Ransomware ALPHV - BlackCat - Mã độc tống tiền tinh vi nhất năm 2021
Ransomware ALPHV xuất hiện tháng trước và được nhắc đến trên một diễn đàn tiếng Nga. Đây có thể là mã độc tinh vi nhất năm 2021 với bộ các tính năng tùy chỉnh cao có thể tấn công một loạt doanh nghiệp.
Các nhà nghiên cứu an ninh MalwareHunterTeam đã phát hiện ra ransomware hoạt động đầu tiên vào 21/11 và đặt tên là BlackCat.
Ransomware được viết bởi ngôn ngữ Rust, đây không phải ngôn ngữ phổ biến của các mã độc, tuy nhiên viết bằng ngôn ngữ này có thể giúp qua mặt được các AV.
Ransomware được điều hành như một dịch vụ, hacker tuyển dụng các chi nhánh đi thực hiện tấn công và mã hóa các công ty, cá nhân. Các chi nhánh sẽ được chia sẻ lợi nhuận với các khoản tiền chuộc. Ví dụ các chi nhánh sẽ được lần lượt 80% nếu tiền chuộc dưới 1.5 triệu đô, 85% nếu từ 1.5-3 triệu đô, 90% từ 3 triệu đô trở lên. CNA (Kênh tin tức truyền hình trả tiền Đông Nam Á có trụ sở tại Singapore) được cho là đã trả 40 triệu đô la tiền chuộc cho nhóm hack của Nga Evil Corp, theo chia sẻ doanh thu ALPHV đã trả 36 triệu đô cho các công ty chi nhánh.
Các tính năng của BlackCat
BlackCat gồm nhiều tín năng nâng cao. Ransomware chạy hoàn toàn bằng dòng lệnh và do hacker điều khiển, nó có khả năng cấu hình cao, có nhiều cách thức mã hóa, lây lan giữa các máy tính khác nhau. Mã độc còn tính năng xóa máy ảo và các snapshort của máy ảo. Các tùy chọn cấu hình được thể hiện bằng lệnh --help bên dưới.
Mỗi một ransomware sẽ bao gồm một cấu hình JSON cho phép tùy chỉnh các đuôi mã hóa, nội dung tống tiền, các file, thư mục được whitelist, danh sách các tiến trình bị tắt trước khi mã hóa.
Ransomware được viết mới từ đầu không sử dụng bất kỳ mẫu hay mã nguồn nào của các ransomware trước đó. Nó cung cấp các lựa chọn như:
* Chế độ mã hóa
- Full: Mã hóa toàn bộ file, tốc độ chậm nhưng an toàn không thể giải mã
- Fast : Mã hóa N MByte đầu tiền, không được khuyên dùng, nhưng tốc độ nhanh
- DotPattern: Mã hóa N MByte các đoạn khác nhau
- Auto: Tùy thuộc và kích thước file, hệ điều hành nó sẽ lựa chọn chiến lược mã hóa tối ưu nhất
- SmartPattern: Mã hóa N Mbyte theo phần trăm file
* Thuật toán mã hóa
- Chacha20
- AES
Ransomware có cấu hình phát tán thông qua đăng nhập bằng Domain, giải nén công cụ PSExec trong thư mục %Temp% và phát tán các máy tính khác trong mạng và thực thi để mã hóa máy tính từ xa. Dưới đây là giao diện hacker có thể theo dõi được quá trình mã hóa.
Trước khi mã hóa, ransomware sẽ tắt các chương trình và dịch vụ của windows có thể ngăn cản việc mã hóa. Các tiến trình này bao gồm: Phần mềm sao lưu, cơ sở dữ liệu, Veeam, Microsoft Exchange, office...
Ngoài ra, ransomware cũng có các chức năng khác như: Xóa thùng rác, xóa Shadow để không thể khôi phục dữ liệu, quét các thiết bị mạng, các máy share... để tối đa việc mã hóa
Các file bị mã hóa sẽ được đổi thành các đôi ngẫu nhiên và sẽ có file tống tiền có định dạng RECOVER- [extension] -FILES.txt' trong cùng thư mục.
Nội dung tống tiền được hacker cấu hình khác nhau đối với từng nạn nhân, thường bao gồm các dữ liệu bị mã hóa, địa chỉ Tor để nạn nhân trao đổi trả tiền chuộc cho hacker.
Ransomware có thể chạy trên đa nền tảng:
Sử dụng Access-token để đảm bảo bí mật đàm phán giữa nạn nhân và hacker
Một vấn đề lâu dài là ransomware có thể bị rò rỉ qua các trang web phân tích mã độc dẫn đến có thể toàn quyền truy cập vào trang đàm phán giữa nạn nhân và hacker. Để ngăn cản việc này, hacker đã thiết lập ransomware phải khởi chạy với tham số --access-token = [access_token] khi mã hóa.
Mã truy cập này được dùng để tạo khóa truy cập vào trang Tor trao đổi với hacker. Vì mã thông báo này không được bao gồm trong mẫu phần mềm độc hại, ngay cả khi nó được tải lên trang web phân tích phần mềm độc hại, các nhà nghiên cứu sẽ không sử dụng nó để truy cập trang thương lượng mà không có ghi chú tiền chuộc từ cuộc tấn công thực tế.
Tiền chuộc từ 400 nghìn đô la đến hàng triệu đô la
Cá nhà nghiên cứu an ninh BleepingComputer đã phát hiện ransomware từ tháng 11 trên nhiều quốc gia bao gồm Mỹ, Úc, Ấn Độ. Tiền chuộc nằm trong khoảng từ 400.000 đến 3 triệu đô la phải trả bằng Bitcoin hoặc Monero. Tuy nhiên, nếu nạn nhân thanh toán bằng bitcoin, khoản phí bổ sung 15% được thêm vào tiền chuộc.
Tuy nhiên, vì Monero được coi là một đồng tiền riêng nên không dễ dàng tiếp cận. Không giống như các hoạt động ransomware khác đe dọa xóa sạch hoặc xuất bản dữ liệu nếu các công ty đàm phán được thuê, ALPHV phục vụ khách hàng ransomware qua trang đăng nhập "Trung gian" để thực hiện các cuộc đàm phán riêng tư.
Các nhà nghiên cứu an ninh MalwareHunterTeam đã phát hiện ra ransomware hoạt động đầu tiên vào 21/11 và đặt tên là BlackCat.
Ransomware được viết bởi ngôn ngữ Rust, đây không phải ngôn ngữ phổ biến của các mã độc, tuy nhiên viết bằng ngôn ngữ này có thể giúp qua mặt được các AV.
Ransomware được điều hành như một dịch vụ, hacker tuyển dụng các chi nhánh đi thực hiện tấn công và mã hóa các công ty, cá nhân. Các chi nhánh sẽ được chia sẻ lợi nhuận với các khoản tiền chuộc. Ví dụ các chi nhánh sẽ được lần lượt 80% nếu tiền chuộc dưới 1.5 triệu đô, 85% nếu từ 1.5-3 triệu đô, 90% từ 3 triệu đô trở lên. CNA (Kênh tin tức truyền hình trả tiền Đông Nam Á có trụ sở tại Singapore) được cho là đã trả 40 triệu đô la tiền chuộc cho nhóm hack của Nga Evil Corp, theo chia sẻ doanh thu ALPHV đã trả 36 triệu đô cho các công ty chi nhánh.
Các tính năng của BlackCat
BlackCat gồm nhiều tín năng nâng cao. Ransomware chạy hoàn toàn bằng dòng lệnh và do hacker điều khiển, nó có khả năng cấu hình cao, có nhiều cách thức mã hóa, lây lan giữa các máy tính khác nhau. Mã độc còn tính năng xóa máy ảo và các snapshort của máy ảo. Các tùy chọn cấu hình được thể hiện bằng lệnh --help bên dưới.
Ransomware được viết mới từ đầu không sử dụng bất kỳ mẫu hay mã nguồn nào của các ransomware trước đó. Nó cung cấp các lựa chọn như:
* Chế độ mã hóa
- Full: Mã hóa toàn bộ file, tốc độ chậm nhưng an toàn không thể giải mã
- Fast : Mã hóa N MByte đầu tiền, không được khuyên dùng, nhưng tốc độ nhanh
- DotPattern: Mã hóa N MByte các đoạn khác nhau
- Auto: Tùy thuộc và kích thước file, hệ điều hành nó sẽ lựa chọn chiến lược mã hóa tối ưu nhất
- SmartPattern: Mã hóa N Mbyte theo phần trăm file
* Thuật toán mã hóa
- Chacha20
- AES
Ransomware có cấu hình phát tán thông qua đăng nhập bằng Domain, giải nén công cụ PSExec trong thư mục %Temp% và phát tán các máy tính khác trong mạng và thực thi để mã hóa máy tính từ xa. Dưới đây là giao diện hacker có thể theo dõi được quá trình mã hóa.
Trước khi mã hóa, ransomware sẽ tắt các chương trình và dịch vụ của windows có thể ngăn cản việc mã hóa. Các tiến trình này bao gồm: Phần mềm sao lưu, cơ sở dữ liệu, Veeam, Microsoft Exchange, office...
Ngoài ra, ransomware cũng có các chức năng khác như: Xóa thùng rác, xóa Shadow để không thể khôi phục dữ liệu, quét các thiết bị mạng, các máy share... để tối đa việc mã hóa
Các file bị mã hóa sẽ được đổi thành các đôi ngẫu nhiên và sẽ có file tống tiền có định dạng RECOVER- [extension] -FILES.txt' trong cùng thư mục.
Nội dung tống tiền được hacker cấu hình khác nhau đối với từng nạn nhân, thường bao gồm các dữ liệu bị mã hóa, địa chỉ Tor để nạn nhân trao đổi trả tiền chuộc cho hacker.
Ransomware có thể chạy trên đa nền tảng:
- Windows: Từ win 7 trở lên
- Ubuntu
- Debian
- ESXI
- ReadyNAS, Synology
Sử dụng Access-token để đảm bảo bí mật đàm phán giữa nạn nhân và hacker
Một vấn đề lâu dài là ransomware có thể bị rò rỉ qua các trang web phân tích mã độc dẫn đến có thể toàn quyền truy cập vào trang đàm phán giữa nạn nhân và hacker. Để ngăn cản việc này, hacker đã thiết lập ransomware phải khởi chạy với tham số --access-token = [access_token] khi mã hóa.
Mã truy cập này được dùng để tạo khóa truy cập vào trang Tor trao đổi với hacker. Vì mã thông báo này không được bao gồm trong mẫu phần mềm độc hại, ngay cả khi nó được tải lên trang web phân tích phần mềm độc hại, các nhà nghiên cứu sẽ không sử dụng nó để truy cập trang thương lượng mà không có ghi chú tiền chuộc từ cuộc tấn công thực tế.
Tiền chuộc từ 400 nghìn đô la đến hàng triệu đô la
Cá nhà nghiên cứu an ninh BleepingComputer đã phát hiện ransomware từ tháng 11 trên nhiều quốc gia bao gồm Mỹ, Úc, Ấn Độ. Tiền chuộc nằm trong khoảng từ 400.000 đến 3 triệu đô la phải trả bằng Bitcoin hoặc Monero. Tuy nhiên, nếu nạn nhân thanh toán bằng bitcoin, khoản phí bổ sung 15% được thêm vào tiền chuộc.
Tuy nhiên, vì Monero được coi là một đồng tiền riêng nên không dễ dàng tiếp cận. Không giống như các hoạt động ransomware khác đe dọa xóa sạch hoặc xuất bản dữ liệu nếu các công ty đàm phán được thuê, ALPHV phục vụ khách hàng ransomware qua trang đăng nhập "Trung gian" để thực hiện các cuộc đàm phán riêng tư.
Nguồn: bleepingcomputer.com
Chỉnh sửa lần cuối bởi người điều hành: