Được phát hiện bởi các nhà nghiên cứu bảo mật của thông qua hệ thống giám sát hoạt động Darknet Threat Intelligence của công ty an ninh mạng này, Luna dòng mã độc tống tiền mới dường như được thiết kế để dành riêng cho các tin tặc .
Kaspersky cho biết: “Một đoạn quảng cáo trên diễn đàn dark web chỉ ra rằng Luna chỉ làm việc với các chi nhánh của Nga. Ngoài ra, ghi chú tiền chuộc được cứng bên trong tệp binary mắc một vài lỗi chính tả. Do đó, chúng tôi đưa ra giả thuyết các tin tặc phát triển Luna là những người đến từ Nga. Mã độc Luna thêm phần mở rộng .luna vào tất cả các tệp được mã hóa, với khả năng hạn chế dựa trên các tùy chọn dòng lệnh có sẵn, có thể thấy Luna còn khá đơn giản và vẫn đang trong quá trình phát triển".
Tùy chọn dòng lệnh của mã độc tống tiền Luna
Tuy nhiên, Luna sử dụng một lược đồ mã hóa không phổ biến, kết hợp trao đổi khóa Elliptic Curve Diffie-Hellman X25519 nhanh chóng và an toàn bằng cách sử dụng Curve25519 với thuật toán mã hóa đối xứng Advanced Encryption Standard (AES). Luna được phát triển dựa trên ngôn ngữ đa nền tảng Rust và có thể lây nhiễm sang nhiều nền tảng với rất ít thay đổi đối với mã nguồn, đồng thời tránh các nỗ lực phân tích tĩnh.
Các nhà nghiên cứu của Kaspersky cho biết thêm: “Phiên bản mã độc Luna trên và ESXi đều được biên dịch bằng cùng một mã nguồn, với một số thay đổi nhỏ so với phiên bản . Phần còn lại của mã không có thay đổi đáng kể”.
Vì mã độc Luna mới được phát hiện nên vẫn còn ít dữ liệu về nạn nhân của mã độc tống tiền này, Kaspersky đang tích cực để theo dõi và điều tra thêm về hoạt động của Luna. Với sự xuất hiện của Luna giúp xác nhận thêm rằng xu hướng mới nhất được các băng nhóm tội phạm mạng áp dụng, đó là phát triển mã độc tống tiền đa nền tảng sử dụng các ngôn ngữ như và Golang để tạo ra mã độc hại có khả năng nhắm mục tiêu vào nhiều hệ điều hành với rất ít hoặc không có thay đổi nào.
Black Basta là một biến thể mã độc tống tiền tương đối mới được viết bằng C++, phát hiện lần đầu tiên vào tháng 2/2022. Nó tồn tại ở 2 phiên bản, phiên bản đầu tiên dành cho Windows và Linux, phiên bản thứ hai chủ yếu nhắm mục tiêu đến ảnh các máy ảo ESXi.
Một tính năng nổi bật của phiên bản Windows là nó khởi động hệ thống ở chế độ an toàn (safe mode) trước khi mã hóa. Điều này cho phép mã độc tránh bị phát hiện bởi các giải pháp bảo mật, khi nhiều giải pháp trong số đó không hoạt động ở chế độ an toàn. Để bắt đầu ở chế độ này, Black Basta thực hiện các lệnh sau:
C:\Windows\SysNative\bcdedit /set safeboot networkChanges
C:\Windows\System32\bcdedit /set safeboot networkChanges
Đáng chú ý, Black Basta hỗ trợ tùy chọn dòng lệnh “-forcepath” và được sử dụng để mã hóa chỉ các tệp trong một thư mục cụ thể. Bất cứ khi nào Black Basta mã hóa tệp, nó cũng sẽ sửa đổi tên gốc của tệp đó. Các nạn nhân có thể thấy rằng phần lớn các tệp được lưu trữ đều có phần mở rộng tệp “.basta”.
Bên cạnh đó, mã độc này sẽ thay đổi nền màn hình bằng một hình ảnh mới, đồng thời tạo một tệp văn bản có tên là “readme.txt”, với mục đích thông báo và hướng dẫn nạn nhân thực hiện các thao tác để nhận thêm thông tin về các bước xử lý tiếp theo. Trong thông báo này, dữ liệu sẽ được các tin tặc công bố trên trang web chuyên dụng được lưu trữ trên mạng TOR nếu nạn nhân không trả tiền chuộc.
Ghi chú thông báo mã hóa dữ liệu Black Basta của phiên bản trước và hiện tại
Các phiên bản trước của Black Basta chứa một thông báo khác với thông báo hiện đang được sử dụng, cho thấy những điểm tương đồng với ghi chú đòi tiền chuộc được mã độc tống tiền sử dụng. Điều này không quá bất thường bởi vì Black Basta vẫn đang trong chế độ phát triển vào thời điểm đó.
Trong một báo cáo khác được công bố vào tháng 6/2022, Kaspersky đã thảo luận về phiên bản Black Basta trên Linux. Nó được thiết kế đặc biệt để nhắm mục tiêu các hệ thống ESXi, nhưng cũng có thể được sử dụng để mã hóa chung cho các hệ thống Linux, mặc dù điều đó sẽ hơi khó khăn.
Tương tự như phiên bản trên Windows, phiên bản Linux chỉ hỗ trợ một tùy chọn dòng lệnh: “-forcepath”. Khi nó được sử dụng, chỉ thư mục được chỉ định mới được mã hóa. Nếu không có tùy chọn nào được đưa ra, mã độc sẽ mã hóa thư mục “/vmfs/volume”. Cấu trúc mã hóa cho phiên bản này sử dụng và đa luồng để tăng tốc quá trình mã hóa với sự trợ giúp của các bộ xử lý khác nhau trong hệ thống. Trước khi mã hóa tệp, Black Basta sử dụng lệnh “chmod” để truy cập vào tệp đó.
Thông tin về các nạn nhân được công bố bởi Black Basta cho thấy, nhóm tin tặc này đã tấn công hơn 40 nạn nhân khác nhau trong một khoảng thời gian rất ngắn, trong số đó có các công ty hoạt động trong các lĩnh vực sản xuất, ,… Theo Kaspersky, mục tiêu của Black Basta là một số quốc gia như , Australia, các khu vực Mỹ Latinh, châu Âu và châu Á.
Các khu vực tấn công của Black Basta
Để bảo vệ bản thân và doanh nghiệp trước các cuộc tấn công bằng mã độc tống tiền, Kaspersky đề xuất và khuyến nghị như sau:
Đinh Hồng Đạt
13:00 | 22/09/2022
08:00 | 23/06/2022
13:00 | 16/09/2022
10:00 | 15/12/2022
11:00 | 11/11/2022
07:00 | 20/05/2022
14:00 | 29/09/2022
10:00 | 14/06/2022
12:00 | 23/09/2022
17:00 | 20/06/2022
09:00 | 08/08/2023
14:00 | 28/05/2024
14:00 | 20/08/2024
Theo Cisco Talos, một viện nghiên cứu trực thuộc chính phủ Đài Loan chuyên về điện toán và các công nghệ liên quan đã bị nhóm tin tặc có mối liên kết với Trung Quốc tấn công.
08:00 | 22/07/2024
Ba lỗ hổng bảo mật được phát hiện trong ứng dụng quản lý thư viện CocoaPods cho các dự án Cocoa Swift và Objective-C có thể bị khai thác để thực hiện các cuộc tấn công chuỗi cung ứng phần mềm, gây ra rủi ro nghiêm trọng đối với người dùng cuối.
14:00 | 05/07/2024
Một phân tích về hệ thống truy cập sinh trắc học lai (hybrid) của nhà sản xuất Trung Quốc ZKTeco đã phát hiện ra 24 lỗ hổng bảo mật có thể bị kẻ tấn công lạm dụng để vượt qua xác thực, đánh cắp dữ liệu sinh trắc học và thậm chí triển khai các backdoor độc hại.
08:00 | 14/06/2024
Website bán vé trực tuyến nổi tiếng Ticketmaster vừa xác nhận bị tấn công mạng và lộ dữ liệu của hàng trăm triệu người dùng.
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
10:00 | 23/08/2024