Được phát hiện bởi các nhà nghiên cứu bảo mật của Kaspersky thông qua hệ thống giám sát hoạt động Darknet Threat Intelligence của công ty an ninh mạng này, Luna dòng mã độc tống tiền mới dường như được thiết kế để dành riêng cho các tin tặc Nga.
Kaspersky cho biết: “Một đoạn quảng cáo trên diễn đàn dark web chỉ ra rằng Luna chỉ làm việc với các chi nhánh của Nga. Ngoài ra, ghi chú tiền chuộc được mã hóa cứng bên trong tệp binary mắc một vài lỗi chính tả. Do đó, chúng tôi đưa ra giả thuyết các tin tặc phát triển Luna là những người đến từ Nga. Mã độc Luna thêm phần mở rộng .luna vào tất cả các tệp được mã hóa, với khả năng hạn chế dựa trên các tùy chọn dòng lệnh có sẵn, có thể thấy Luna còn khá đơn giản và vẫn đang trong quá trình phát triển".
Tùy chọn dòng lệnh của mã độc tống tiền Luna
Tuy nhiên, Luna sử dụng một lược đồ mã hóa không phổ biến, kết hợp trao đổi khóa Elliptic Curve Diffie-Hellman X25519 nhanh chóng và an toàn bằng cách sử dụng Curve25519 với thuật toán mã hóa đối xứng Advanced Encryption Standard (AES). Luna được phát triển dựa trên ngôn ngữ đa nền tảng Rust và có thể lây nhiễm sang nhiều nền tảng với rất ít thay đổi đối với mã nguồn, đồng thời tránh các nỗ lực phân tích tĩnh.
Các nhà nghiên cứu của Kaspersky cho biết thêm: “Phiên bản mã độc Luna trên Linux và ESXi đều được biên dịch bằng cùng một mã nguồn, với một số thay đổi nhỏ so với phiên bản Windows. Phần còn lại của mã không có thay đổi đáng kể”.
Vì mã độc Luna mới được phát hiện nên vẫn còn ít dữ liệu về nạn nhân của mã độc tống tiền này, Kaspersky đang tích cực để theo dõi và điều tra thêm về hoạt động của Luna. Với sự xuất hiện của Luna giúp xác nhận thêm rằng xu hướng mới nhất được các băng nhóm tội phạm mạng áp dụng, đó là phát triển mã độc tống tiền đa nền tảng sử dụng các ngôn ngữ như Rust và Golang để tạo ra mã độc hại có khả năng nhắm mục tiêu vào nhiều hệ điều hành với rất ít hoặc không có thay đổi nào.
Black Basta là một biến thể mã độc tống tiền tương đối mới được viết bằng C++, phát hiện lần đầu tiên vào tháng 2/2022. Nó tồn tại ở 2 phiên bản, phiên bản đầu tiên dành cho Windows và Linux, phiên bản thứ hai chủ yếu nhắm mục tiêu đến ảnh các máy ảo ESXi.
Một tính năng nổi bật của phiên bản Windows là nó khởi động hệ thống ở chế độ an toàn (safe mode) trước khi mã hóa. Điều này cho phép mã độc tránh bị phát hiện bởi các giải pháp bảo mật, khi nhiều giải pháp trong số đó không hoạt động ở chế độ an toàn. Để bắt đầu ở chế độ này, Black Basta thực hiện các lệnh sau:
C:\Windows\SysNative\bcdedit /set safeboot networkChanges
C:\Windows\System32\bcdedit /set safeboot networkChanges
Đáng chú ý, Black Basta hỗ trợ tùy chọn dòng lệnh “-forcepath” và được sử dụng để mã hóa chỉ các tệp trong một thư mục cụ thể. Bất cứ khi nào Black Basta mã hóa tệp, nó cũng sẽ sửa đổi tên gốc của tệp đó. Các nạn nhân có thể thấy rằng phần lớn các tệp được lưu trữ đều có phần mở rộng tệp “.basta”.
Bên cạnh đó, mã độc này sẽ thay đổi nền màn hình bằng một hình ảnh mới, đồng thời tạo một tệp văn bản có tên là “readme.txt”, với mục đích thông báo và hướng dẫn nạn nhân thực hiện các thao tác để nhận thêm thông tin về các bước xử lý tiếp theo. Trong thông báo này, dữ liệu sẽ được các tin tặc công bố trên trang web chuyên dụng được lưu trữ trên mạng TOR nếu nạn nhân không trả tiền chuộc.
Ghi chú thông báo mã hóa dữ liệu Black Basta của phiên bản trước và hiện tại
Các phiên bản trước của Black Basta chứa một thông báo khác với thông báo hiện đang được sử dụng, cho thấy những điểm tương đồng với ghi chú đòi tiền chuộc được mã độc tống tiền Conti sử dụng. Điều này không quá bất thường bởi vì Black Basta vẫn đang trong chế độ phát triển vào thời điểm đó.
Trong một báo cáo khác được công bố vào tháng 6/2022, Kaspersky đã thảo luận về phiên bản Black Basta trên Linux. Nó được thiết kế đặc biệt để nhắm mục tiêu các hệ thống ESXi, nhưng cũng có thể được sử dụng để mã hóa chung cho các hệ thống Linux, mặc dù điều đó sẽ hơi khó khăn.
Tương tự như phiên bản trên Windows, phiên bản Linux chỉ hỗ trợ một tùy chọn dòng lệnh: “-forcepath”. Khi nó được sử dụng, chỉ thư mục được chỉ định mới được mã hóa. Nếu không có tùy chọn nào được đưa ra, mã độc sẽ mã hóa thư mục “/vmfs/volume”. Cấu trúc mã hóa cho phiên bản này sử dụng ChaCha20 và đa luồng để tăng tốc quá trình mã hóa với sự trợ giúp của các bộ xử lý khác nhau trong hệ thống. Trước khi mã hóa tệp, Black Basta sử dụng lệnh “chmod” để truy cập vào tệp đó.
Thông tin về các nạn nhân được công bố bởi Black Basta cho thấy, nhóm tin tặc này đã tấn công hơn 40 nạn nhân khác nhau trong một khoảng thời gian rất ngắn, trong số đó có các công ty hoạt động trong các lĩnh vực sản xuất, điện tử,… Theo Kaspersky, mục tiêu của Black Basta là một số quốc gia như Mỹ, Australia, các khu vực Mỹ Latinh, châu Âu và châu Á.
Các khu vực tấn công của Black Basta
Để bảo vệ bản thân và doanh nghiệp trước các cuộc tấn công bằng mã độc tống tiền, Kaspersky đề xuất và khuyến nghị như sau:
Đinh Hồng Đạt
13:00 | 22/09/2022
08:00 | 23/06/2022
13:00 | 16/09/2022
10:00 | 15/12/2022
11:00 | 11/11/2022
07:00 | 20/05/2022
14:00 | 29/09/2022
10:00 | 14/06/2022
12:00 | 23/09/2022
17:00 | 20/06/2022
09:00 | 08/08/2023
14:00 | 28/05/2024
09:00 | 09/08/2024
Theo thông báo được Thủ tướng Pháp Gabriel Attal đưa ra ngày 31/7, Cơ quan An ninh nước này đã phát hiện và ngăn chặn hàng chục vụ tấn công mạng liên quan đến Olympic Paris 2024.
15:00 | 26/07/2024
Ngày 20/7, cảnh sát Tây Ban Nha thông báo đã bắt giữ ba tin tặc được cho là thực hiện vụ tấn công mạng nhằm vào Tây Ban Nha và các nước thành viên khác trong Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) với các mục đích khủng bố.
09:00 | 10/06/2024
Ngày 08/6, trang web chia sẻ video nổi tiếng của Nhật Bản Niconico đã tạm dừng cung cấp các dịch vụ sau khi hứng chịu một cuộc tấn công mạng quy mô lớn.
07:00 | 05/06/2024
Vào 3 giờ 10 phút sáng ngày 04/6, hệ thống công nghệ thông tin của Tổng công ty Bưu điện Việt Nam (Vietnam Post) bị tấn công mã hóa dữ liệu, gây ảnh hưởng trực tiếp đến việc thực hiện các hoạt động liên quan đến dịch vụ bưu chính chuyển phát. Các dịch vụ tài chính bưu chính, hành chính công và phân phối hàng hóa đến thời điểm này vẫn hoạt động bình thường.
Nhà nghiên cứu bảo mật Alon Leviev của SafeBreach Labs đã trình bày một cách tấn công vào kiến trúc Microsoft Windows Update biến các lỗ hổng đã được sửa thành lỗ hổng zero-day.
14:00 | 17/09/2024