WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Mã độc Satan cho phép tin tặc tự tạo phiên bản ransomware riêng
Một dòng mã độc tống tiền mới đang được cung cấp thông qua mô hình kinh doanh Ransomware-as-a-Service (RaaS), cho phép tội phạm mạng dễ dàng tùy chỉnh phiên bản mã độc của riêng mình.
Được mệnh danh là Satan, dòng ransomware mới được phát hiện bởi nhà nghiên cứu an ninh Xylitol và luôn có sẵn cho bất kỳ ai muốn trở thành tội phạm, vì dịch vụ chỉ yêu cầu tạo một tài khoản để bắt đầu. Lợi nhuận sẽ được chia cho tác giả của mã độc, cụ thể là 30%, và điều này làm cho mô hình RaaS rất hấp dẫn với nhiều người.
Trong thực tế, mô hình RaaS cần rất ít nỗ lực từ các bên quan tâm, vì nó xử lý các khoản thanh toán tiền chuộc và bổ sung bất kỳ tính năng mới. Tuy nhiên, các chi nhánh sẽ phụ trách việc phân phối, và tác giả của RaaS tuyên bố những chi nhánh thành thành công sẽ được thưởng với mức chiết khấu lớn hơn.
Trang web của SatanRaaS chào đón khách truy cập với thông tin về dịch vụ, trong khi người dùng đã đăng ký được phép truy cập vào một giao diện điều khiển giúp họ thiết lập phiên bản mã độc tống tiền của riêng mình qua nhiều trang như Malwares, Droppers, Translate, Account, Notices, and Messages.
Theo Tyler Moffitt của Webroot, những kẻ vận hành mô hình Satan RaaS đặc biệt yêu cầu các chi nhánh không chia sẻ mẫu ransomware tải về với VirusTotal để "giảm khả năng các nhà cung cấp an ninh biết về các biến thể". Dịch vụ này hiện đang được quảng cáo trên các diễn đàn ngầm.
Để tránh bị phân tích, ransomware Satan được xây dựng với một loạt các kiểm tra ảo hóa bên trong, nghĩa là nó tự kết thúc nếu tin rằng nó đang chạy trong một máy ảo. Nếu vượt qua quá trình kiểm tra, mã độc tự đưa mình vào quá trình TaskHost.exe và sau đó bắt đầu mã hóa các tập tin trên máy tính bị nhiễm.
Ransomware này hiện đang nhắm mục tiêu đến hơn 350 loại tập tin, nhưng các nhà nghiên cứu chưa tìm ra thuật toán mã hóa mà nó sử dụng. Những gì họ biết là mã độc này gắn đuôi .stn vào tên tập tin bị mã hóa, nhưng chỉ sau khi xáo trộn tên tập tin đó.
Trong quá trình mã hóa, Satan tải một thông báo đòi tiền chuộc gọi là HELP_DECRYPT_FILES.html vào mỗi thư mục chứa tập tin bị mã hóa. Sau khi mã hóa tất cả các file, mã độc dọn dẹp toàn bộ dữ liệu từ các không gian không được sử dụng trên ổ C: bằng cách thực thi ứng dụng Windows cipher.exe.
Thông báo đòi tiền chuộc của Satan bao gồm ID duy nhất của nạn nhân và một URL dẫn tới trang thanh toán trên TOR, cùng với hướng dẫn để người dùng phục hồi lại các tập tin bị mã hóa. Thông báo đòi tiền chuộc cũng tuyên bố sử dụng thuật toán AES-256 và RSA-2048 để mã hóa, nhưng điều này chưa được xác nhận.
Được mệnh danh là Satan, dòng ransomware mới được phát hiện bởi nhà nghiên cứu an ninh Xylitol và luôn có sẵn cho bất kỳ ai muốn trở thành tội phạm, vì dịch vụ chỉ yêu cầu tạo một tài khoản để bắt đầu. Lợi nhuận sẽ được chia cho tác giả của mã độc, cụ thể là 30%, và điều này làm cho mô hình RaaS rất hấp dẫn với nhiều người.
Trong thực tế, mô hình RaaS cần rất ít nỗ lực từ các bên quan tâm, vì nó xử lý các khoản thanh toán tiền chuộc và bổ sung bất kỳ tính năng mới. Tuy nhiên, các chi nhánh sẽ phụ trách việc phân phối, và tác giả của RaaS tuyên bố những chi nhánh thành thành công sẽ được thưởng với mức chiết khấu lớn hơn.
Trang web của SatanRaaS chào đón khách truy cập với thông tin về dịch vụ, trong khi người dùng đã đăng ký được phép truy cập vào một giao diện điều khiển giúp họ thiết lập phiên bản mã độc tống tiền của riêng mình qua nhiều trang như Malwares, Droppers, Translate, Account, Notices, and Messages.
Theo Tyler Moffitt của Webroot, những kẻ vận hành mô hình Satan RaaS đặc biệt yêu cầu các chi nhánh không chia sẻ mẫu ransomware tải về với VirusTotal để "giảm khả năng các nhà cung cấp an ninh biết về các biến thể". Dịch vụ này hiện đang được quảng cáo trên các diễn đàn ngầm.
Để tránh bị phân tích, ransomware Satan được xây dựng với một loạt các kiểm tra ảo hóa bên trong, nghĩa là nó tự kết thúc nếu tin rằng nó đang chạy trong một máy ảo. Nếu vượt qua quá trình kiểm tra, mã độc tự đưa mình vào quá trình TaskHost.exe và sau đó bắt đầu mã hóa các tập tin trên máy tính bị nhiễm.
Ransomware này hiện đang nhắm mục tiêu đến hơn 350 loại tập tin, nhưng các nhà nghiên cứu chưa tìm ra thuật toán mã hóa mà nó sử dụng. Những gì họ biết là mã độc này gắn đuôi .stn vào tên tập tin bị mã hóa, nhưng chỉ sau khi xáo trộn tên tập tin đó.
Trong quá trình mã hóa, Satan tải một thông báo đòi tiền chuộc gọi là HELP_DECRYPT_FILES.html vào mỗi thư mục chứa tập tin bị mã hóa. Sau khi mã hóa tất cả các file, mã độc dọn dẹp toàn bộ dữ liệu từ các không gian không được sử dụng trên ổ C: bằng cách thực thi ứng dụng Windows cipher.exe.
Thông báo đòi tiền chuộc của Satan bao gồm ID duy nhất của nạn nhân và một URL dẫn tới trang thanh toán trên TOR, cùng với hướng dẫn để người dùng phục hồi lại các tập tin bị mã hóa. Thông báo đòi tiền chuộc cũng tuyên bố sử dụng thuật toán AES-256 và RSA-2048 để mã hóa, nhưng điều này chưa được xác nhận.
Theo SecurityWeek