maldet
VIP Members
-
31/08/2016
-
112
-
103 bài viết
Malware KillDisk chuyển hoá thành ransomware
Một biến thể mới được phát hiện của phần mềm độc hại KillDisk đã chuyển sang mã hóa tập tin và đòi tiền chuộc thay vì chỉ xóa hoàn toàn dữ liệu như trước kia. Kể từ khi KillDisk được sử dụng trong các cuộc tấn công nhằm vào các hệ thống điều khiển công nghiệp (ICS), các chuyên gia lo ngại rằng kẻ tấn công đe dọa có thể đưa ransomware vào lĩnh vực công nghiệp, một lĩnh vực rất "béo bở" đối với tin tặc.
Phiên bản trước của KillDisk chỉ xoá hoàn toàn ổ đĩa cứng, làm cho hệ thống không thể hoạt động được. Tuy nhiên mới đây, công ty an ninh mạng công nghiệp CyberX đã phát hiện biến thể mới của KillDisk mã hóa các tập tin bằng cách sử dụng kết hợp các thuật toán mã hoá RSA và AES. Cụ thể, mỗi tập tin được mã hóa với một khoá AES bí mật và các khoá này được mã hóa lần nữa bằng thuật toán RSA và lưu kết quả vào trong malware.
Phó chủ tịch phụ trách mảng nghiên cứu của CyberX, David Atch cho rằng, biến thể KillDisk họ đã phân tích được viết rất tinh vi. Code của nó tương tự như các mẫu trước đó và chức năng của nó là gần như nhau.
Các ransomware được thiết kế để mã hóa các loại tập tin, bao gồm tài liệu, cơ sở dữ liệu, mã nguồn, ảnh, email và các tập tin media. Cả phân vùng cục bộ của máy tính và thư mục chia sẻ trong mạng LAN cũng đều bị ảnh hưởng.
Nạn nhân được yêu cầu trả 222 Bitcoins (tương đương $ 210,000) để phục hồi các dữ liệu của họ. Do đó, các chuyên gia cho rằng những kẻ tấn công đang nhắm mục tiêu vào các tổ chức có nguồn tài chính lớn mạnh.
Địa chỉ email mà kẻ tấn công để liên hệ nộp tiền chuộc là của Lelantos, một nhà cung cấp dịch vụ email riêng tư chỉ sử dụng được thông qua mạng ẩn danh Tor. Địa chỉ Bitcoin để gửi tiền chuộc cho đến hiện tại chưa thực hiện bất kỳ giao dịch nào.
Atch cũng cho biết, kẻ tấn công sử dụng cùng một khoá RSA công khai cho tất cả các nạn nhân. Nếu nạn nhân nhận được khoá bí mật để giải mã dữ liệu thì sẽ có thể giải mã cho tất cả các nạn nhân khác.
Theo CyberX, phần mềm độc hại này đòi hỏi đặc quyền nâng cao và đăng ký chính nó như một dịch vụ trong hệ điều hành. KillDisk đóng nhiều process khác nhau, trừ các tiến trình hệ thống quan trọng và các tiến trình liên quan đến các phần mềm diệt virus để đảm bảo hệ thống vẫn vận hành được và tránh sự phát hiện của các phần mềm diệt virus.
Phiên bản trước của KillDisk chỉ xoá hoàn toàn ổ đĩa cứng, làm cho hệ thống không thể hoạt động được. Tuy nhiên mới đây, công ty an ninh mạng công nghiệp CyberX đã phát hiện biến thể mới của KillDisk mã hóa các tập tin bằng cách sử dụng kết hợp các thuật toán mã hoá RSA và AES. Cụ thể, mỗi tập tin được mã hóa với một khoá AES bí mật và các khoá này được mã hóa lần nữa bằng thuật toán RSA và lưu kết quả vào trong malware.
Phó chủ tịch phụ trách mảng nghiên cứu của CyberX, David Atch cho rằng, biến thể KillDisk họ đã phân tích được viết rất tinh vi. Code của nó tương tự như các mẫu trước đó và chức năng của nó là gần như nhau.
Các ransomware được thiết kế để mã hóa các loại tập tin, bao gồm tài liệu, cơ sở dữ liệu, mã nguồn, ảnh, email và các tập tin media. Cả phân vùng cục bộ của máy tính và thư mục chia sẻ trong mạng LAN cũng đều bị ảnh hưởng.
Nạn nhân được yêu cầu trả 222 Bitcoins (tương đương $ 210,000) để phục hồi các dữ liệu của họ. Do đó, các chuyên gia cho rằng những kẻ tấn công đang nhắm mục tiêu vào các tổ chức có nguồn tài chính lớn mạnh.
Địa chỉ email mà kẻ tấn công để liên hệ nộp tiền chuộc là của Lelantos, một nhà cung cấp dịch vụ email riêng tư chỉ sử dụng được thông qua mạng ẩn danh Tor. Địa chỉ Bitcoin để gửi tiền chuộc cho đến hiện tại chưa thực hiện bất kỳ giao dịch nào.
Atch cũng cho biết, kẻ tấn công sử dụng cùng một khoá RSA công khai cho tất cả các nạn nhân. Nếu nạn nhân nhận được khoá bí mật để giải mã dữ liệu thì sẽ có thể giải mã cho tất cả các nạn nhân khác.
Theo CyberX, phần mềm độc hại này đòi hỏi đặc quyền nâng cao và đăng ký chính nó như một dịch vụ trong hệ điều hành. KillDisk đóng nhiều process khác nhau, trừ các tiến trình hệ thống quan trọng và các tiến trình liên quan đến các phần mềm diệt virus để đảm bảo hệ thống vẫn vận hành được và tránh sự phát hiện của các phần mềm diệt virus.