Mã độc tống tiền IceFire mã hóa trên cả Linux và Windows

11:00 | 21/03/2023 | HACKER / MALWARE

Một chủng mã độc tống tiền dựa trên Windows được biết đến trước đây có tên là IceFire hiện đang mở rộng và nhắm mục tiêu trên các hệ thống Linux bằng một bộ mã hóa chuyên dụng mới.

Mã độc tống tiền IceFire mã hóa trên cả Linux và Windows

Các nhà nghiên cứu bảo mật của công ty an ninh mạng SentinelLab (Mỹ) cho biết, mã độc tống tiền IceFire đã quay trở lại và tấn công vào một số tổ chức truyền thông, giải trí trên khắp thế giới trong khoảng thời gian gần đây, bắt đầu từ giữa tháng 2/2023. Trước đó, mã độc này được phát hiện lần đầu tiên vào tháng 3/2022.

Khi đã xâm nhập và giành được quyền truy cập mạng mục tiêu, các tin tặc triển khai biến thể mã độc mới để mã hóa trên máy tính Linux của nạn nhân. Sau khi được thực thi, IceFire sẽ thực thi hai payload riêng biệt để mã hóa các tệp, kết hợp thêm phần mở rộng “.ifire” vào tên tệp, sau đó tự xóa chính nó và tệp nhị phân để ẩn dấu vết.

Đáng chú ý, IceFire không mã hóa tất cả các tệp trên Linux. Một số đường dẫn nhất định không được mã hóa để các phần quan trọng của hệ điều hành vẫn hoạt động. Phương pháp này nhằm ngăn chặn việc tắt hoàn toàn hệ thống và có thể gây ra thiệt hại không thể khắc phục, thậm chí còn gây gián đoạn nghiêm trọng hơn.

Ghi chú đòi tiền chuộc của IceFire trên Linux

Nhắm mục tiêu khai thác IBM Aspera Faspex

Để có quyền truy cập vào các hệ thống mục tiêu và triển khai payload độc hại, các nhà phát triển của IceFire đã tiến hành khai thác lỗ hổng Pre-auth RCE trong phần mềm chia sẻ tệp IBM Aspera Faspex (CVE-2022-47986).

Mặc dù lỗ hổng nghiêm trọng này đã được IBM vá vào tháng 1/2023, tuy nhiên công ty bảo mật Assetnote đã công bố một bản báo cáo kỹ thuật có chứa mã khai thác vào đầu tháng 2/2023.

SentinelLabs cho biết: “So với Windows, Linux khó triển khai mã độc tống tiền hơn, đặc biệt là khi triển khai trên quy mô lớn. Hiện nay, các tin tặc đã chuyển sang khai thác các lỗ hổng ứng dụng, tương tự như cách mà nhà phát triển IceFire đã chứng minh bằng việc phân phối payload độc hại thông qua một lỗ hổng IBM Aspera”.

Phiên bản IceFire trên Linux là tệp nhị phân ELF 64 bit 2,18 MB được biên dịch bằng gcc cho kiến trúc AMD64. Các nhà nghiên cứu tại SentinelLab đã thử nghiệm trên các bản phân phối Ubuntu và Debian và chạy thành công trên các hai hệ thống thử nghiệm. Mã độc này nhắm mục tiêu cụ thể đến các máy chủ CentOS dựa vào lỗ hổng của phần mềm máy chủ tệp IBM Aspera Faspex.

Hầu hết các chủng mã độc tống tiền đều có thể mã hóa máy chủ Linux

IceFire từ chiến lược tấn công chủ yếu vào các máy tính Windows, giờ đây đã mở rộng mục tiêu đến các hệ thống Linux, phù hợp với các nhóm mã độc tống tiền khác cũng đã bắt đầu tấn công trên nền tảng Linux thời gian gần đây. Động thái này phù hợp với xu hướng khi các doanh nghiệp đang chuyển đổi sang máy ảo VMware ESXi chạy trên Linux, cung cấp khả năng quản lý thiết bị tốt hơn và xử lý tài nguyên hiệu quả hơn nhiều.

Các nhóm tin tặc tống tiền có thể sử dụng một lệnh duy nhất để mã hóa hàng loạt máy chủ Linux của nạn nhân sau khi phát tán sự lây nhiễm của chúng trên các máy chủ ESXi.

Mặc dù IceFire không nhắm mục tiêu cụ thể đến các máy ảo VMware ESXi, tuy nhiên bộ mã hóa Linux của nó cũng hoạt động hiệu quả, thể hiện qua các tệp mã hóa từ các nạn nhân đã được tải lên ID-Ransomware (trang web để giúp người dùng nhận biết máy tính có bị nhiễm mã độc tống tiền nào và hỗ trợ tìm ra phương án xử lý) để phân tích.

SentinelLabs cho biết: “Sự phát triển này của IceFire là một dự báo về sự hiện diện của các chủng mã độc tống tiền nhắm vào Linux sẽ tiếp tục được các nhóm tin tặc thực hiện cho đến năm 2023”. Hiện tại, IceFire được cho là đã ảnh hưởng đến các mục tiêu tại Thổ Nhĩ Kỳ, Iran, Pakistan và UAE.

Mã độc tống tiền không phải là phần mềm độc hại duy nhất nhắm mục tiêu vào hệ điều hành Linux. Vào tháng 12/2012, Trend Micro đã phát hiện các tin tặc sử dụng mã độc Chaos RAT nhằm cải thiện hiệu quả trong các chiến dịch tấn công khai thác tiền điện tử trên các hệ thống Linux.

Hồng Đạt

‹ › ×

Tin liên quan

Mã độc tống tiền sẽ tiếp tục gia tăng tấn công trong năm 2023

23:00 | 22/01/2023

Năm 2023, mã độc tống tiền - ransomware được dự báo tiếp tục nở rộ và chuyển dịch hẳn sang tấn công vào các máy chủ. Điều này được lý giải là do nguồn lợi tài chính mà nó có thể mang lại cho tin tặc.

Avast phát hành bộ giải mã phần mềm tống tiền Akira miễn phí giúp khôi phục các tệp dữ liệu bị mã hóa trên Windows

10:00 | 05/07/2023

Vừa qua, công ty an ninh mạng Avast đã phát hành bộ giải mã miễn phí đối với phần mềm tống tiền Akira có thể giúp nạn nhân khôi phục dữ liệu của họ mà không phải trả bất kỳ khoản tiền nào cho tin tặc.

Lỗ hổng trong công cụ Snipping Tool của Windows 11 làm lộ thông tin hình ảnh đã chỉnh sửa

11:00 | 29/03/2023

Một lỗ hổng bảo mật nghiêm trọng có tên “Acropalypse” vừa được phát hiện ảnh hưởng đến công cụ Windows Snipping Tool, cho phép khôi phục một phần nội dung hình ảnh đã được chỉnh sửa.

Tin tặc nhắm mục tiêu tới các thiết bị Linux và IoT để phục vụ việc đào tiền số

09:00 | 13/07/2023

Vừa qua, Microsoft đã đưa ra các thông tin rằng các nhóm tin tặc đang thực hiện các chiến dịch tấn công mạng nhắm tới các thiết bị chạy hệ điều hành Linux và IoT để đánh cắp tài nguyên phần cứng các thiết bị này nhằm phục vụ cho các hoạt động đào tiền số.

5 chiến lược bảo vệ các tổ chức doanh nghiệp khỏi mã độc tống tiền trong năm 2023

15:00 | 19/01/2023

Sự gia tăng của các cuộc tấn công bằng mã độc tống tiền vào năm 2022 gây thiệt hại lớn trên toàn cầu, thậm chí sẽ còn trở nên phổ biến hơn vào năm 2023. Các chuyên gia tại Fortinet (một trong những công ty hàng đầu về giải pháp an ninh mạng của Mỹ) đã đưa ra khuyến nghị về 5 chiến lược bảo vệ các tổ chức, doanh nghiệp (TC/DN) và người dùng cá nhân khỏi mã độc tống tiền cho năm 2023.

Mã độc tống tiền Abyss Locker nhắm mục tiêu vào các máy chủ VMware ESXi

09:00 | 08/08/2023

Các chuyên gia an ninh mạng tại nhóm bảo mật MalwareHunterTeam gần đây đã phát hiện hoạt động mới của mã độc tống tiền Abyss Locker, được thiết kế nhằm phát triển bộ mã hóa Linux để nhắm mục tiêu đến nền tảng máy ảo ESXi của VMware trong các cuộc tấn công vào doanh nghiệp.

Cảnh báo về mã độc Chaos lây nhiễm trên các hệ thống Windows và Linux để tấn công DDoS

14:00 | 17/10/2022

Các nhà nghiên cứu tại Bộ phận tình báo về mối đe dọa Black Lotus Labs của hãng công nghệ Lumen (Hoa Kỳ) vừa phát hiện một dòng botnet đa nền tảng mới dựa trên Go có tên gọi là Chaos. Mã độc này nhắm mục tiêu tới các hệ thống trên Windows, Linux và các bộ định tuyến cho văn phòng nhỏ, văn phòng gia đình (SOHO), máy chủ doanh nghiệp để sử dụng cho mục đích khai thác tiền điện tử và khởi động các cuộc tấn công DDoS.

NSA hướng dẫn phòng chống mã độc BlackLotus nhắm tới hệ thống Windows

13:00 | 11/07/2023

Vào ngày 22/06/2023, Cơ quan an ninh Liên bang Mỹ (NSA) đã công bố hướng dẫn giúp các doanh nghiệp, tổ chức phòng tránh một dạng mã độc can thiệp và thay đổi quá trình khởi động của hệ điều hành Windows (Unified Extensible Firmware Interface Bootkit hay UEFI-B) có tên là "BlackLotus".

Thế giới bước qua năm thứ 6 chống mã độc tống tiền

14:00 | 18/07/2023

Ngày chống mã độc tống tiền (Anti-Ransomware Day) được ấn định là ngày 12/5, khi thế giới ghi nhận vụ tấn công WannaCry khét tiếng năm 2017. Đại dịch ransomware lớn nhất trong lịch sử, cuộc tấn công mạng này đã lây nhiễm hơn 200 nghìn máy tính trên 150 quốc gia, ước tính gây thiệt hại cho nền kinh tế toàn cầu khoảng 4 tỷ USD. Bài viết tóm lược những thiệt hại do mã độc tống tiền gây ra, những khuyến nghị và xu hướng phát triển trong năm 2023.

Tin cùng chuyên mục

Lỗ hổng Kubernetes cho phép thực thi mã từ xa trên điểm cuối Windows

09:00 | 01/04/2024

Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).

Lỗ hổng Opera Myflaw cho phép tin tặc thực thi tệp bất kỳ trên macOS và Windows

09:00 | 13/02/2024

Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.

Kho lưu trữ PyPI phân phối phần mềm độc hại WhiteSnake

08:00 | 10/02/2024

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.

Phân tích hoạt động Trojan GoldDigger mới trên Android

14:00 | 09/11/2023

Vào tháng 8/2023, các nhà nghiên cứu tại nhóm thông tin tình báo về mối đe dọa của công ty an ninh mạng Group-IB (Singapore) đã phát hiện một Trojan Android chưa từng được biết đến trước đây nhắm mục tiêu vào các tổ chức tài chính ngân hàng ở Việt Nam. Các nhà nghiên cứu đặt tên Trojan mới này là GoldDigger để chỉ một hoạt động GoldActivity cụ thể trong tệp APK. Trong bài viết này sẽ đưa ra những phân tích chính về hoạt động của GoldDigger dựa theo báo cáo của Group-IB mới đây.