Phần mềm tống tiền Bricks

Bảo vệ các hệ thống kỹ thuật số khỏi phần mềm độc hại đã trở thành một nhu cầu thiết yếu trong thời đại mà các mối đe dọa trên mạng ngày càng tinh vi và gây ảnh hưởng sâu rộng. Đặc biệt, mã độc tống tiền (ransomware) gây ra rủi ro nghiêm trọng cho cả cá nhân và tổ chức bằng cách khóa quyền truy cập vào dữ liệu quan trọng và đòi tiền chuộc để mở khóa. Một ví dụ đáng chú ý về mối đe dọa này là Bricks Ransomware, một biến thể liên quan đến họ mã độc tống tiền Proton.

Sự xuất hiện của phần mềm tống tiền Bricks

Bricks Ransomware là một biến thể cực kỳ nguy hiểm, được thiết kế để xâm nhập hệ thống, mã hóa dữ liệu và gây áp lực buộc nạn nhân phải trả tiền chuộc. Sau khi được thực thi trên thiết bị bị xâm nhập, nó sẽ khởi động một chuỗi các hành động độc hại khiến các tập tin của người dùng nhanh chóng không thể truy cập được. Mối đe dọa này cho thấy xu hướng ngày càng gia tăng của các dòng mã độc tống tiền, chúng đang phát triển thành những hình thức hung hăng và thao túng tâm lý hơn.

Mã hóa tập tin và sửa đổi hệ thống

Sau khi xâm nhập vào hệ thống, Bricks bắt đầu mã hóa các tập tin và đổi tên chúng theo một mẫu đặc trưng. Mỗi tập tin bị ảnh hưởng đều có thêm địa chỉ email cùng với phần mở rộng '.bricks'. Ví dụ, một tập tin ban đầu có tên '1.png' sẽ trở thành '1.png.[brunobiden76@gmail.com].bricks', cho thấy rõ ràng nó đã được mã hóa và không thể sử dụng được.

Ngoài việc mã hóa tập tin, phần mềm tống tiền này còn thay đổi môi trường máy tính bằng cách thay đổi hình nền, nhấn mạnh sự hiện diện của cuộc tấn công. Nó cũng để lại một ghi chú đòi tiền chuộc có tiêu đề '#HowToRecoverFiles.txt', đảm bảo rằng nạn nhân ngay lập tức phải đối mặt với các hướng dẫn từ những kẻ tấn công.

Chiến thuật gửi thư đòi tiền chuộc và áp lực tâm lý

Thư đòi tiền chuộc đóng vai trò là công cụ chính để ép buộc. Nó khẳng định rằng tất cả các tập tin không chỉ bị mã hóa mà còn bị đánh cắp sang các máy chủ từ xa. Nạn nhân được cảnh báo không nên sử dụng các phần mềm diệt virus, với lời khẳng định sai sự thật rằng việc đó có thể làm hỏng dữ liệu của họ vĩnh viễn. Ngoài ra, thư còn ngăn cản việc tìm kiếm sự trợ giúp từ các chuyên gia phục hồi dữ liệu, nhằm cô lập nạn nhân và hạn chế các lựa chọn của họ.

Hai địa chỉ email liên lạc là 'brunobiden76@gmail.com' và 'brickscold6@gmail.com' được cung cấp để liên lạc. Thời hạn nghiêm ngặt là 72 giờ được đặt ra, kèm theo lời đe dọa rằng dữ liệu bị đánh cắp sẽ bị công bố trên dark web nếu không liên lạc được thực hiện. Sự kết hợp giữa tính cấp bách và nỗi sợ hãi này là đặc điểm nổi bật của các chiến dịch ransomware hiện đại.

Khôi phục dữ liệu và rủi ro thanh toán

Trong hầu hết các vụ tấn công bằng mã độc tống tiền, bao gồm cả những vụ liên quan đến Bricks, các tập tin đã mã hóa không thể khôi phục được nếu không có khóa giải mã do kẻ tấn công kiểm soát. Tuy nhiên, việc trả tiền chuộc vẫn là một quyết định rất rủi ro. Không có gì đảm bảo rằng kẻ tấn công sẽ cung cấp công cụ giải mã hoạt động được, và việc trả tiền chuộc chỉ khuyến khích thêm các hoạt động tội phạm khác.

Việc khôi phục vẫn có thể thực hiện được nếu có các bản sao lưu sạch, không bị ảnh hưởng. Vì lý do này, việc duy trì các bản sao lưu thường xuyên là một trong những biện pháp phòng vệ hiệu quả nhất chống lại việc mất dữ liệu do ransomware gây ra.

Các tác nhân gây bệnh và phương thức lây lan

Mã độc tống tiền Bricks lây lan qua nhiều kỹ thuật lừa đảo khác nhau. Tội phạm mạng dựa vào cả các lỗ hổng kỹ thuật và kỹ thuật thao túng tâm lý để tối đa hóa tỷ lệ lây nhiễm. Các kênh phân phối phổ biến bao gồm:

• Các email lừa đảo chứa tệp đính kèm hoặc liên kết độc hại được ngụy trang dưới dạng tài liệu hợp pháp.
• Các trang web bị xâm nhập hoặc giả mạo và quảng cáo độc hại.
• Mạng chia sẻ tập tin ngang hàng và tải xuống phần mềm lậu
• Ổ USB bị nhiễm virus và các công cụ tải xuống của bên thứ ba
• Khai thác các lỗ hổng trong phần mềm hoặc hệ điều hành lỗi thời.

Kẻ tấn công thường ngụy trang các phần mềm độc hại dưới dạng các tệp tin vô hại, bao gồm PDF, tài liệu Office, tệp lưu trữ nén hoặc chương trình thực thi, làm tăng khả năng người dùng tương tác.

Tăng cường khả năng phòng thủ chống lại phần mềm tống tiền

Một hệ thống an ninh mạng mạnh mẽ sẽ giảm đáng kể nguy cơ bị tấn công. Người dùng và các tổ chức nên áp dụng chiến lược phòng thủ nhiều lớp, kết hợp giữa nhận thức, phòng ngừa và phản ứng nhanh chóng:

• Luôn cập nhật hệ điều hành và phần mềm để vá các lỗ hổng bảo mật đã biết.
• Sử dụng các giải pháp bảo mật uy tín với khả năng phát hiện mối đe dọa theo thời gian thực.
• Tránh tải phần mềm từ các nguồn không đáng tin cậy hoặc không chính thức.
• Hãy thận trọng khi mở tệp đính kèm email hoặc nhấp vào các liên kết, đặc biệt là từ người gửi không xác định.
• Hãy thường xuyên sao lưu dữ liệu quan trọng bằng phương pháp ngoại tuyến để đảm bảo khôi phục mà không cần trả tiền chuộc.
• Hãy tắt macro trong các tài liệu Office trừ khi thực sự cần thiết.
• Giới hạn quyền hạn của người dùng để giảm thiểu tác động tiềm tàng của việc thực thi mã độc hại.

Đánh giá cuối kỳ

Mã độc tống tiền Bricks là một ví dụ điển hình cho sự phức tạp và hung hăng ngày càng tăng của các mối đe dọa mạng hiện đại. Khả năng mã hóa tập tin, thao túng nạn nhân bằng các chiến thuật tâm lý và đe dọa lộ dữ liệu của nó nhấn mạnh tầm quan trọng của các biện pháp an ninh mạng chủ động. Loại bỏ kịp thời các mối đe dọa như vậy là điều cần thiết, vì sự hiện diện lâu dài trên hệ thống có thể dẫn đến việc mã hóa dữ liệu sâu hơn hoặc lây lan ngang qua các mạng được kết nối. Sự kết hợp giữa cảnh giác, các biện pháp bảo vệ kỹ thuật và sao lưu đáng tin cậy vẫn là biện pháp phòng thủ hiệu quả nhất chống lại các cuộc tấn công mã độc tống tiền.