WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Mã độc tống tiền CTB-Locker lây nhiễm hàng nghìn máy chủ Web
Vài năm trở lại đây, mối đe dọa từ mã độc tống tiền (ransomware) không ngừng gia tăng, từ Cryptowall đến Locky mới được phát hiện tuần trước.
Lawrence Abrams từ BleepingComputer cho hay mới xuất hiện một biến thể của ransomware CTB-Locker có thể lây nhiễm "các trang Web".
Ransomware mới này tấn công các trang web bằng cách khóa dữ liệu của trang và dữ liệu chỉ có thể được giải mã sau khi nạn nhân trả 0,4 Bitcoin (BTC).
Dường như đây là lần đầu tiên ransomware thực sự thay đổi giao diện (deface) một trang web, buộc người quản trị làm theo yêu cầu trả tiền chuộc.
Tuy nhiên, quản trị viên website bị lây nhiễm có thể mở khóa 2 tập tin bất kỳ bằng bộ sinh số ngẫu nhiên miễn phí như một bằng chứng cho thấy khóa giải mã có hoạt động.
CTB-Locker nhắm vào website hoạt động như thế nào?
Lawrence giải thích ransomware CTB-Locker thay thế trang index (index.php hoặc index.html) của các máy chủ lưu trữ website bằng trang deface của tin tặc (index.php mới bị ảnh hưởng).
Trang deface hiển thị một thông điệp thông báo cho chủ sở hữu trang web biết các tập tin của họ đã bị mã hóa và họ cần phải trả một khoản tiền chuộc trước một thời hạn nhất định.
Một khi đã bị mã hóa, các trang web bị lây nhiễm hiển thị thông báo sau:
"Các script, tài liệu, hình ảnh, cơ sở dữ liệu và các tập tin quan trọng khác của bạn đã bị mã hóa bằng thuật toán mã hóa mạnh nhất AES-256 và khóa duy nhất, được tạo riêng cho trang web này."
Thông điệp này cũng bao gồm hướng dẫn cụ thể giúp các nạn nhân của CTB-Locker thực hiện thanh toán đến một địa chỉ Bitcoin cụ thể.
Key miễn phí để giải mã 2 tập tin ngẫu nhiên
Ngay sau khi kiểm soát được trang web, kẻ tống tiền sẽ gửi hai khóa giải mã AES-256 khác nhau đến index.php bị ảnh hưởng.
Khóa đầu tiên sẽ được sử dụng để giải mã 2 tập tin ngẫu nhiên bất kỳ từ các tập tin bị khóa dưới tên “test” để minh họa cho quá trình giải mã.
Khi quản trị web nhập tên tập tin và nhấn "Giải mã miễn phí", jquery (một thư viện javascript, giúp viết javascript nhanh hơn với cú pháp đơn giản hơn) sẽ được kích hoạt theo yêu cầu để kiểm tra khóa giải mã trên máy chủ C&C. Khi nhận được khóa, jquery sẽ giải mã 2 tập tin ngẫu nhiên và hiển thị thông điệp 'Xin chúc mừng! TẬP TIN TEST ĐÃ ĐƯỢC GIẢI MÃ!!'
Khóa giải mã còn lại sẽ giải mã các tập tin khác, sau khi thực hiện thanh toán bằng Bitcoin cho kẻ tấn công.
Tất cả nội dung của trang web sẽ bị mã hóa bằng thuật toán AES-256, và một ID duy nhất sẽ được tạo ra cho mỗi trang web bị lây nhiễm.
Gần như tất cả các loại đuôi mở rộng của tập tin đều bị ảnh hưởng bởi ransomware CTB-Locker.
Lawrence cho hay một đặc tính khác của ransomware là cho phép nạn nhân trao đổi tin nhắn với tin tặc ransomware.
Hacker thiết lập một phòng chat theo cách nạn nhân có thể nói chuyện với chính những tin tặc đã tạo ra ransomware sau khi tên của file bí mật được hiển thị trong cùng danh mục với index.php.
CTB Locker cho Website → Sửa gói tin trong Server
Gói tin của phiên bản CTB-Locker này sử dụng một loạt các tập tin mô tả dưới đây:
• index.php: Thành phần chính của CTB-Locker nhắm vào website, chứa các routine mã hóa và giải mã cũng như trang thanh toán.
• allenc.txt: Chứa một danh sách tất cả các tập tin đã bị mã hóa.
• test.txt: Chứa đường dẫn và tên tập tin để hai tập tin prechosen có thể được giải mã miễn phí.
• victims.txt: Chứa một danh sách của tất cả các tập tin sẽ bị mã hóa. Tuy nhiên, các tập tin đã được mã hóa rồi sẽ vẫn nằm trong danh sách này.
• extensions.txt - Danh sách các tiện ích mở rộng tập tin cần được mã hóa.
• secret_ [site_specific_string]: Các tập tin bí mật được sử dụng bởi chức năng Free Decrypt và Chat và nằm trong cùng thư mục với file index.php.
Vị trí server C&C:
Theo Benkow Wokned, nhà nghiên cứu an ninh đã phát hiện ra phiên bản CTB-Locker này trang index.php sử dụng hàm jQuery.post () để giao tiếp và POST dữ liệu lên server C&C của ransomware.
Hiện tại, ba máy chủ C&C cho CTB-Locker này được phát hiện bởi các nhà nghiên cứu là:
• http: //erdeni.ru/access.php
• http: //studiogreystar.com/access.php
• http: //a1hose.com/access.php
Ransomware cũng cung cấp một khe thời gian để các quản trị web phục hồi các tập tin. Tuy nhiên, nếu không trả BTC đúng hẹn, khoản tiền chuộc sẽ tăng gấp đôi là 0,8 BTC.
CTB-Locker cho Windows
CTB-Locker cho website chưa phải là biến thể mới nhất trong gia đình ransomware. Ransomware còn phát tán trong môi trường Windows bằng cách sử dụng mã có thể thực thi được ký bằng chứng chỉ bị đánh cắp.
Thông thường, mục đích của chữ ký số là để xác thực sản phẩm. Các chứng chỉ được cung cấp chỉ sau khi kiểm tra được thực hiện bởi các cơ quan chứng nhận (CA) như Verizon, DigiCert.
Tuy nhiên, nhóm tội phạm mạng đứng sau ransomware CTB-Locker đã giả mạo các chứng thực số thật. Các phiên bản CTB ransomware có thể thực thi được trong Windows đi kèm với một chữ ký số trước khi ký kết.
Sử dụng Encryptor Raas cho chứng nhận mã ký số
Các nhóm đứng sau CBT được cho là đã có được lợi thế từ Jeiphoos, một tin tặc ransomware cho phép mọi người tiếp cận trang ẩn danh Tor "Encryptor RAAS" của hắn. Trang này chuyên cung cấp chứng thực chữ ký số miễn phí và chữ ký sử dụng các chứng thực ký số bị đánh cắp.
Tấn công một website doanh nghiệp có thể gây ra những ảnh hưởng về kinh tế cho các dịch vụ đang được cung cấp tới người dùng thông qua website, làm nghiêm trọng thêm vấn đề. Tuy nhiên, vấn đề nghiêm trọng lại là các vụ tấn công POS (Point of Sale), nếu một trang web thương mại điện tử bị tấn công.
Hiện nay, nhiều trang web đã bị lây nhiễm "CBT-Locker website." Theo phân tích, nhiều trang web wordpress (hầu hết các trang web tĩnh) đã bị phát hiện là mục tiêu của CBT Locker website.
Vì mã độc tống tiền này không nghiêm trọng như ransomware Locky có sử dụng Macro, nên người quản trị web có thể sử dụng file backup để khôi phục các trang này.
Nguồn: The Hacker News
Lawrence Abrams từ BleepingComputer cho hay mới xuất hiện một biến thể của ransomware CTB-Locker có thể lây nhiễm "các trang Web".
Ransomware mới này tấn công các trang web bằng cách khóa dữ liệu của trang và dữ liệu chỉ có thể được giải mã sau khi nạn nhân trả 0,4 Bitcoin (BTC).
Dường như đây là lần đầu tiên ransomware thực sự thay đổi giao diện (deface) một trang web, buộc người quản trị làm theo yêu cầu trả tiền chuộc.
Tuy nhiên, quản trị viên website bị lây nhiễm có thể mở khóa 2 tập tin bất kỳ bằng bộ sinh số ngẫu nhiên miễn phí như một bằng chứng cho thấy khóa giải mã có hoạt động.
CTB-Locker nhắm vào website hoạt động như thế nào?
Lawrence giải thích ransomware CTB-Locker thay thế trang index (index.php hoặc index.html) của các máy chủ lưu trữ website bằng trang deface của tin tặc (index.php mới bị ảnh hưởng).
Trang deface hiển thị một thông điệp thông báo cho chủ sở hữu trang web biết các tập tin của họ đã bị mã hóa và họ cần phải trả một khoản tiền chuộc trước một thời hạn nhất định.
Một khi đã bị mã hóa, các trang web bị lây nhiễm hiển thị thông báo sau:
"Các script, tài liệu, hình ảnh, cơ sở dữ liệu và các tập tin quan trọng khác của bạn đã bị mã hóa bằng thuật toán mã hóa mạnh nhất AES-256 và khóa duy nhất, được tạo riêng cho trang web này."
Thông điệp này cũng bao gồm hướng dẫn cụ thể giúp các nạn nhân của CTB-Locker thực hiện thanh toán đến một địa chỉ Bitcoin cụ thể.
Key miễn phí để giải mã 2 tập tin ngẫu nhiên
Ngay sau khi kiểm soát được trang web, kẻ tống tiền sẽ gửi hai khóa giải mã AES-256 khác nhau đến index.php bị ảnh hưởng.
Khóa đầu tiên sẽ được sử dụng để giải mã 2 tập tin ngẫu nhiên bất kỳ từ các tập tin bị khóa dưới tên “test” để minh họa cho quá trình giải mã.
Khi quản trị web nhập tên tập tin và nhấn "Giải mã miễn phí", jquery (một thư viện javascript, giúp viết javascript nhanh hơn với cú pháp đơn giản hơn) sẽ được kích hoạt theo yêu cầu để kiểm tra khóa giải mã trên máy chủ C&C. Khi nhận được khóa, jquery sẽ giải mã 2 tập tin ngẫu nhiên và hiển thị thông điệp 'Xin chúc mừng! TẬP TIN TEST ĐÃ ĐƯỢC GIẢI MÃ!!'
Khóa giải mã còn lại sẽ giải mã các tập tin khác, sau khi thực hiện thanh toán bằng Bitcoin cho kẻ tấn công.
Tất cả nội dung của trang web sẽ bị mã hóa bằng thuật toán AES-256, và một ID duy nhất sẽ được tạo ra cho mỗi trang web bị lây nhiễm.
Gần như tất cả các loại đuôi mở rộng của tập tin đều bị ảnh hưởng bởi ransomware CTB-Locker.
Lawrence cho hay một đặc tính khác của ransomware là cho phép nạn nhân trao đổi tin nhắn với tin tặc ransomware.
Hacker thiết lập một phòng chat theo cách nạn nhân có thể nói chuyện với chính những tin tặc đã tạo ra ransomware sau khi tên của file bí mật được hiển thị trong cùng danh mục với index.php.
CTB Locker cho Website → Sửa gói tin trong Server
Gói tin của phiên bản CTB-Locker này sử dụng một loạt các tập tin mô tả dưới đây:
• index.php: Thành phần chính của CTB-Locker nhắm vào website, chứa các routine mã hóa và giải mã cũng như trang thanh toán.
• allenc.txt: Chứa một danh sách tất cả các tập tin đã bị mã hóa.
• test.txt: Chứa đường dẫn và tên tập tin để hai tập tin prechosen có thể được giải mã miễn phí.
• victims.txt: Chứa một danh sách của tất cả các tập tin sẽ bị mã hóa. Tuy nhiên, các tập tin đã được mã hóa rồi sẽ vẫn nằm trong danh sách này.
• extensions.txt - Danh sách các tiện ích mở rộng tập tin cần được mã hóa.
• secret_ [site_specific_string]: Các tập tin bí mật được sử dụng bởi chức năng Free Decrypt và Chat và nằm trong cùng thư mục với file index.php.
Vị trí server C&C:
Theo Benkow Wokned, nhà nghiên cứu an ninh đã phát hiện ra phiên bản CTB-Locker này trang index.php sử dụng hàm jQuery.post () để giao tiếp và POST dữ liệu lên server C&C của ransomware.
Hiện tại, ba máy chủ C&C cho CTB-Locker này được phát hiện bởi các nhà nghiên cứu là:
• http: //erdeni.ru/access.php
• http: //studiogreystar.com/access.php
• http: //a1hose.com/access.php
Ransomware cũng cung cấp một khe thời gian để các quản trị web phục hồi các tập tin. Tuy nhiên, nếu không trả BTC đúng hẹn, khoản tiền chuộc sẽ tăng gấp đôi là 0,8 BTC.
CTB-Locker cho Windows
CTB-Locker cho website chưa phải là biến thể mới nhất trong gia đình ransomware. Ransomware còn phát tán trong môi trường Windows bằng cách sử dụng mã có thể thực thi được ký bằng chứng chỉ bị đánh cắp.
Thông thường, mục đích của chữ ký số là để xác thực sản phẩm. Các chứng chỉ được cung cấp chỉ sau khi kiểm tra được thực hiện bởi các cơ quan chứng nhận (CA) như Verizon, DigiCert.
Tuy nhiên, nhóm tội phạm mạng đứng sau ransomware CTB-Locker đã giả mạo các chứng thực số thật. Các phiên bản CTB ransomware có thể thực thi được trong Windows đi kèm với một chữ ký số trước khi ký kết.
Sử dụng Encryptor Raas cho chứng nhận mã ký số
Các nhóm đứng sau CBT được cho là đã có được lợi thế từ Jeiphoos, một tin tặc ransomware cho phép mọi người tiếp cận trang ẩn danh Tor "Encryptor RAAS" của hắn. Trang này chuyên cung cấp chứng thực chữ ký số miễn phí và chữ ký sử dụng các chứng thực ký số bị đánh cắp.
Tấn công một website doanh nghiệp có thể gây ra những ảnh hưởng về kinh tế cho các dịch vụ đang được cung cấp tới người dùng thông qua website, làm nghiêm trọng thêm vấn đề. Tuy nhiên, vấn đề nghiêm trọng lại là các vụ tấn công POS (Point of Sale), nếu một trang web thương mại điện tử bị tấn công.
Hiện nay, nhiều trang web đã bị lây nhiễm "CBT-Locker website." Theo phân tích, nhiều trang web wordpress (hầu hết các trang web tĩnh) đã bị phát hiện là mục tiêu của CBT Locker website.
Vì mã độc tống tiền này không nghiêm trọng như ransomware Locky có sử dụng Macro, nên người quản trị web có thể sử dụng file backup để khôi phục các trang này.
Nguồn: The Hacker News