Một loại ransomware tên Bad Rabbit xuất hiện và bắt đầu lây lan tại Nga và nhiều nước Đông Âu.

Một loại ransomware mới có tên Bad Rabbit đã xuất hiện và hiện đang bắt đầu lây lan tại Nga và nhiều nước Đông Âu.
Một loại ransomware tên Bad Rabbit xuất hiện và bắt đầu lây lan tại Nga và nhiều nước Đông Âu.

Loại ransomware này được phát hiện hôm thứ 4 ngày 24 tháng 10 vừa qua khi nhiều tổ chức, doanh nghiệp ở Nga và Ukraine bị tấn công cùng lúc, giống như thảm họa WannaCry và Petya cách đây vài tháng. Mặc dù phạm vi tấn công không lớn, quy mô tấn công không dữ dội bằng 2 loại ransomware vừa nêu nhưng chúng ta cũng cần xem qua 'Thỏ xấu' cụ thể là gì, nó nguy hiểm tới đâu và chuyện gì đã xảy ra.

Bắt đầu lây nhiễm vào các hệ thống máy tính của nhiều tổ chức tại Nga và Đông Âu:

Ban đầu nhiều tổ chức, doanh nghiệp tại Nga và Ukraine cũng như một số lượng nhỏ tổ chức tại Đức và Thổ Nhĩ Kỳ đã trở thành mục tiêu tấn công của Bad Rabbit. Không lâu sau, các nhà nghiên cứu bảo mật tại Avast cho biết họ cũng đã phát hiện ra loại malware bắt cóc dữ liệu đòi tiền chuộc này tại Ba Lan và Hàn Quốc.

Công ty nghiên cứu bảo mật của Nga - Group-IB đã xác nhận có ít nhất 3 tổ chức truyền thông tại nước này đã bị Bad Rabbit tấn công và trong cùng thời điểm, công ty truyền thông nổi tiếng Interfax thông báo hệ thống máy tính của họ cũng bị hacker tấn công và dường như bị đánh sập.

Các tổ chức khác trong khu vực bao gồm sân bay quốc tế Odessa và hệ thống tàu điện ngầm tại Kiev cũng báo bị tấn công trong khi CERT-UA - đội phản ứng khẩn cấp về các vấn đề an ninh máy tính tại Ukraine đã phát đi thông báo 'một đợt tấn công bảo mật mới nhằm vào các tài nguyên thông tin của Ukraine' đã xảy ra và lúc này, những báo cáo về Bad Rabbit cũng bắt đầu xuất hiện nhiều hơn.

Tính đến hiện tại, có gần 200 mục tiêu được Bad Rabbit nhắm đến, nó không hẳn là một cuộc tấn công toàn cầu như WannaCry hay Petya nhưng vẫn gây ra nhiều vấn đề đối với các tổ chức có hệ thống bị lây nhiễm.

Bad Rabbit không phải là 'thỏ' mà là ransomware:

Cũng giống như những loại ransomware khác, Bad Rabbit sau khi lây nhiễm và mã hóa thành công dữ liệu trên máy tính thì màn hình sẽ hiện lên thông điệp quen thuộc cho biết dữ liệu đã bị mã hóa, không thể truy xuất được nữa, không ai có thể phục hồi dữ liệu trừ dịch vụ giải mã của hacker phát tán Bad Rabbit. Ngoài ra, hacker cũng để lại đường link .onion và đảm bảo rằng một khi đã đưa tiền thì nạn nhân có thể lấy lại dữ liệu một cách an toàn.

Nếu như truy xuất vào đường dẫn .onion bằng trình duyệt deep web như Tor Browser thì nó sẽ mở ra một trang thanh toán, có đồng hồ đếm ngược cho biết nếu thanh toán ngay thì chỉ mất 0,05 bitcoin tức 285 đô la Mỹ. Nếu thời gian này hết thì số tiền sẽ tăng lên.

Theo các nhà nghiên cứu bảo mật thì Bad Rabbit dùng DiskCrypter - một phần mềm nguồn mở hợp pháp để mã hóa toàn bộ ổ cứng. Các khóa mã hóa được tạo bằng CryptGenRandom sau đó được bảo mật bởi mã RSA 2048 rất mạnh.

'Thỏ Xấu' được phát triển dựa trên Petya/Not Petya:

Thông điệp được Bad Rabbit để lại khá giống với thông điệp mà các nạn nhân của Petya nhận được khi loại ransomware này phát tán hồi tháng 6. Và không chỉ dừng lại ở thông điệp hay cách bày trí nội dung mà đằng sau đó, nhiều thành phần của Bad Rabbit được cho là rất giống với Petya.
Các nhà nghiên cứu tại Crowdstrike đã phân tích và phát hiện ra rằng thư viện liên kết động (DLL - dynamic link library) của Bad Rabbit và NotPetya - một biến thể của Petya dùng chung đến 67% mã nguồn, điều này cho thấy 2 loại ransomware này rất giống nhau và tiềm năng được viết bởi cùng một tác giả.

Bad Rabbit được phát tán thông qua một thông điệp cập nhật Adobe Flash giả mạo:

Cách thức phát tán chính của Bad Rabbit là dụ người dùng truy cập vào các trang web đã bị hack và tải về một file cài đặt. Nó không khai thác lỗ hổng vốn có trên trình duyệt hay các hệ điều hành mà người ghé thăm những trang web đã bị chiếm quyền điều khiển này sẽ được yêu cầu cài đặt hoặc cập nhật Adobe Flash.

Nghe tới đây hẳn anh em sẽ giật mình bởi chúng ta vẫn thường thấy những bảng thông báo kiểu vậy khi vào những trang web cần dùng Adobe Flash. Như vậy nếu không cảnh giác thì nguy cơ dính Thỏ Xấu rất cao bởi bảng thông báo Flash này thực chất là để mồi chào người dùng nhấn vào, một tập tin có tên tương tự như phần mềm Adobe Flash cũng được tải về, khi nhấp đúp để cài đặt thì Bad Rabbit bắt đầu lây nhiễm.

Những trang web bị hack chủ yếu đến từ Nga, Bulgaria và Thổ Nhĩ Kỳ, hacker đã tấn công thành phần jаvascript trong HTML body hoặc một tập tin .js có trong trang web.
Bad Rabbit có thể lây lan trong toàn mạng lưới máy tính qua hình thức brute-force:


Sơ đồ các bước lây nhiễm của Bad Rabbit theo phân tích của TrendMicro.

Cũng giống như Petya, Bad Rabbit cũng tích hợp một thành phần SMB (Server Message Block) cho phép nó lây lan trong mạng máy tính và tấn công các máy khác mà không cần đến sự tương tác của người dùng, theo công ty bảo mật Cisco Talos.

Cụ thể hơn, Bad Rabbit có thể phát tán một danh sách gồm nhiều tên đăng nhập và mật khẩu đơn giản để tấn công vào các máy khác thông qua hình thức brute-force khi nó bắt đầu lây lan trong hệ thống mạng.Tuy nhiên điều may mắn là Bad Rabbit không khai thác lỗ hổng EternalBlue - một lỗ hổng có trong giao thức SMB của Microsoft vốn được WannaCry sử dụng để phát tán trên quy mô lớn. Cisco Talos cho biết họ vẫn chưa phát hiện bằng chứng cho thấy lỗ hổng này được Bad Rabbit sử dụng để lây nhiễm trong mạng máy tính.

Bad Rabbit tấn công có chọn lọc:

Vào thời điểm WannaCry phát tán, hàng trăm ngàn hệ thống máy tính trên thế giới đã bị lây nhiễm. Tuy nhiên Bad Rabbit lại không lây nhiễm theo kiểu đụng đâu nhiễm đó, các nhà nghiên cứu cho rằng nó chỉ lây nhiễm những mục tiêu được chọn.

Kaspersky Lab cho biết: 'Những quan sát của chúng tôi gợi ý rằng Bad Rabbit chủ yếu tấn công vào mạng máy tính của các tập đoàn, doanh nghiệp và tổ chức.' Trong khi đó, các nhà nghiên cứu tại ESET nói những chỉ thị trong đoạn mã được hacker tấn công chiếm quyền một trang web có thể xác định người vào trang web đó có phải là đối tượng tấn cộng hay không, sau đó nó sẽ tự động nạp nội dung đánh lừa người dùng tải về malware nếu mục tiêu được chọn.

Tuy nhiên, tính đến thời điểm này thì vẫn chưa thể hiểu được tại sao Bad Rabbit lại nhằm vào nhiều tổ chức truyền thông tại Nga và Ukraine như vậy?

Chưa rõ ai đứng đằng sau Bad Rabbit:

Hiện tại vẫn chưa rõ ai phát tán Thỏ Xấu và tại sao. Nhiều nhà nghiên cứu cho rằng Bad Rabbit cũng giống như Petya, khả năng là từ một nhóm tấn công. Mặc dù vậy họ vẫn chưa thể xác định được động cơ tấn công bởi như trường hợp của Petya hồi tháng 6, kẻ đứng đằng sau có lẽ không bao giờ được xác định.

Có một điều là nhóm tấn công này khả năng cao không phải của Nga bởi các nhóm hacker thường có xu hướng tránh gây tác động lên quê nhà, ở đây là Nga cũng như nhiều nước Đông Âu.

Mã nguồn của Bad Rabbit có nhiều thành phần liên quan đến 'Game of Thrones'?

Chưa rõ ai tạo ra Bad Rabbit nhưng có một điều chắc chắn là người này hẳn là một fan của series phim ăn khách Games of Thrones. Mã nguồn của Bad Rabbit có nhiều thành phần có tên như Viserion, Drogon và Rhaegal. Đây là những con rồng trong tiểu thuyết A Games of Thrones cùng series phim cùng tên.

Bạn có thể tự bảo vệ mình trước khả năng lây nhiễm Thỏ Xấu:

Đến lúc này vẫn chưa thể giải mã dữ liệu bị khóa bởi Bad Rabbit ngoài cách đưa tiền chuột cho hacker để lấy khóa giải mã. Mặc dù vậy các nhà nghiên cứu cho rằng nạn nhân không nên trả tiền chuộc dữ liệu bởi hành động này chỉ khiến ransomware phát triển mạnh mẽ hơn mà thôi.
Nhiều công ty bảo mật cho biết sản phẩm của họ có thể bảo vệ người dùng hiệu quả trước Bad Rabbit nhưng nếu ai không an tâm thì có thể tự mình bảo vệ bằng cách tắt quyền thực thi các tập tin như C:Windowsinfpub.dat và C:Windowscscc.dat để ngăn Bad Rabbit lợi dung 2 file này để mã hóa dữ liệu.

*Mình đã thử tìm 2 file này trong C:Windows nhưng không thấy, mình đang dùng Windows 10 Fall Creators và BitDefender Internet Security nên khả năng cả 2 file này đã bị ẩn đi, anh em thử tìm xem có không nhé

Theo: ZDNet

TIN LIÊN QUAN

Cảnh báo: Ransomware tống tiền Bad Rabbit đang tấn công toàn cầu

Chính phủ Hoa kỳ đã đưa ra cảnh báo về cuộc tấn công mới của mã độc ransomware đang lan rộng ở Nga, Ukraine và sắp sửa lan ra toàn thế giới.

Một ransomware mới với tên gọi "Thỏ hư" đã bắt đầu hoành hành và đây là cách phòng chống...

Sau một quãng thời gian sóng yên biển lặng kể từ khi WannaCry và Petya 'tung hoành ngang dọc', gây chấn động thế giới thì gần đây một ransomware mới - Bad Rabbit - đã xuất hiện và lan rộng ở châu Âu, có khả năng sẽ lan rộng hơn trong một ngày không

Tại sao ransomware mới nổi NotPetya lại nguy hiểm hơn cả WannaCry?

Nhiều cá nhân, tổ chức đã báo cáo tình trạng lây nhiễm, bao gồm cả hệ thống phát hiện phóng xạ Chernobyl hay hệ thống tàu điện ngầm Kiev. Tình trạng có vẻ tồi tệ hơn nhiều chuyên gia dự kiến ban đầu, bởi ransomware mới có vẻ có nhiều tính năng

2017 được xem là năm của ransomware, cơn ác mộng của công chúng

Chỉ trong hai tháng 5 và 6 của năm 2017, ảnh hưởng từ mã độc tống tiền thực sự trở nên rõ rệt.

Đã có cách ngăn chặn Petya - Người anh em song sinh của ransomware WannaCry

Theo một nhận định từ người có chuyên môn, ransomware mới có thể là virus tồi tệ nhất mà loài người từng được biết đến, bởi lẽ ngay cả hệ thống giám sát bức xạ ở nhà máy điện hạt nhân của Chernobyl cũng đã bị tác động.

Phó chủ tịch BKAV: Virus gây thiệt hại cho Việt Nam hàng chục nghìn tỷ đồng

Năm 2014 virus đã gây thiệt hại 8.500 tỷ đồng, năm 2015 con số thiệt hại tăng lên là 8.700 tỷ đồng, năm 2016 tăng lên 10.400 tỷ đồng.

52% tổ chức, doanh nghiệp chi trả tiền chuộc cho tấn công ransomware

Theo một cuộc khảo sát gần đây, khi các cuộc tấn công bằng mã độc tống tiền ransomware ngày càng thường xuyên, hơn một nửa số tổ chức được nhắm mục tiêu tại 7 thị trường lớn đã buộc phải chi trả tiền chuộc.

2018 sẽ bùng nổ các cuộc tấn công phát tán mã độc bắt cóc dữ liệu và mã độc đào tiền ảo

Có thể thấy 2017 là năm mà mã độc bắt cóc dữ liệu ransomware được nhắc đến rất nhiều. Mã độc WannaCry chỉ trong vài giờ đã lây lan đến máy tính tại hơn 90 nước

THỦ THUẬT HAY

Mang tính năng màn hình cong trên S7 Edge lên J7 Prime

Màn hình cong trên Samsung Galaxy S7 Edge có rất nhiều tính năng độc đáo như mở nhanh 1 ứng dụng bất kì, thục hiện cuộc gọi nhanh chóng...và nhiều tác vụ khác chỉ bằng 1 cú vuốt nhẹ. Vì thế, bài viết sau đây sẽ hướng

Hướng dẫn bạn cách bật, tắt GPS trên iPhone trong một nốt nhạc

GPS được biết đến là một tính năng quan trọng trên iPhone giúp người dùng có thể xác định được vị trí, sử dụng được tối đa tính năng của các ứng dụng bản đồ. Việc bật, tắt GPS có thể đơn giản với nhiều người, tuy nhiên

5 ứng dụng diệt virus miễn phí tốt nhất trên dòng điện thoại/máy tính bảng Android

Nếu bạn đang tìm kiếm một ứng dụng diệt virus hiệu quả dành cho chiếc điện thoại Android của mình, đừng bỏ qua 5 lựa chọn trong bài viết này.

7 tính năng thú vị trên Android có thể bạn đã bỏ lỡ trong quá trình sử dụng

Những bạn hay có thói quen kiểm tra cập nhật ứng dụng thường xuyên thì việc thêm lối tắt ứng dụng của tôi ra màn hình chính là điều cần thiết, chi tiết như sau.

Vào Desktop trong Windows 10 chỉ với một thao tác ngắn

Bạn có thể nhấn nút thu nhỏ trên tất cả các cửa sổ đang mở hoặc bạn có thể thu nhỏ tối đa tất cả cùng một lúc bằng một cú nhấp chuột hoặc bàn phím kết hợp. Đây là cách để vào Desktop trong Windows 10 chỉ với một thao

ĐÁNH GIÁ NHANH

Đánh giá nhanh Samsung Galaxy A3 2016

Không chỉ sở hữu ngoại hình đẹp mắt nhờ sự phối kết hợp từ kim loại và kính, Samsung Galaxy A3 2016 còn cung cấp hiệu năng hoạt động tốt với giá thành phải chăng.

Đánh giá Macbook Pro 2018: Liệu có xứng đáng để rút hầu bao?

Trước đó, Macbook Pro 2017 chỉ giống như một bản nâng cấp nhẹ của Macbook Pro 2016. Vì vậy, người dùng rất kỳ vọng bước nhảy vọt về hiệu suất trên Macbook Pro 2018.