Breaking News

[Cảnh Báo] Phát hiện mã độc mã hoá tống tiền mới nhắm mục tiêu vào các thiết bị lưu trữ mạng (NAS)

Một biến thể mã độc mã hoá tống tiền (ransomware) mới vừa được phát hiện đang nhắm mục tiêu vào các thiết bị lưu trữ mạng (NAS) chạy trên nền Linux do QNAP System - một công ty có trụ sở tại Đài Loan sản xuất, để mã hoá dữ liệu cùa người dùng và đòi tiền chuộc.

[Cảnh Báo] Phát hiện mã độc mã hoá tống tiền mới nhắm mục tiêu vào các thiết bị lưu trữ mạng (NAS) - CyberSec365.org
[Cảnh Báo] Phát hiện mã độc mã hoá tống tiền mới nhắm mục tiêu vào các thiết bị lưu trữ mạng (NAS) - CyberSec365.org
Là một thiết bị lý tưởng dành cho các hộ gia đình và các doanh nghiệp nhỏ, các thiết bị NAS được xem là thiết bị lưu trữ chuyên dụng và sử dụng tốt thông qua mạng Internet, cho phép người dùng lưu trữ chia sẻ và sao lưu dữ liệu của mình trên nhiều thiết bị khác nhau.
Biến thể mã độc này được phát hiện bởi các nhà nghiên cữu bảo mật tại 2 hãng bảo mật là Intezer và Anomali. Mẫu biến thể mã độc mã hoá tống tiền mới này nhắm mục tiêu vào các thiết bị NAS QNAP không được bảo vệ bằng cách tiến hành các cuộc tấn công brute-force vào thông tin đăng nhập SSH hoặc khai thác các lỗ hổng bảo mật tồn tại trong thiết bị.
Được đặt tên là "QNAPCrypt" bởi hãng bảo mật Intezer và "eCh0raix" bởi hãng bảo mật Anomali, mã độc mã hoá tống tiền mới này được viết bằng ngôn ngữ lập trình Go và mã hoá các tệp có phần mở rộng được nhắm mục tiêu bằng mã hoá AES và thêm vào chúng phần mở rộng .encrypt.
Tuy nhiên, nếu một thiết bị NAS bị xâm nhập được xác định đang đặt tại Belarus, Ukraine hoặc Nga, mã độc mã hoá tống tiền này sẽ chấm dứt quá trình mã hoá và thoát ra mà không gây bất kỳ tổn hại nào cho nạn nhân.
[Cảnh Báo] Phát hiện mã độc mã hoá tống tiền mới nhắm mục tiêu vào các thiết bị lưu trữ mạng (NAS) - CyberSec365.org
[Cảnh Báo] Phát hiện mã độc mã hoá tống tiền mới nhắm mục tiêu vào các thiết bị lưu trữ mạng (NAS) - CyberSec365.org
Sau khi lây nhiễm, mã độc mã hoá tống tiền sẽ tiến hành kết nối với máy chủ điều khiển và kiểm soát (C&C) từ xa, được đặt trên mạng ẩn danh Tor, sử dụng Tor proxy SOCKS5 để thông báo cho tin tặc về nạn nhân mới.
"Based on the analysis it is clear that the proxy has been set up by the malware author to provide Tor network access to the malware without including Tor functionality in the malware," the Anomali researchers say
Trước khi tiến hành mã hoá tệp, mã độc má hoá sẽ yêu cầu một địa chỉ ví Bitcoin định trước để nạn nhân gởi tiền chuộc. Nếu Máy chủ không còn địa chỉ ví bitcoint nào, mã độc mã hoá sẽ không tiến hành mã hoá tệp và chờ tin tặc tạo thêm ví bitcoin mới
[Cảnh Báo] Phát hiện mã độc mã hoá tống tiền mới nhắm mục tiêu vào các thiết bị lưu trữ mạng (NAS) - CyberSec365.org
[Cảnh Báo] Phát hiện mã độc mã hoá tống tiền mới nhắm mục tiêu vào các thiết bị lưu trữ mạng (NAS) - CyberSec365.org
Thật thú vị, các nhà nghiên cứu tại Intezer đã tận dụng cơ chế này và tạo ra một kịch bản cho phép họ lừa máy chủ C & C của kẻ tấn công để gán tất cả các địa chỉ bitcoin có sẵn cho hàng trăm nạn nhân ảo, từ đó chặn phần mềm ransomware mã hóa các tệp cho nạn nhân hợp pháp mới
"Since the authors behind this ransomware were delivering one Bitcoin wallet per victim from a static pool of already generated wallets, we could replicate the infection packets to retrieve all of the wallets until they had no further wallets under their control," Intezer said.
"We were able to collect a total of 1,091 unique wallets meant to be delivered to new victims distributed among 15 different campaigns."
[Cảnh Báo] Phát hiện mã độc mã hoá tống tiền mới nhắm mục tiêu vào các thiết bị lưu trữ mạng (NAS) - CyberSec365.org
[Cảnh Báo] Phát hiện mã độc mã hoá tống tiền mới nhắm mục tiêu vào các thiết bị lưu trữ mạng (NAS) - CyberSec365.org
Nếu ransomware nhận được ví bitcoin duy nhất của nó, nó sẽ tạo ra chuỗi ngẫu nhiên gồm 32 ký tự để tạo khóa bí mật AES-256 và sau đó sử dụng nó để mã hóa tất cả các tệp được lưu trữ trên thiết bị NAS được nhắm mục tiêu bằng thuật toán AES trong Chế độ phản hồi mật mã (CFB), loại bỏ các tập tin gốc.
Các nhà nghiên cứu cũng lưu ý rằng trước khi mã hoá các tệp tin trên thiết bị NAS được nhắm mục tiêu, mã độc mã hoá tống tiền cũng cố gắng tắt các tiến trình cụ thể bao gồm apache2, httpd, nginx, MySQL và PostgreSQL.
Xin nhắc lại, chúng tôi khuyên người dùng không nên, vô tình hay không cần thiết, kết nối trực tiếp các thiết bị NAS của họ với Internet và cũng cho phép cập nhật tự động để luôn cập nhật chương trình cơ sở.
Ngoài ra, người dùng luôn được khuyến nghị sử dụng mật khẩu mạnh để bảo mật thiết bị NAS của họ ngay từ đầu và thường xuyên sao lưu thông tin được lưu trữ trên các thiết bị này, để trong trường hợp có thảm họa, dữ liệu quan trọng có thể được phục hồi mà không phải trả tiền chuộc cho kẻ tấn công.
Nguồn: The Hacker News



Không có nhận xét nào