Tin tặc thử nghiệm cách mới để tấn công ransomware hiệu quả

Admin
Tội phạm mạng đang thử nghiệm một phương pháp tống tiền mới, đáng lo ngại.

Tin tặc đang thử nghiệm một kiểu tấn công ransomware mới, thay vì mã hóa dữ liệu thì sẽ phá hủy hoàn toàn dữ liệu. Mục đích là làm cho nạn nhân không thể lấy lại dữ liệu của họ nếu họ không trả tiền chuộc.

Ransomware là một trong những vấn đề an ninh mạng lớn nhất mà thế giới phải đối mặt hiện nay, trong khi nhiều nạn nhân từ chối nhượng bộ mã độc tống tiền thì nhiều người cảm thấy họ không còn lựa chọn nào khác ngoài việc trả tiền để mở mã hóa dữ liệu.

Nhưng theo các nhà nghiên cứu an ninh mạng tại Cyderes và Stairwell, ít nhất một nhóm ransomware đang thử nghiệm các cuộc tấn công "phá hủy dữ liệu". Điều này sẽ nguy hiểm cho các nạn nhân của ransomware bởi các tệp dữ liệu sẽ bị phá hủy hoàn toàn nếu không đáp ứng được yêu cầu tiền chuộc.

Các dấu hiệu của một chiến thuật mới tiềm năng đã được phát hiện khi các nhà phân tích an ninh mạng phản ứng với một cuộc tấn công BlackCat - còn được gọi là ALPHV - ransomware. BlackCat chịu trách nhiệm về một loạt sự cố ransomware trên khắp thế giới, nhưng nhóm này luôn tìm kiếm những cách mới để thực hiện các cuộc tấn công hiệu quả hơn - và có vẻ như họ đang thử nghiệm một chiến lược mới với phần mềm độc hại phá hủy dữ liệu.

Việc phá hủy dữ liệu được liên kết với Exmatter, một công cụ lọc .NET trước đây đã được sử dụng như một phần của các cuộc tấn công ransomware BlackMatter. Nhiều người nghi ngờ rằng BlackCat là một thương hiệu mới của BlackMatter - từng có tên là Darkside, hoạt động ransomware đằng sau cuộc tấn công Colonial Pipeline.

Trong các cuộc tấn công ransomware trước đây, Exmatter đã được sử dụng để lấy các loại tệp cụ thể từ các thư mục đã chọn và tải chúng lên máy chủ do kẻ tấn công kiểm soát trước khi ransomware được thực thi trên các hệ thống bị xâm nhập và các tệp được mã hóa - với việc những kẻ tấn công yêu cầu thanh toán để đổi lấy khóa dữ liệu.

Tuy nhiên, phân tích mẫu Exmatter mới được sử dụng như một phần của cuộc tấn công BlackCat cho thấy rằng, thay vì mã hóa các tệp, thay vào đó, công cụ trích xuất (exfiltration) được sử dụng để làm hỏng và phá hủy tệp.

Có một số lý do khiến tội phạm mạng thử nghiệm chiến thuật mới này. Đầu tiên, mối đe dọa phá hủy dữ liệu thay vì mã hóa dữ liệu có thể tạo thêm động lực cho các nạn nhân của các cuộc tấn công trả tiền.

Các nhà nghiên cứu tại Cyderes cảnh báo: "Loại bỏ bước mã hóa dữ liệu giúp quá trình diễn ra nhanh hơn và loại bỏ nguy cơ không nhận được khoản thanh toán đầy đủ hoặc nạn nhân sẽ tìm cách khác để giải mã dữ liệu".

Ngoài ra, việc phát triển phần mềm độc hại phá hoại ít phức tạp hơn so với việc thiết kế ransomware, do đó, sử dụng các cuộc tấn công phá hủy dữ liệu có thể tốn ít tài nguyên và thời gian hơn, mang lại cho kẻ tấn công lợi nhuận lớn hơn.

Daniel Mayer, nhà nghiên cứu về mối đe dọa tại Stairwell cho biết: "Tạo ransomware mạnh mẽ và ổn định là một quá trình phát triển chuyên sâu hơn nhiều so với việc tạo ra phần mềm độc hại được thiết kế để làm hỏng các tệp, thay vào đó thuê một máy chủ lớn để nhận các tệp bị lọc và trả lại khi thanh toán".

"Những kẻ tống tiền có khả năng sẽ tiếp tục thử nghiệm với việc lọc và phá hủy dữ liệu với mức độ phổ biến ngày càng tăng", Mayer nói thêm.

Các cuộc tấn công bằng ransomware và phần mềm độc hại có thể cực kỳ nguy hiểm, nhưng có những bước mà các tổ chức có thể thực hiện để giúp mạng của họ mạnh mẽ hơn và bảo vệ khỏi các cuộc tấn công.

Các bước bao gồm việc áp dụng các bản vá và cập nhật bảo mật kịp thời để ngăn chặn tin tặc khai thác các lỗ hổng đã biết để thực hiện các cuộc tấn công, cùng với việc đảm bảo rằng xác thực đa yếu tố được triển khai trên toàn mạng để giúp bảo vệ người dùng./.

Theo zdnet