Hơn 100.000 máy tính ở Trung Quốc bị nhiễm loại ransomware mới

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2112, 05/12/18, 10:12 AM.

  1. WhiteHat News #ID:2112

    WhiteHat News #ID:2112 WhiteHat Support

    Tham gia: 16/06/15, 03:06 PM
    Bài viết: 396
    Đã được thích: 40
    Điểm thành tích:
    48
    Update – Ngày 5/12, cảnh sát Đông Quan đã bắt giữ một người đàn ông 22 tuổi người Trung Quốc tên Moumou. Truyền thông Trung Quốc cho biết người này thừa nhận việc tạo ra và phát tán ransomware mới trên.
    ______________________________________________________________________________
    Một loại ransomware mới, đang lây lan nhanh chóng khắp Trung Quốc, đã lây nhiễm hơn 100.000 máy tính trong bốn ngày qua do tấn công supply-chain (chuỗi cung ứng, chuỗi giá trị) và số lượng người dùng bị lây nhiễm liên tục tăng mỗi giờ.

    Điều thú vị là virus mới này không yêu cầu các khoản thanh toán tiền chuộc bằng Bitcoin.

    Thay vào đó, kẻ tấn công yêu cầu nạn nhân trả 110 NDT (gần 16 USD) tiền chuộc thông qua WeChat Pay - tính năng thanh toán được cung cấp bởi ứng dụng nhắn tin phổ biến nhất của Trung Quốc.

    China.png

    Mã độc tống tiền + Lấy cắp mật khẩu - Không giống như sự bùng phát của mã độc tống tiền WannaCry và NotPetya gây ra hỗn loạn trên toàn thế giới năm ngoái, ransomware mới của Trung Quốc chỉ nhắm mục tiêu vào người dùng Trung Quốc.

    Mã độc này cũng bao gồm khả năng ăn cắp mật khẩu tài khoản của người dùng Alipay, dịch vụ email NetEase 163, các trang web Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall, AliWangWang và QQ.

    Tấn công supply chain - chuỗi cung ứng - Theo công ty Velvet Security của Trung Quốc, những kẻ tấn công đã thêm mã độc vào phần mềm lập trình "EasyLanguage" được sử dụng bởi một lượng lớn nhà phát triển ứng dụng.

    Phần mềm lập trình bị sửa đổi độc hại được thiết kế để đưa mã ransomware vào mọi ứng dụng và sản phẩm phần mềm được biên dịch thông qua nó - một ví dụ khác về tấn công chuỗi cung ứng phần mềm để lây lan virus nhanh chóng.

    Hơn 100.000 người dùng Trung Quốc cài đặt các ứng dụng được liệt kê ở trên đã bị xâm phạm hệ thống. Ransomware này mã hóa tất cả các tệp trên hệ thống bị nhiễm, ngoại trừ các tệp có phần mở rộng gif, exe và tmp.

    Sử dụng chữ ký số bị đánh cắp - Để chống lại các chương trình Antivirus, kẻ tấn công đã ký mã độc với chữ ký số đáng tin cậy của Tencent Technologies và tránh mã hóa dữ liệu trong một số thư mục cụ thể như "Tencent Games, League of Legends, tmp, rtl và program".

    Sau khi được mã hóa, ransomware bật lên một thông báo, yêu cầu người dùng trả 110 nhân dân tệ cho tài khoản WeChat của kẻ tấn công trong vòng 3 ngày để nhận khóa giải mã.

    Nếu không được thanh toán trong thời gian hiển thị, mã độc sẽ tự động xóa khóa giải mã khỏi máy chủ C&C từ xa.

    Bên cạnh việc mã hóa các tệp người dùng, ransomware cũng âm thầm đánh cắp thông tin xác thực đăng nhập của người dùng cho các trang web phổ biến của Trung Quốc và các tài khoản mạng xã hội và gửi chúng đến máy chủ từ xa.

    Mã độc cũng tập hợp thông tin hệ thống bao gồm mẫu CPU, độ phân giải màn hình, thông tin mạng và danh sách phần mềm được cài đặt.

    Ransomware đã bị bẻ khóa - các nhà nghiên cứu của Trung Quốc phát hiện ra rằng ransomware được lập trình kém và những kẻ tấn công đã nói dối về quá trình mã hóa.

    Thông báo ransomware nói rằng các tệp của người dùng được mã hóa bằng thuật toán mã hóa DES, nhưng trên thực tế, nó mã hóa dữ liệu bằng mật mã XOR kém an toàn hơn và lưu bản sao khóa giải mã trên chính hệ thống của nạn nhân trong một thư mục tại vị trí sau:

    %user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg

    Sử dụng thông tin này, nhóm của Velvet đã tạo và phát hành một công cụ giải mã ransomware miễn phí có thể dễ dàng mở khóa các tệp bị mã hóa cho các nạn nhân mà không yêu cầu họ phải trả bất kỳ khoản tiền chuộc nào.

    Các nhà nghiên cứu cũng đã tìm ra cách crack và truy cập các máy chủ cơ sở dữ liệu MySQL và C&C của kẻ tấn công và tìm thấy hàng ngàn thông tin đăng nhập bị đánh cắp được lưu trữ trên đó.

    Ai là người đứng sau cuộc tấn công ransomware này? - Nghi phạm có tên là "Luo", một lập trình viên phần mềm chuyên phát triển các ứng dụng như "trợ lý tài nguyên lsy" và "cảnh báo cổ điển LSY v1.1"

    Số tài khoản QQ của Lua, số điện thoại di động, ID Alipay và ID email khớp với thông tin mà các nhà nghiên cứu thu thập được bằng cách theo dõi tài khoản WeChat của kẻ tấn công.

    Sau khi được thông báo về mối đe dọa, WeChat cũng đã tạm ngưng tài khoản của kẻ tấn công.

    Các nhà nghiên cứu Velvet cũng đã thông báo cho các cơ quan thực thi pháp luật Trung Quốc tất cả các thông tin có sẵn để điều tra thêm.

    Theo The Hacker News
     
    Last edited by a moderator: 07/12/18, 02:12 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan