Ransomware CryptoWall 3.0 sử dụng mạng I2P ẩn danh dành cho kết nối command and control

Phiên bản 3.0 của ransomware mã hóa file nổi tiếng CryptoWall đang gây được chú ý của các nhà nghiên cứu.

Đã hai tháng trôi qua kể từ khi các nhà phát triển của CryptoWall tung ra bảncập nhật mới nhất dành cho mối đe dọa này. Malware được phát tán thông qua tin nhắn rác và chiến dịch quảng cáo độc hại, giúp tin tặc kiếm được rất nhiều tiền.

Theo Microsoft, công ty phát hiện ra ra malware này với tên Win32/Crowti, dường như chưa có điểm khác biệt nào giữa CryptoWall và các biến thể trước nó. Malware có hành vi và hướng dẫn giải mã tệp tin thông qua mạng ẩn danh Tor. Tuy nhiên, Microsoft nhấn mạnh rằng tên của tệp tin chứa yêu cầu giải mã đã được thay đổi thành “HELP_DECRYPT.”

Vào 12 tháng 1, Microsoft đã phát hiện 288 thiết bị bị nhiễm phiên bản mới nhất này. Nạn nhân được cho phép 168 giờ (7 ngày) để trả $500 bằng tiên Bitcoin nếu muốn khôi phục lại dữ liệu. Sau thời hạn 7 ngày, lượng tiền sẽ tăng lên $1000.

Nhà nghiên cứu người Pháp  có biệt danh trực tuyến là Kefeine đã phân tích CryptoWal 3.0. Ông nói rằng kết nối C&C của nó đã được mã hóa với thuật toán RC4. Một tính năng thú vụ của CryptoWal 3.0 là nó sử dụng I2P (Invisible Internet Project) dành cho kết nối C&C. I2P là một mạng ẩn danh giống như Tor nhưng có một vài khác biệt chính giữa hai mạng này.

“Hai điểm khác biệt chính giữa Tor / Onion-Routing và I2P liên quan đến khác biệt trong model mối đe dọa và thiết kế out-proxy. Thêm vào đó, Tor có cách tiếp cận dựa trên các địa chỉ mục – cung cấp một điểm tập trung để quản lí tổng quan mạng lưới, cũng như thu thập và báo cáo thống kê, trái ngược với việc phân phối cơ sở dữ liệu mạng I2P và lựa chọn ngang hàng. ” – I2P Project giải thích.

Gần đây, chợ đen buôn bán ma túy Silk Road Reloaded đã sử dụng I2p nhằm bảo vệ kiến trúc hạ tầng và danh tính của khách hàng. CryptoWall 3.0 là phiên bản đầu tiên sử dụng I2P. Các nhà phát triển malware này dường như đang liên kết Tor và I2P để giải mã dữ liệu.

Crypto-ransomware là một vũ khí được lựa chọn bởi rất nhiều tin tặc. Trend Micro báo cáo rằng  TorrentLocker ransomware giúp tin tặc kiếm được 810 BTC  ($220,000) mỗi tháng.

securityweek