Được phát hiện bởi các nhà nghiên cứu bảo mật của Kaspersky thông qua hệ thống giám sát hoạt động Darknet Threat Intelligence của công ty an ninh mạng này, Luna dòng mã độc tống tiền mới dường như được thiết kế để dành riêng cho các tin tặc Nga.
Kaspersky cho biết: “Một đoạn quảng cáo trên diễn đàn dark web chỉ ra rằng Luna chỉ làm việc với các chi nhánh của Nga. Ngoài ra, ghi chú tiền chuộc được mã hóa cứng bên trong tệp binary mắc một vài lỗi chính tả. Do đó, chúng tôi đưa ra giả thuyết các tin tặc phát triển Luna là những người đến từ Nga. Mã độc Luna thêm phần mở rộng .luna vào tất cả các tệp được mã hóa, với khả năng hạn chế dựa trên các tùy chọn dòng lệnh có sẵn, có thể thấy Luna còn khá đơn giản và vẫn đang trong quá trình phát triển".
Tùy chọn dòng lệnh của mã độc tống tiền Luna
Tuy nhiên, Luna sử dụng một lược đồ mã hóa không phổ biến, kết hợp trao đổi khóa Elliptic Curve Diffie-Hellman X25519 nhanh chóng và an toàn bằng cách sử dụng Curve25519 với thuật toán mã hóa đối xứng Advanced Encryption Standard (AES). Luna được phát triển dựa trên ngôn ngữ đa nền tảng Rust và có thể lây nhiễm sang nhiều nền tảng với rất ít thay đổi đối với mã nguồn, đồng thời tránh các nỗ lực phân tích tĩnh.
Các nhà nghiên cứu của Kaspersky cho biết thêm: “Phiên bản mã độc Luna trên Linux và ESXi đều được biên dịch bằng cùng một mã nguồn, với một số thay đổi nhỏ so với phiên bản Windows. Phần còn lại của mã không có thay đổi đáng kể”.
Vì mã độc Luna mới được phát hiện nên vẫn còn ít dữ liệu về nạn nhân của mã độc tống tiền này, Kaspersky đang tích cực để theo dõi và điều tra thêm về hoạt động của Luna. Với sự xuất hiện của Luna giúp xác nhận thêm rằng xu hướng mới nhất được các băng nhóm tội phạm mạng áp dụng, đó là phát triển mã độc tống tiền đa nền tảng sử dụng các ngôn ngữ như Rust và Golang để tạo ra mã độc hại có khả năng nhắm mục tiêu vào nhiều hệ điều hành với rất ít hoặc không có thay đổi nào.
Black Basta là một biến thể mã độc tống tiền tương đối mới được viết bằng C++, phát hiện lần đầu tiên vào tháng 2/2022. Nó tồn tại ở 2 phiên bản, phiên bản đầu tiên dành cho Windows và Linux, phiên bản thứ hai chủ yếu nhắm mục tiêu đến ảnh các máy ảo ESXi.
Một tính năng nổi bật của phiên bản Windows là nó khởi động hệ thống ở chế độ an toàn (safe mode) trước khi mã hóa. Điều này cho phép mã độc tránh bị phát hiện bởi các giải pháp bảo mật, khi nhiều giải pháp trong số đó không hoạt động ở chế độ an toàn. Để bắt đầu ở chế độ này, Black Basta thực hiện các lệnh sau:
C:\Windows\SysNative\bcdedit /set safeboot networkChanges
C:\Windows\System32\bcdedit /set safeboot networkChanges
Đáng chú ý, Black Basta hỗ trợ tùy chọn dòng lệnh “-forcepath” và được sử dụng để mã hóa chỉ các tệp trong một thư mục cụ thể. Bất cứ khi nào Black Basta mã hóa tệp, nó cũng sẽ sửa đổi tên gốc của tệp đó. Các nạn nhân có thể thấy rằng phần lớn các tệp được lưu trữ đều có phần mở rộng tệp “.basta”.
Bên cạnh đó, mã độc này sẽ thay đổi nền màn hình bằng một hình ảnh mới, đồng thời tạo một tệp văn bản có tên là “readme.txt”, với mục đích thông báo và hướng dẫn nạn nhân thực hiện các thao tác để nhận thêm thông tin về các bước xử lý tiếp theo. Trong thông báo này, dữ liệu sẽ được các tin tặc công bố trên trang web chuyên dụng được lưu trữ trên mạng TOR nếu nạn nhân không trả tiền chuộc.
Ghi chú thông báo mã hóa dữ liệu Black Basta của phiên bản trước và hiện tại
Các phiên bản trước của Black Basta chứa một thông báo khác với thông báo hiện đang được sử dụng, cho thấy những điểm tương đồng với ghi chú đòi tiền chuộc được mã độc tống tiền Conti sử dụng. Điều này không quá bất thường bởi vì Black Basta vẫn đang trong chế độ phát triển vào thời điểm đó.
Trong một báo cáo khác được công bố vào tháng 6/2022, Kaspersky đã thảo luận về phiên bản Black Basta trên Linux. Nó được thiết kế đặc biệt để nhắm mục tiêu các hệ thống ESXi, nhưng cũng có thể được sử dụng để mã hóa chung cho các hệ thống Linux, mặc dù điều đó sẽ hơi khó khăn.
Tương tự như phiên bản trên Windows, phiên bản Linux chỉ hỗ trợ một tùy chọn dòng lệnh: “-forcepath”. Khi nó được sử dụng, chỉ thư mục được chỉ định mới được mã hóa. Nếu không có tùy chọn nào được đưa ra, mã độc sẽ mã hóa thư mục “/vmfs/volume”. Cấu trúc mã hóa cho phiên bản này sử dụng ChaCha20 và đa luồng để tăng tốc quá trình mã hóa với sự trợ giúp của các bộ xử lý khác nhau trong hệ thống. Trước khi mã hóa tệp, Black Basta sử dụng lệnh “chmod” để truy cập vào tệp đó.
Thông tin về các nạn nhân được công bố bởi Black Basta cho thấy, nhóm tin tặc này đã tấn công hơn 40 nạn nhân khác nhau trong một khoảng thời gian rất ngắn, trong số đó có các công ty hoạt động trong các lĩnh vực sản xuất, điện tử,… Theo Kaspersky, mục tiêu của Black Basta là một số quốc gia như Mỹ, Australia, các khu vực Mỹ Latinh, châu Âu và châu Á.
Các khu vực tấn công của Black Basta
Để bảo vệ bản thân và doanh nghiệp trước các cuộc tấn công bằng mã độc tống tiền, Kaspersky đề xuất và khuyến nghị như sau:
Đinh Hồng Đạt
13:00 | 22/09/2022
08:00 | 23/06/2022
13:00 | 16/09/2022
10:00 | 15/12/2022
11:00 | 11/11/2022
07:00 | 20/05/2022
14:00 | 29/09/2022
10:00 | 14/06/2022
12:00 | 23/09/2022
17:00 | 20/06/2022
09:00 | 08/08/2023
14:00 | 28/05/2024
22:00 | 31/01/2025
Sau khi gây sốt trên toàn cầu, công ty trí tuệ nhân tạo Trung Quốc DeepSeek liên tiếp gặp sự cố.
13:00 | 03/01/2025
Ít nhất 5 tiện ích mở rộng của Chrome đã bị xâm phạm trong một cuộc tấn công mạng tinh vi, trong đó kẻ tấn công đã chèn mã đánh cắp thông tin nhạy cảm của người dùng.
11:00 | 24/10/2024
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
07:00 | 23/10/2024
Ivanti đã đưa ra cảnh báo rằng 03 lỗ hổng bảo mật mới ảnh hưởng đến Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đang bị tin tặc khai thác một cách tích cực.
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 10/02/2025