chỉ ví Bitcoin và kênh liên lạc trong ghi chú đòi tiền chuộc của WhisperGate là một chiến thuật để chuyển hướng sự chú ý về ý định thực sự của tin tặc trong khi khiến việc theo dõi chúng trở nên khó khăn hơn”.
Sự xuất hiện của mã độc mới này đã làm dấy lên tình trạng báo động trong cộng đồng an ninh mạng toàn cầu, vốn đã được cảnh báo về sự leo thang phá hoại dữ liệu. Với phương thức tấn công đặc biệt của WhisperGate, nó sẽ trải qua 2 giai đoạn cụ thể sau đây.
Giai đoạn 1: Ghi đè MBR để hiển thị ghi chú thông báo giả về tiền chuộc
Mã độc này nằm trong các thư mục khác nhau, bao gồm C:\PerfLogs, C:\ProgramData, C:\ hay C:\temp và thường được đặt tên là “stage1.exe”. Phân tích các hành vi cho thấy, mã độc thực thi chương trình thông qua thư viện Impacket, thường được các tin tặc sử dụng để truy cập từ xa máy tính của nạn nhân.
Giai đoạn đầu tiên là ghi đè MBR trên hệ thống nạn nhân bằng một ghi chú thông báo đòi tiền chuộc. MBR là một phần của ổ cứng cho máy tính biết cách tải hệ điều hành của nó. Thông báo đòi tiền chuộc có chứa ví Bitcoin và Tox ID (số nhận dạng tài khoản duy nhất được sử dụng trong ứng dụng nhắn tin được mã hóa) mà Microsoft chưa từng phát hiện trước đây.
Thông tin yêu cầu đòi tiền chuộc
Mã độc sẽ được thực thi khi thiết bị đã tắt nguồn. Ghi đè MBR không phải là chiến lược chung cho các cuộc tấn công ransomware của tin tặc. Trên thực tế, ransomware sẽ phá hủy MBR và nội dung của các tệp trên các hệ thống nạn nhân. Có một số lý do cho thấy rằng hoạt động của hình thức mới này không phù hợp với hoạt động ransomware mà Microsoft đã từng nghiên cứu, cụ thể:
Giai đoạn 2: Thực thi các tệp bị lỗi độc hại
“Stage2.exe” là một chương trình tải xuống độc hại. Khi thực thi, stage2.exe sẽ tải xuống mã độc với liên kết đã được hardcode. Mã độc ở giai đoạn này có thể được mô tả như một phần mềm để tải các tệp lỗi, bị hư hỏng độc hại (file corrupt). Sau khi được thực thi trong bộ nhớ, các tệp lỗi này sẽ xác định những tệp trong các thư mục trên hệ thống bằng một trong các tệp mở rộng, với những định dạng được hardcode như sau:
Các định dạng mở rộng
Nếu tệp là một trong các định dạng ở trên, thì các tệp bị hỏng sẽ ghi đè nội dung của chúng với một số byte 0xCC cố định (tổng kích thước tệp là 1MB). Sau khi ghi đè nội dung, nó sẽ đổi tên từng tệp với phần mở rộng 4 byte ngẫu nhiên. Microsoft cho biết rằng quá trình phân tích mã độc này vẫn đang được tiến hành và mở rộng thêm.
Những khuyến nghị dành cho người dùng
Đến nay, Microsoft đã triển khai các biện pháp bảo vệ để có thể phát hiện những kiểu hình thức tấn công tương tự với mã độc WhisperGate, ví dụ như DoS: Win32/WhisperGate.A!Dha thông qua chương trình chống virus Microsoft Defender Antivirus và Microsoft Defender for Endpoint.
Dưới đây là những khuyến nghị của Microsoft dành cho người dùng để có thể giảm thiểu mã độc bằng cách áp dụng các cân nhắc bảo mật sau:
BẢNG 1: CÁC CHỈ SỐ THOẢ HIỆP
Hiện tại, Microsoft cũng đã cung cấp danh sách các chỉ số thoả hiệp (IoC) trong quá trình điều tra của họ. Microsoft khuyến nghị: “Chúng tôi khuyến khích khách hàng phân tích các chỉ số này trong môi trường của họ và triển khai các biện pháp phát hiện cũng như bảo vệ để xác định những hoạt động liên quan trước đó, và ngăn chặn các cuộc tấn công trong tương lai”.
Đinh Hồng Đạt
09:00 | 07/07/2021
14:00 | 07/03/2022
14:00 | 04/03/2022
10:00 | 20/09/2021
16:00 | 26/05/2021
08:00 | 04/04/2024
Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-31497 được phát hiện trong PuTTY - ứng dụng client SSH phổ biến dành cho Windows làm rò rỉ khóa riêng.
10:00 | 08/05/2024