Biến thể mới này được theo dõi với tên gọi là “Qilin.B”, theo nhà nghiên cứu, mã độc tống tiền này hiện hỗ trợ mã hóa AES-256-CTR với khả năng AESNI (phần mở rộng cho kiến trúc tập lệnh x86) cho các CPU hỗ trợ, giúp tăng tốc quá trình mã hóa, trong khi vẫn giữ lại Chacha20 cho các hệ thống cũ hơn không có phần cứng phù hợp cho AESNI, đảm bảo mã hóa mạnh mẽ trong mọi trường hợp.
Ngoài ra, RSA-4096 với lớp đệm OAEP (padding) được sử dụng để bảo vệ khóa mã hóa, khiến việc giải mã tệp mà không có khóa riêng của kẻ tấn công hoặc giá trị Seed đã thu thập được là không thể.
Qilin còn được gọi là Agenda, lần đầu tiên được cộng đồng an ninh mạng chú ý vào tháng 7 và tháng 8/2022, với các phiên bản đầu tiên được viết bằng Golang trước khi chuyển sang ngôn ngữ Rust. Phần mềm độc hại này đã phát triển với các kỹ thuật mã hóa tiên tiến và khả năng trốn tránh được tăng cường. Nó đặc biệt nhắm vào các hệ thống quan trọng như sao lưu và cơ sở hạ tầng mạng, làm phức tạp đáng kể các nỗ lực phục hồi cho các tổ chức.
Các cuộc tấn công mới nhất liên quan đến hoạt động mã độc tống tiền này đã đánh cắp thông tin đăng nhập lưu trữ trong trình duyệt Google Chrome trên một nhóm nhỏ các điểm cuối (endpoint) bị xâm phạm, đánh dấu một sự thay đổi nhỏ với các cuộc tấn công tống tiền kép thông thường.
Các mẫu biến thể Qilin.B được Halcyon phân tích cho thấy nó được xây dựng dựa trên các phiên bản cũ hơn với khả năng mã hóa nâng cao và chiến thuật hoạt động vận hành được cải thiện hơn.
Điều này bao gồm việc sử dụng AES-256-CTR hoặc Chacha20 để mã hóa, ngoài ra còn thực hiện các bước để chống phân tích và phát hiện bằng cách chấm dứt các dịch vụ liên quan đến công cụ bảo mật, xóa Windows Event Logs và tự xóa chính nó.
Qilin.B cũng tích hợp các tính năng để hủy các tiến trình được liên kết với các dịch vụ sao lưu và ảo hóa như Veeam, SQL và SAP, cũng như xóa các bản sao lưu ổ đĩa, do đó làm phức tạp thêm các nỗ lực khôi phục.
Halcyon cho biết: “Sự kết hợp giữa các cơ chế mã hóa nâng cao, chiến thuật né tránh phòng thủ hiệu quả và sự gián đoạn liên tục của các hệ thống sao lưu của Qilin.B khiến nó trở thành một biến thể mã độc tống tiền đặc biệt nguy hiểm”.
Qilin.B nhắm vào cả thư mục cục bộ và thư mục mạng, tạo ra các ghi chú đòi tiền chuộc cho mỗi thư mục được xử lý, bao gồm cả ID nạn nhân trong tiêu đề.
Thông báo tiền chuộc
Để đạt được phạm vi tối đa, phần mềm độc hại đã sửa đổi Registry bằng một mục riêng để cho phép chia sẻ ổ đĩa mạng giữa các tiến trình. Mặc dù những tính năng trên không phải là mới đối với các dòng mã độc tống tiền, nhưng chúng có thể gây ra tác động nghiêm trọng và sâu rộng khi được kết hợp với các phần mềm độc hại khác trong những cuộc tấn công mạng do các tác nhân đe dọa gây ra.
Vũ Mạnh Hà
(Tổng hợp)
13:00 | 25/10/2024
13:00 | 23/10/2024
13:00 | 25/10/2024
10:00 | 18/10/2024
Công ty bảo mật Zimperium (Mỹ) đã xác định được 40 biến thể mới của trojan ngân hàng TrickMo trên Android. Các biến thể này được liên kết với 16 chương trình dropper (một loại trojan horse để cài đặt phần mềm độc hại) và 22 cơ sở hạ tầng của máy chủ điều khiển và ra lệnh (C2) riêng biệt, với các tính năng mới để đánh cắp mã PIN Android.
07:00 | 17/10/2024
Các tin tặc Triều Tiên mới đây đã bị phát hiện đang phân phối một Trojan truy cập từ xa (RAT) và backdoor chưa từng được ghi nhận trước đây có tên là VeilShell, như một phần của chiến dịch tấn công mạng nhắm vào các cơ quan, tổ chức tại Campuchia và các quốc gia Đông Nam Á khác.
10:00 | 14/08/2024
Trong bối cảnh khoa học công nghệ đang ngày càng phát triển, đi cùng với đó là những nguy cơ gây mất an ninh, an toàn thông tin đang ngày càng phổ biến. Một trong số những nguy cơ người dùng dễ gặp phải đó là bị lây nhiễm mã độc tống tiền (ransomware) trên thiết bị di động. Sau khi xâm nhập trên thiết bị di động, mã độc sẽ tự động mã hóa các dữ liệu có trên thiết bị đó hoặc ngăn chặn các phần mềm được kích hoạt trên smartphone, đồng thời sẽ yêu cầu người dùng phải trả tiền cho các tin tặc đứng sau như một hình thức trả tiền chuộc, gây thiệt hại vô cùng lớn cho nạn nhân. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên điện thoại di động dễ bị tin tặc tấn công. Qua đó, cũng đề xuất một số khuyến nghị nâng cao cảnh giác khi sử dụng di động, góp phần cho công tác phòng, chống phần mềm độc hại và chia sẻ dữ liệu mã độc.
13:00 | 06/08/2024
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng nghiêm trọng mới trong Hệ thống phân giải tên miền (DNS) cho phép thực hiện một cuộc tấn công có tên là TuDoor. Cuộc tấn công này có thể được sử dụng nhằm vào bộ đệm DNS, khởi tạo các điều kiện để tấn công từ chối dịch vụ (DoS) và làm cạn kiệt tài nguyên, điều đó khiến nó trở thành mối đe dọa mới.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
09:00 | 08/11/2024
