Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
TrickBot phát tán ransomware mới có tên Diavol
Các nhà nghiên cứu Fortinet phát hiện payload ransomware Diavol và Conti cố gắng xâm nhập các hệ thống khách hàng của họ vào đầu tháng này.
Trojan ngân hàng TrickBot được phát hiện lần đầu năm 2016, sử dụng các mô-đun khác nhau để thực hiện các hoạt động độc hại như đánh cắp thông tin xác thực, tấn công ransomware.
Ransomware Diavol được phát tán trong một cuộc tấn công thực tế. Hiện vẫn chưa rõ nguồn gốc của sự xâm nhập. Tuy nhiên, mã nguồn payload có những điểm tương đồng với của Conti, ngay cả khi ghi chú đòi tiền chuộc sử dụng lại một số ngôn ngữ từ ransomware Egregor.
Các nhà nghiên cứu cho biết: “Diavol khá đặc biệt, hoạt động bằng cách sử dụng APC chế độ người dùng mà không có thuật toán mã hóa đối xứng. Thông thường, các tác giả ransomware sẽ đặt mục tiêu hoàn thành việc mã hóa trong thời gian ngắn nhất. Các thuật toán mã hóa bất đối xứng không phải là lựa chọn ưu tiên vì chúng chậm hơn đáng kể so với các thuật toán đối xứng".
Một đặc điểm khác của ransomware là sự phụ thuộc vào kỹ thuật chống phân tích để làm xáo trộn mã dưới dạng hình ảnh bitmap, từ đó các tiến trình được tải vào bộ đệm với quyền thực thi.
Trước khi khóa tệp và thay đổi hình nền máy tính bằng thông báo đòi tiền chuộc, một số chức năng chính do Diavol thực hiện bao gồm đăng ký thiết bị nạn nhân với máy chủ từ xa, chấm dứt các quy trình đang chạy, tìm ổ đĩa cục bộ và tệp trong hệ thống để mã hóa và ngăn chặn phục hồi bằng cách xóa các bản sao shadow.
"TrickBot dùng lại mô-đun đánh cắp thông tin ngân hàng, đồng thời cập nhật để nhắm tới các web kiểu Zeus. Điều này cho thấy hacker đang tiếp tục nhắm mục tiêu tài chính và có kế hoạch mở rộng phạm vi nạn nhân”, chuyên gia cho biết.
Ransomware Diavol được phát tán trong một cuộc tấn công thực tế. Hiện vẫn chưa rõ nguồn gốc của sự xâm nhập. Tuy nhiên, mã nguồn payload có những điểm tương đồng với của Conti, ngay cả khi ghi chú đòi tiền chuộc sử dụng lại một số ngôn ngữ từ ransomware Egregor.
Các nhà nghiên cứu cho biết: “Diavol khá đặc biệt, hoạt động bằng cách sử dụng APC chế độ người dùng mà không có thuật toán mã hóa đối xứng. Thông thường, các tác giả ransomware sẽ đặt mục tiêu hoàn thành việc mã hóa trong thời gian ngắn nhất. Các thuật toán mã hóa bất đối xứng không phải là lựa chọn ưu tiên vì chúng chậm hơn đáng kể so với các thuật toán đối xứng".
Một đặc điểm khác của ransomware là sự phụ thuộc vào kỹ thuật chống phân tích để làm xáo trộn mã dưới dạng hình ảnh bitmap, từ đó các tiến trình được tải vào bộ đệm với quyền thực thi.
Trước khi khóa tệp và thay đổi hình nền máy tính bằng thông báo đòi tiền chuộc, một số chức năng chính do Diavol thực hiện bao gồm đăng ký thiết bị nạn nhân với máy chủ từ xa, chấm dứt các quy trình đang chạy, tìm ổ đĩa cục bộ và tệp trong hệ thống để mã hóa và ngăn chặn phục hồi bằng cách xóa các bản sao shadow.
"TrickBot dùng lại mô-đun đánh cắp thông tin ngân hàng, đồng thời cập nhật để nhắm tới các web kiểu Zeus. Điều này cho thấy hacker đang tiếp tục nhắm mục tiêu tài chính và có kế hoạch mở rộng phạm vi nạn nhân”, chuyên gia cho biết.
Nguồn: The Hacker News