Nguy cơ nhiều ransomware mới sử dụng phần mềm tống tiền Babuk

Một hoạt động ransomware mới có tên Rook được nhà nghiên cứu Zach Allen thông tin lần đầu tiên và thu hút sự chú ý của các chuyên gia vì tuyên bố trắng trợn rằng chúng có thể xâm nhập vào hệ thống mục tiêu và cần kiếm nhiều tiền bằng cách thâm nhập vào các mạng lưới của các công ty.

Vào ngày 30/11, băng đảng ransomware Rook đã công bố tên của nạn nhân đầu tiên là một tổ chức tài chính ở Kazkh, đánh cắp 1123 GB dữ liệu.

Các nhà nghiên cứu tại SentinelLabs đã phân tích phần mềm độc hại và nhận thấy có nhiều sự tương đồng với phần mềm tống tiền Babuk. Chuỗi tấn công bắt đầu bằng các tin nhắn lừa đảo, và các cuộc tấn công của chúng chủ yếu sử dụng khung (framework) của bên thứ ba như Cobalt Strike.

Cũng giống như các loại ransomware khác, Rook yêu cầu tiền chuộc để mở khóa các tệp được mã hóa. Nếu nạn nhân không tuân thủ yêu cầu đòi tiền chuộc chúng đe dọa công khai và làm lộ lọt dữ liệu mà chúng đã trích xuất được.

Phần mềm độc hại được đóng gói bằng trình đóng gói UPX (Ultimate Packer for eXecutable) và sử dụng các chương trình mã hóa để tránh bị phát hiện.

Khi thực thi, Rook nỗ lực ngắt các tiến trình liên quan đến phần mềm bảo mật hoặc ứng dụng khác có thể can thiệp vào quá trình mã hóa và cố gắng xóa các bản sao để ngăn nạn nhân khôi phục từ bản sao lưu để tránh phải trả tiền chuộc.

Theo phân tích của SentinelLabs thì phần mềm tống tiền cố gắng chấm dứt bất kỳ quy trình nào có thể gây trở ngại cho việc mã hóa của chúng. Chúng sử dụng trình điều khiển (như kph.sys) để vô hiệu hóa một số giải pháp bảo mật cục bộ nhất định trên các giao dịch cụ thể.

Các biến thể ban đầu của Rook có thêm phần mở rộng .TOWER, trong khi tất cả các biến thể hiện tại đều sử dụng phần mở rộng .ROOK.

Các chuyên gia nhận thấy nhiều điểm tương đồng về mã giữa Rook và Babuk khi mã nguồn của nó đã bị rò rỉ trên một diễn đàn hack vào tháng 9/2021.

 'Babuk và Rook sử dụng API  EnumDependentServicesA để truy xuất tên và trạng thái của từng dịch vụ theo chỉ định trước khi chấm dứt. Chúng liệt kê tất cả các dịch vụ trong hệ thống và ngăn chặn tất cả những dịch vụ tồn tại trong danh sách mã hóa cứng trên phần mềm độc hại. Bằng cách sử dụng API OpenSCManagerA, mã nhận trình quản lý và kiểm soát dịch vụ, xử lý và sau đó liệt kê tất cả các dịch vụ trong hệ thống. Ngoài ra, cả Rook và Babuk đều sử dụng các chức năng CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, OpenProcess và TerminaProcess để liệt kê những tiến trình đang chạy và hủy bất kỳ tiến trình nào được tìm thấy cho phù hợp việc đã thực hiện một thao tác trong code tạm thời (hardcoded).'

Với sự sẵn có của mã nguồn từ các vụ rò rỉ như Babuk, các nhà nghiên cứu dự báo sự gia tăng của các nhóm ransomware mới sẽ tiếp tục tiếp diễn. Rook sẽ không phải là phần mềm độc hại cuối cùng mà chúng ta thấy khi mã Babuk bị rò rỉ. Do vậy, các nhóm bảo mật doanh nghiệp sẽ còn nhiều công việc phải bận rộn hơn trong năm tới./.


Theo securityaffairs.co sentinelone.com

TIN LIÊN QUAN

Hầu hết các công ty sẽ không trả tiền chuộc cho tin tặc nếu phải công khai

Phần lớn các chuyên gia an toàn thông tin ATTT cho biết họ sẽ suy nghĩ kỹ về việc trả tiền chuộc nếu bị tấn công mạng khi phải công khai việc này.

Ransomware Yanluowang nhắm mục tiêu vào các tập đoàn tài chính Hoa Kỳ

Các nhà nghiên cứu bảo mật của Symantec cho biết, phần mềm tống tiền ransomware Yanluowang được vận hành bởi một tác nhân đe dọa có liên quan tới nhóm FiveHands trước đây.

Nạn nhân của ransomware phải trả hơn 700.000 USD phí tống tiền bổ sung

Theo CrowdStrike, 96 nạn nhân của ransomware đồng ý với yêu cầu của kẻ tống tiền sau đó buộc phải trả thêm phí lên tới hàng trăm nghìn USD.

Mỹ và Nhật hợp tác chống ransomware

Nhật Bản và Mỹ đang lên kế hoạch hợp tác chặt chẽ để có các biện pháp phòng thủ chống lại ransomware phần mềm tống tiền.

Hệ thống đặt phòng và thẻ chìa khóa khách sạn không hoạt động do tấn công ransomware

Một chuỗi khách sạn nổi tiếng ở Scandinavia Nordic Choice đã cảnh báo một cuộc tấn công ransomware gần đây có thể dẫn đến việc đánh cắp thông tin cá nhân liên quan đến đặt phòng, còn các khách hàng đang phải chờ đợi lâu hơn khi nhận phòng.

Mỹ sẽ tổ chức họp bàn phòng chống an ninh mạng, ransomware với 30 quốc gia

Cuộc họp sẽ bàn về hợp tác trong thực thi pháp luật giữa các quốc gia và vấn đề sử dụng tiền điện tử bất hợp pháp. Hiện thời điểm diễn ra phiên họp và những nước nào sẽ tham dự chưa được tiết lộ.

Canada nâng cao khả năng phòng thủ các cuộc tấn công ransomware

Hơn một nửa số nạn nhân của các cuộc tấn công bằng mã độc tống tiền ransomware được biết đến ở Canada trong năm nay là các nhà cung cấp cơ sở hạ tầng quan trọng như lưới điện, dầu khí và bệnh viện.

Ransomware 2.0 tiếp tục lan rộng trong năm 2022

Khi nói đến an ninh mạng, ransomware đã trở thành câu chuyện nổi bật của năm với một báo cáo gần đây cho biết có đến gần 50 sự cố bảo mật do Nhóm ứng phó khẩn cấp toàn cầu của Kaspersky Kasperskys Global Response Emergency Team - GERT xử lý đều

THỦ THUẬT HAY

Thủ thuật tăng tốc quá trình tắt máy tính, tắt máy nhanh trên Windows

Nếu máy tính của bạn chạy hệ điều hành cũ, hoặc nếu hệ thống Windows của bạn mất nhiều thời gian để đóng tất cả các quá trình và Service đang chạy, quá trình tắt máy sẽ kéo dài hơn khiến bạn cảm thấy khó chịu.

Cách bảo vệ điện thoại an toàn khi lướt web với ứng dụng Visafe

Internet còn tiềm ẩn nhiều rủi ro về an ninh mạng, lấy cắp địa chỉ IP, thông tin cá nhân để lừa đảo. Sau đây là cách bảo vệ điện thoại an toàn khi lướt web với ứng dụng Visafe...

Emerald Launcher - Trình khởi chạy siêu nhẹ dành cho những thiết bị Android cấu hình thấp

Cụ thể hơn, Emerald Launcher là trình khởi chạy siêu nhẹ được xây dựng dựa trên một mã nguồn mở từ lập trình viên Henri Dellal

Hướng dẫn đăng nhập cùng lúc 2 tài khoản Zalo trên iPhone mới nhất, đảm bảo 100% thành công

Khi bạn muốn sử dụng 2 tài khoản trên điện thoại iPhone, vậy đâu là cách? Hãy để giúp bạn nhé.

ĐÁNH GIÁ NHANH

Đánh giá chi tiết Huawei GR5 2017 Pro

Huawei GR5 2017 Pro vừa được ra mắt gần đây cạnh tranh trực tiếp với các hãng trong phân khúc tầm trung. Giá nhỉnh hơn chiếc GR5 2017 một chút. Cùng xem đánh giá xem siêu phẩm này có đáng sở hữu không nhé?

Đánh giá Nokia 3.4: Điện thoại dưới 3 triệu rất đáng mua

Nokia 3.4 có khá nhiều ưu điểm trong tầm giá rẻ. Với mức giá khuyến mãi tại đang là 3.390.000 đồng, Nokia 3.4 sở hữu một thiết kế đẹp, cứng cáp; màn hình lớn hiển thị tốt; có camera góc siêu rộng; chạy mượt; hệ điều hành Android One được hỗ trợ lâu

Đánh giá chi tiết camera Galaxy S8/ S8 Plus: Smartphone chụp ảnh tốt nhất hiện nay

Mình được vài ngày cầm em Galaxy S8 Plus vi vu Đà Lạt 2 ngày và chụp được kha khá những bức ảnh tại nơi đây. Thực sự khá ấn tượng với camera phone...

}