Breaking News

[Cảnh Báo] LockerGoga Ransomware - Biến thể mã độc mã hoá tống tiền mới nhắm mục tiêu vào các doanh nghiệp

Trong thời gian gần đây, một biến thể mã độc mã hoá tống tiền (Ransomware) mới có tên gọi LockerGoga đang liên tục tấn công vảo các tổ chức và doanh nghiệp.  Mẫu mã độc này được phát hiện lần đầu tiên vào tháng 1/2019 khi tấn công vào Altran Technologies. Vài ngày sau, Norsk Hydro - một công ty sản xuất nhôm nổi tiếng cũng bị tấn công bằng mã độc mã hoá tống tiền LockerGoga.

LockerGoga Ransomware - Biến thể mã độc mã hoá tống tiền mới nhắm mục tiêu vào các doanh nghiệp - Cybersec365.org
LockerGoga Ransomware - Biến thể mã độc mã hoá tống tiền mới nhắm mục tiêu vào các doanh nghiệp - Cybersec365.org
Theo các nhà nghiên cứu bảo mật thuộc hãng bảo mật Trend Micro, LockerGoga là phiên bản mã độc mã hoá cực mạnh. Mã độc này khi lây nhiễm vào máy tính nạn nhân sẽ tiến hành tắt toàn bộ kết nối WiFi và Ethernet của hệ thống, khiến toàn bọi hệ thống bị mất kết nối.
“LockerGoga enumerates the infected system’s Wi-Fi and/or Ethernet network adapters. It will then attempt to disable them through the CreateProcessWfunction via command line (netsh.exe interface set interface DISABLE) to disconnect the system from any outside connection.”
Ngay sau đó, mã độc này tiến hành thay đổi mật khẩu tài khoản người dùng, khiến người dùng bị đăng xuất và mã độc tiến hành mã hoá dữ liệu thông qua AES-256 or RSA encryption.
“Each time LockerGoga encrypts a file, a registry key (HKEY_CURRENT_USER\SOFTWARE\Microsoft\RestartManager\Session00{01-20}) is modified.”
Các tập tin bị mã hoá sẽ có phần đuôi mở rộng “.locker”. Sau khi mã hoá xong, một tập tin “README_LOCKED” hoặc “README_NOW” để hướng đẫn người dùng trả tiền chuộc.
Theo Pedro Tavares, một nhà nghiên cứu thuộc SI-LAB, cho biết hiện tại mã độc mã hoá LockerGoga rất khó để phát hiện bằng các phần mềm AntiVirus, kể cả Microsoft Windows Defender.
Ngoài các tập tin dữ liệu như Word, bảng tính, PowerPoint, PDF, các file hình ảnh và video, mã độc này cũng có thể mã hoá các tệp JavaScript và Python.
Ngoài ra, mã độc mã hoá LockerGoga được phát tán thông qua các email chứa mã độc, nhắm mục tiêu trực tiếp vào các doanh nghiệp. Không giống như hầu hết mã độc mã hoá tống tiền khác, LockerGoga không cần kết nối Internet, nó cũng không sử dụng máy chủ C&C. Sau khi mã hoá dữ liệu, mã độc này yêu cầu nạn nhân liên hệ với tin tặc để biết được số tiền chuộc chứ không đưa ra mức tiền chuộc mặc định như các mẫu mã độc khác
Nguồn: Lastest Hacking News

Không có nhận xét nào