18/09/2018, 14:54

Mã độc tống tiền mang tên “Bad Rabbit” đang lây lan hết sức mạnh mẽ

Vào ngày 24/10/2017, các báo cáo đã cho thấy có một phần mềm độc hại với mục đích tống tiền đang lan rộng khắp Châu Âu đặc biệt tại Nga và Tây Âu và đây được cho là cuộc tấn công an ninh mạng lớn thứ 3 tính từ thời điểm đầu năm 2017 sau wannarcry và ExPetr. Theo hãng bảo mật Group-IB, ...

Vào ngày 24/10/2017, các báo cáo đã cho thấy có một phần mềm độc hại với mục đích tống tiền đang lan rộng khắp Châu Âu đặc biệt tại Nga và Tây Âu và đây được cho là cuộc tấn công an ninh mạng lớn thứ 3 tính từ thời điểm đầu năm 2017 sau wannarcry và ExPetr.

Theo hãng bảo mật Group-IB, ransomware có tên Bad Rabbit đã tấn công 3 hãng truyền thông của Nga, trong đó có hãng tin Interfax. Một khi có mặt trên máy tính, Bad Rabbit hiển thị thông điệp với ký tự màu đỏ trên nền đen, khá giống với ransomware NotPetya. Hacker yêu cầu nạn nhân đăng nhập vào website Tor để trả 0,05 Bitcoin (tương đương 282 USD ở thời điểm bài viết). Trang web cũng hiển thị đồng hồ đếm ngược trước khi số tiền này tăng lên.

phần mềm độc hại Bad Rabbit

Cơ quan ứng cứu khẩn cấp máy tính Ukraine CERT-UA đã đăng cảnh báo sáng ngày 24/10 về một làn sóng tấn công mạng mới nhưng không nhắc đích danh Bad Rabbit. Người phát ngôn của Group-IB nói Bad Rabbit nhằm vào các hãng truyền thông Nga như Interfax và Fontanka cũng như các đối tượng ở Ukraine như sân bay Odessa, ga điện ngầm Kiev, Bộ Cơ sở tạ hầng Ukraine.

XEM THÊM: Bật tính năng “Bảo vệ nâng cao” mới của google nếu bạn không muốn bị tấn công.

 Kaspersky Lab cung cấp thông tin phần lớn các ca nhiễm Bad Rabbit là tại Nga, bên cạnh một số tại Ukraine, Thổ Nhĩ Kỳ và Đức. Hãng bảo mật gọi Bad Rabbit là “tấn công mục tiêu nhằm vào mạng doanh nghiệp, sử dụng phương thức tương tự phương thức được dùng trong cuộc tấn công ExPetr (NotPetya)”. Tuy nhiên, Kaspersky không thể xác nhận nó có liên quan đến NotPetya hay không.

Một công ty an ninh mạng tại Nga đã lên tiếng: “Các nhà nghiên cứu của chúng tôi đã phát hiện ra một số trang web bị xâm nhập, tất cả các trang tin tức hoặc phương tiện truyền thông, dựa trên cuộc điều tra của chúng tôi, đây là một cuộc tấn công nhắm mục tiêu vào các mạng công ty, bằng cách sử dụng các phương pháp tương tự như trong cuộc tấn công ExPetr. Tuy nhiên, chúng tôi không thể xác nhận nó có liên quan đến ExPetr”.

ESET, một công ty an ninh mạng khác tại Cộng Hòa Séc, xác nhận đang có một chiến dịch ransomware. Trên blog, công ty viết ít nhất trường hợp của ga Kiev, mã độc này là “biến thể mới của ransomware Petya”. ESET đã xác định được hàng trăm ca lây nhiễm.
Bad Rabbit không giống như các phần mềm độc hại khác ở điểm nó không bị lây nhiễm 1 cách thụ động qua các phương tiện mà nó được phát tán qua công cụ cài đặt Adobe Flash Player giả mạo. Các chuyên gia của Kaspersky Lab cũng xác nhận và bổ sung rằng malware dropper – tập tin phát động mã độc – được phân phối qua các trang hợp pháp nhưng bị cài bẫy, tất cả đều là trang tin hoặc truyền thông. Adobe Flash Player giả không phải con đường duy nhất. Theo ESET, ransomware còn cố lây nhiễm máy tính trong cùng mạng nội bộ thông qua giao thức chia sẻ dữ liệu SMB của Windows rồi sau đó dùng công cụ Mimikatz.

Theo thư viện mã độc VirusTotal, ban đầu rất ít công ty bảo mật xác định Bad Rabbit là độc hại. Một nhà nghiên cứu của McAfee nói Bad Rabbit mã hóa nhiều loại tập tin khác nhau, bao gồm .doc, .docx, .jpg và các loại file phổ thông khác. Vài chuyên gia cho biết Bad Rabbit chứa một số quy chiếu đến loạt phim Games of Thrones, cụ thể là tên của 3 con rồng Drogon, Rhaegal, Viserion.

Như thường lệ, bất kỳ nạn nhân nào cũng không khuyến khích trả tiền chuộc. Không có gì bảo đảm bạn sẽ nhận lại được dữ liệu nhưng quan trọng hơn, từ chối làm giảm động lực của các cuộc tấn công mã độc đòi tiền chuộc trong tương lai. Hiện chưa rõ Bad Rabbit còn hoạt động ở các khu vực khoác ngoài Nga và Tây Âu hay không, tuy nhiên, theo ông Trần Đăng Khoa, chuyên gia Cục An toàn thông tin – Bộ TT&TT, ransomware là 1 trong 5 nguy cơ mất an toàn thông tin tại Việt Nam. Đó là: tấn công mạng trên nền tảng IoT; Phần mềm độc mã hóa dữ liệu tống tiền – Ransomware; Lừa đảo trực tuyến, lây nhiễm phần mềm độc hại trên mạng xã hội; Mất an toàn từ các mối đe dọa sẵn có; Tấn công mạng vào hạ tầng quan trọng của cơ quan nhà nước.

XEM NHIỀU NHẤT: Phương pháp phân tích mã độc (Phần 2)

 Securitybox_Giải pháp an ninh mạng toàn diện giúp đánh giá mạng trước sự cố, cung cấp dịch vụ ứng cứu sự cố và dịch vụ phản ứng nhanh khi có sự cố xảy ra.

Thông tin liên hệ:

Công ty cổ phần An toàn thông tin MVS – SecurityBox

Địa chỉ: Tầng 9, Tòa nhà Bạch Dương, Số 459 Đội Cấn, Ba Đình, Hà Nội

Hotline: (+84)982 593 866 (Mr.Cường)

Email: info@securitybox.vn

0