Biến thể mới này được theo dõi với tên gọi là “Qilin.B”, theo nhà nghiên cứu, mã độc tống tiền này hiện hỗ trợ mã hóa AES-256-CTR với khả năng AESNI (phần mở rộng cho kiến trúc tập lệnh x86) cho các CPU hỗ trợ, giúp tăng tốc quá trình mã hóa, trong khi vẫn giữ lại Chacha20 cho các hệ thống cũ hơn không có phần cứng phù hợp cho AESNI, đảm bảo mã hóa mạnh mẽ trong mọi trường hợp.
Ngoài ra, RSA-4096 với lớp đệm OAEP (padding) được sử dụng để bảo vệ khóa mã hóa, khiến việc giải mã tệp mà không có khóa riêng của kẻ tấn công hoặc giá trị Seed đã thu thập được là không thể.
Qilin còn được gọi là Agenda, lần đầu tiên được cộng đồng an ninh mạng chú ý vào tháng 7 và tháng 8/2022, với các phiên bản đầu tiên được viết bằng Golang trước khi chuyển sang ngôn ngữ Rust. Phần mềm độc hại này đã phát triển với các kỹ thuật mã hóa tiên tiến và khả năng trốn tránh được tăng cường. Nó đặc biệt nhắm vào các hệ thống quan trọng như sao lưu và cơ sở hạ tầng mạng, làm phức tạp đáng kể các nỗ lực phục hồi cho các tổ chức.
Các cuộc tấn công mới nhất liên quan đến hoạt động mã độc tống tiền này đã đánh cắp thông tin đăng nhập lưu trữ trong trình duyệt Google Chrome trên một nhóm nhỏ các điểm cuối (endpoint) bị xâm phạm, đánh dấu một sự thay đổi nhỏ với các cuộc tấn công tống tiền kép thông thường.
Các mẫu biến thể Qilin.B được Halcyon phân tích cho thấy nó được xây dựng dựa trên các phiên bản cũ hơn với khả năng mã hóa nâng cao và chiến thuật hoạt động vận hành được cải thiện hơn.
Điều này bao gồm việc sử dụng AES-256-CTR hoặc Chacha20 để mã hóa, ngoài ra còn thực hiện các bước để chống phân tích và phát hiện bằng cách chấm dứt các dịch vụ liên quan đến công cụ bảo mật, xóa Windows Event Logs và tự xóa chính nó.
Qilin.B cũng tích hợp các tính năng để hủy các tiến trình được liên kết với các dịch vụ sao lưu và ảo hóa như Veeam, SQL và SAP, cũng như xóa các bản sao lưu ổ đĩa, do đó làm phức tạp thêm các nỗ lực khôi phục.
Halcyon cho biết: “Sự kết hợp giữa các cơ chế mã hóa nâng cao, chiến thuật né tránh phòng thủ hiệu quả và sự gián đoạn liên tục của các hệ thống sao lưu của Qilin.B khiến nó trở thành một biến thể mã độc tống tiền đặc biệt nguy hiểm”.
Qilin.B nhắm vào cả thư mục cục bộ và thư mục mạng, tạo ra các ghi chú đòi tiền chuộc cho mỗi thư mục được xử lý, bao gồm cả ID nạn nhân trong tiêu đề.
Thông báo tiền chuộc
Để đạt được phạm vi tối đa, phần mềm độc hại đã sửa đổi Registry bằng một mục riêng để cho phép chia sẻ ổ đĩa mạng giữa các tiến trình. Mặc dù những tính năng trên không phải là mới đối với các dòng mã độc tống tiền, nhưng chúng có thể gây ra tác động nghiêm trọng và sâu rộng khi được kết hợp với các phần mềm độc hại khác trong những cuộc tấn công mạng do các tác nhân đe dọa gây ra.
Vũ Mạnh Hà
(Tổng hợp)
13:00 | 25/10/2024
14:00 | 14/01/2025
09:00 | 24/01/2025
22:00 | 26/01/2025
13:00 | 11/11/2024
13:00 | 25/10/2024
13:00 | 23/10/2024
08:00 | 29/01/2025
Một chiến thuật tấn công mới đang được tin tặc sử dụng thông qua cách thức "giả mạo mô phỏng giao dịch" để đánh cắp tiền điện tử, mới đây trên ScamSniffer (trang web chuyên đăng tải các bài báo về phòng, chống lừa đảo mạng) đã công bố một vụ tấn công sử dụng hình thức này gât thiệt hại 143,45 Ethereum (ETH) với trị giá khoảng 460.000 USD.
14:00 | 24/01/2025
Một lỗ hổng mới trong cơ chế UEFI Secure Boot, được theo dõi với mã CVE-2024-7344, đã được phát hiện, cho phép kẻ tấn công triển khai bootkit ngay cả khi Secure Boot đang được kích hoạt.
13:00 | 11/11/2024
Theo trang TechSpot, FakeCall là một loại mã độc Android chuyên tấn công tài khoản ngân hàng khét tiếng trong những năm qua đã quay trở lại với 13 biến thể mới, sở hữu nhiều tính năng nâng cao, là mối đe dọa với người dùng toàn cầu.
14:00 | 28/10/2024
Nhóm tin tặc Awaken Likho hay còn được gọi với cái tên Core Werewolf đã quay trở lại và tiếp tục nhắm mục tiêu vào các cơ quan chính phủ, doanh nghiệp lớn. Bài viết này sẽ tiến hành phân tích kỹ thuật tấn công của nhóm dựa trên công bố của hãng bảo mật Kaspersky.
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 10/02/2025