AntiHacker Ransomware

Việc bảo vệ dữ liệu cá nhân và doanh nghiệp khỏi các mối đe dọa phần mềm độc hại hiện đại không còn là lựa chọn, mà là một yêu cầu bắt buộc trong hoạt động. Những kẻ tấn công ransomware tiếp tục tinh chỉnh chiến thuật, công cụ và các chương trình kỹ thuật xã hội để tối đa hóa việc gián đoạn và tống tiền. Ngay cả các tổ chức nhỏ hơn và người dùng gia đình cũng thường xuyên bị nhắm mục tiêu, và việc khôi phục có thể khó khăn hoặc bất khả thi nếu không có sự chuẩn bị. AntiHacker Ransomware, một thành viên của gia đình Xorist, chính xác là một mối đe dọa như vậy.

TỔNG QUAN VỀ MỐI ĐE DỌA & DÒNG TRUYỀN

AntiHacker là một chương trình độc hại được các nhà nghiên cứu bảo mật thông tin phát hiện và được phân loại trong họ ransomware Xorist. Các mối đe dọa dựa trên Xorist thường được xây dựng từ một bộ công cụ mà kẻ tấn công có thể tùy chỉnh, thay đổi thông báo đòi tiền chuộc hiển thị, phần mở rộng tệp, thành phần ngôn ngữ và các tham số khác. AntiHacker tuân theo kịch bản quen thuộc của Xorist: mã hóa dữ liệu nạn nhân và sau đó yêu cầu thanh toán để đổi lấy khóa giải mã được cho là của nó.

HÀNH VI MÃ HÓA TỆP & ĐÁNH DẤU

Sau khi xâm nhập được vào hệ thống, AntiHacker sẽ tìm kiếm dữ liệu người dùng có thể truy cập trên các ổ đĩa cục bộ và cả các vị trí mạng có khả năng được ánh xạ. Một loạt các loại tệp bị nhắm mục tiêu, bao gồm tài liệu, hình ảnh, kho lưu trữ, tệp đa phương tiện và các kho dữ liệu giá trị khác. Mỗi mục được mã hóa được đổi tên bằng cách thêm chuỗi '.antihacker2017' vào cuối tên tệp gốc. Ví dụ: tệp ban đầu có tên '1.png' sẽ trở thành '1.png.antihacker2017'; '2.pdf' sẽ trở thành '2.pdf.antihacker2017'; và mô hình này lặp lại trên tất cả các tệp đã được xử lý. Phần mở rộng được thêm vào có hai mục đích: nó báo hiệu trực quan cho nạn nhân về việc xâm nhập và giúp ransomware xác định những mục nào nó đã xử lý.

GHI CHÚ TIỀN TRỪ, POP-UP & TIN NHẮN HÌNH NỀN

Sau khi hoàn tất quy trình mã hóa, AntiHacker sẽ thay đổi hình nền máy tính của nạn nhân và gửi một thông báo đòi tiền chuộc theo hai định dạng song song: một cửa sổ bật lên và một tệp văn bản có tên 'КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt' (tiếng Nga có nghĩa là 'CÁCH GIẢI MÃ TỆP'). Nội dung thông báo hiển thị trong cửa sổ bật lên và tệp văn bản là giống nhau. Tuy nhiên, phiên bản hình nền có thêm ngôn ngữ kỹ thuật xã hội, một lời biện minh được cho là cuộc tấn công xảy ra do người dùng đã truy cập vào các trang web dành cho người lớn hoặc bất hợp pháp. Góc độ gây xấu hổ này được thiết kế để gây áp lực buộc nạn nhân phải trả tiền nhanh chóng và lặng lẽ.

QUIRK MÃ HÓA NHÂN VẬT

Trên các hệ thống không sử dụng bộ ký tự Cyrillic, văn bản đòi tiền chuộc hiển thị trong cửa sổ bật lên có thể hiển thị dưới dạng vô nghĩa, không thể đọc được. Do đó, nạn nhân có thể thấy cửa sổ thông báo bị lỗi nhưng vẫn tìm thấy hướng dẫn đọc được bên trong tệp văn bản bị xóa. Kẻ tấn công thường bỏ qua các chi tiết bản địa hóa; bên phòng thủ có thể sử dụng các hiện vật này để giúp nhóm các sự cố liên quan.

CƠ CHẾ ÉP ÉP: GIỚI HẠN NHẬP CẬP CHÍNH & YÊU CẦU ĐE DỌA

Hướng dẫn đòi tiền chuộc nêu rõ nạn nhân phải liên hệ với kẻ tấn công để lấy khóa giải mã. Chúng cũng áp đặt một ràng buộc rất căng thẳng: chỉ được phép nhập khóa 50 lần, sau đó thông báo sẽ tuyên bố dữ liệu được mã hóa sẽ bị mất vĩnh viễn. Các cảnh báo bổ sung khẳng định rằng việc sử dụng các công cụ bảo mật, khởi động lại hoặc tắt máy sẽ khiến các tệp không thể giải mã được. Những chiến thuật hù dọa này thường thấy trong các kịch bản ransomware và nhằm mục đích ngăn cản người dùng tìm kiếm sự trợ giúp chuyên nghiệp hoặc thử các biện pháp khắc phục an toàn.

TẠI SAO VIỆC TRẢ TIỀN CHUỘC LẠI RỦI RO

Không có gì đảm bảo rằng tội phạm mạng đứng sau AntiHacker (hoặc bất kỳ ransomware nào) sẽ cung cấp giải pháp giải mã hiệu quả sau khi thanh toán. Nạn nhân trả tiền thường không nhận được gì, nhận được khóa bị hỏng hoặc trở thành mục tiêu tống tiền liên tục. Việc thanh toán cũng tài trợ cho các hoạt động tội phạm đang diễn ra và khuyến khích các cuộc tấn công tiếp theo. Quan điểm thận trọng là tránh trả tiền bất cứ khi nào có thể và tập trung vào các phương án phục hồi mà bạn có thể kiểm soát.

THỰC TẾ PHỤC HỒI

Việc gỡ bỏ AntiHacker khỏi hệ thống bị nhiễm có thể ngăn chặn mã hóa tệp tiếp theo, nhưng không giải mã được dữ liệu đã bị khóa. Cách phục hồi đáng tin cậy nhất là khôi phục các bản sao sạch của tệp bị ảnh hưởng từ các bản sao lưu đã bị cô lập, ngoại tuyến hoặc nằm ngoài tầm với của phần mềm độc hại. Nếu không có bản sao lưu khả thi nào, các tùy chọn khôi phục dữ liệu sẽ bị hạn chế rất nhiều.

Vectơ nhiễm trùng chính

Tác giả của ransomware dựa vào cùng một hệ sinh thái phân phối rộng lớn, vốn là nền tảng cho các loại phần mềm độc hại khác. AntiHacker cũng không ngoại lệ. Kẻ tấn công thường ngụy trang các payload dưới dạng phần mềm hợp pháp hoặc đóng gói chúng với các chương trình, tài liệu hoặc trình cài đặt bị bẻ khóa hoặc vi phạm bản quyền. Chỉ cần mở một tệp tin chứa mã độc cũng có thể kích hoạt chuỗi tải xuống hoặc thực thi.

• Các chiêu trò lừa đảo và tấn công mạng được gửi qua email, tin nhắn riêng tư hoặc tin nhắn trực tiếp có tệp đính kèm độc hại hoặc liên kết nhúng.
• Tải xuống ngẫu nhiên hoặc lừa đảo từ các trang web độc hại hoặc bị xâm phạm mà không có sự đồng ý rõ ràng của người dùng.
• Trình tải Trojan và cửa hậu có khả năng âm thầm truy xuất và khởi chạy phần mềm tống tiền sau khi đã nhúng vào.
• Các nguồn tải xuống không đáng tin cậy như các trang web phần mềm miễn phí, trang lưu trữ của bên thứ ba và mạng chia sẻ tệp ngang hàng (P2P).
• Các vụ lừa đảo trực tuyến và chiến dịch quảng cáo độc hại chuyển hướng người dùng đến các bộ công cụ khai thác hoặc phần mềm độc hại.
• Các công cụ kích hoạt phần mềm bất hợp pháp ('crack' / keygen) và các bản cập nhật phần mềm giả mạo cài đặt phần mềm độc hại thay vì các bản vá hợp pháp.
• Các tệp lưu trữ (ZIP, RAR, v.v.), các tệp thực thi (EXE, RUN, v.v.), các tệp tập lệnh (ví dụ: JavaScript) và các định dạng tài liệu (PDF, Microsoft Office, OneNote và các định dạng khác) được sử dụng để khởi chạy chuỗi lây nhiễm.

TỔNG QUAN CHIẾN LƯỢC PHÒNG THỦ

Phòng thủ ransomware hiệu quả bao gồm con người, quy trình và công nghệ. Bạn không thể chỉ dựa vào một biện pháp kiểm soát bảo vệ duy nhất; hãy giả định rằng ít nhất một lớp sẽ thất bại. Hãy kết hợp nhận thức của người dùng, cấu hình bảo mật, vá lỗi nghiêm ngặt, thực hành sao lưu mạnh mẽ và khả năng phát hiện/phản hồi mạnh mẽ để giảm cả khả năng xảy ra và tác động của một cuộc xâm nhập kiểu AntiHacker.

• Duy trì bản sao lưu dữ liệu quan trọng.
• Luôn cập nhật đầy đủ hệ điều hành, ứng dụng và công cụ bảo mật; áp dụng các bản vá kịp thời, đặc biệt là đối với các dịch vụ truy cập từ xa và chia sẻ tệp.
• Sử dụng các giải pháp phát hiện và phản hồi điểm cuối (EDR)/chống phần mềm độc hại có uy tín với khả năng phát hiện phần mềm tống tiền theo hành vi và khả năng tự động khôi phục khi được hỗ trợ.
• Áp dụng các quyền của người dùng có đặc quyền thấp nhất; thực hiện các tác vụ hàng ngày dưới tài khoản không phải quản trị viên và hạn chế quyền ghi vào kho dữ liệu dùng chung.
• Phân đoạn mạng và hạn chế chuyển động ngang; cô lập các kho lưu trữ sao lưu và máy chủ quan trọng trên các tầng truy cập riêng biệt.
• Yêu cầu xác thực đa yếu tố (MFA) cho các lần đăng nhập từ xa, hành động đặc quyền và bảng điều khiển quản lý sao lưu.

PHẦN KẾT LUẬN

AntiHacker Ransomware minh họa cách các tác nhân đe dọa sử dụng các bộ công cụ như Xorist để tạo ra các âm mưu tống tiền mạnh mẽ, nhắm mục tiêu theo khu vực. Mã hóa dữ liệu, gắn thẻ tên tệp, tạo ghi chú đòi tiền chuộc đa ngôn ngữ và tin nhắn cưỡng chế đều được thiết kế để thúc đẩy việc thanh toán. Tuy nhiên, biện pháp đối phó mạnh nhất vẫn là sự chuẩn bị: sao lưu riêng biệt, phòng thủ nhiều lớp, người dùng được thông báo đầy đủ và kế hoạch ứng phó kỷ luật. Các tổ chức và cá nhân đầu tư vào các biện pháp bảo vệ này có thể biến một sự cố ransomware tiềm ẩn thảm khốc thành một sự cố có thể phục hồi.