Phát hiện mã độc tống điền B0r0nt0K - nhắm mục tiêu vào server Linux đòi tiền chuộc
B0r0nt0K - Một biến thể mã độc mã hoá tống tiền, vừa đựa phát hiện, nhắm mục tiêu vào các trang web sử dụng Linux Server để đòi tiền chuộc.
Cụ thể, một số người dùng trên diễn đàn BleepingComputer ngày 24/2/2019 cho biết một website của họ đã bị nhiễm mã độc mã hoá tống tiền B0r0nt0K khi đang chạy hệ điều hành Ubuntu 16.04. Sau khi lây nhiễm, mã độc này đổi đuôi của tất cả các tập tin thành .rontok đồng thời phát đi thông báo, yêu cầu nạn nhân trả 20 Bitcoin (khoảng 75.000 USD) tiền chuộc để lấy lại dữ liệu.
Phát hiện mã độc tống điền B0r0nt0K - nhắm mục tiêu vào server Linux đòi tiền chuộc - Cybersec365.org |
Theo Michael Gillespie, nhà nghiên cứu bảo mật thuộc MalwareHunterTeam, cho biết mẫu mã độc B0r0nt0K này có thể hoạt động trên cả môi trường Linux và Windows. Sau khi lây nhiễm vào máy nạn nhân, nó sẽ tiến hành mã hoá các tập tin dưới dạng Base64
Phát hiện mã độc tống điền B0r0nt0K - nhắm mục tiêu vào server Linux đòi tiền chuộc - Cybersec365.org |
Tập tin cũng sẽ được đổi tên bằng cách mã hóa tên tệp, mã hóa base64, mã hóa url và cuối cùng gắn phần mở rộng .rontok vào tên tệp mới. Một ví dụ về tên tệp được mã hóa là zmAAwbbilFw69b7ag4G4bQ% 3D% 3D.rontok.
Sau đó, người dùng có thể truy cập website https://borontok.uk/ để tiến hành thanh toán và lấy lại dữ liệu cuả mình. Sau khi truy cập, website yêu cầu người dùng cung cấp ID cá nhận để tiếp tục truy cập.
Phát hiện mã độc tống điền B0r0nt0K - nhắm mục tiêu vào server Linux đòi tiền chuộc - Cybersec365.org |
Sau khi nhập ID, người dùng sẽ được cung cấp thông tin thanh toán bao gồm số tiền chuộc bằng Bitcoin, địa chỉ ví Bitcoin để thanh toán và email info@botontok.uk để có thể liên hệ với kẻ tấn công. Trong trường hợp này số tiền chuộc được yêu cầu là 20 BTC (khoảng 75.000 USD)
Phát hiện mã độc tống điền B0r0nt0K - nhắm mục tiêu vào server Linux đòi tiền chuộc - Cybersec365.org |
Khi tiến hành kiểm tra Source của trang thanh toán, các nhà nghiên cứu phát hiện ra một ghi chú được nhúng bên trong có nội dung "Vietnamese Hacker". Điều này chứng tỏ mã độc này được phát triển bởi một tin tặc người Việt.
Phát hiện mã độc tống điền B0r0nt0K - nhắm mục tiêu vào server Linux đòi tiền chuộc - Cybersec365.org |
Hiện tại, các nhà nghiên cứu vẫn chưa xác định được hướng lây nhiễm chính xác của mã độc này.
Nguồn: Bleeping Computer
Không có nhận xét nào