Chip (MedusaLocker) Ransomware

Bảo vệ các thiết bị đầu cuối khỏi phần mềm độc hại hiện đại đã trở thành yêu cầu cơ bản đối với cả cá nhân và tổ chức. Các chiến dịch mã độc tống tiền tiếp tục phát triển về độ phức tạp, kết hợp mã hóa mạnh, đánh cắp dữ liệu và áp lực tâm lý để tối đa hóa tác động. Một biến thể đặc biệt tinh vi đang thu hút sự chú ý của các nhà phân tích là Chip Ransomware, một mối đe dọa có liên quan đến dòng mã độc MedusaLocker khét tiếng.

Tổng quan về mối đe dọa: Một biến thể của MedusaLocker với tác động được tăng cường.

Phần mềm tống tiền Chip Ransomware được xác định trong quá trình điều tra các mẫu phần mềm độc hại có rủi ro cao và đã được xác nhận là một biến thể thuộc dòng MedusaLocker. Việc phân loại này rất quan trọng, vì các mối đe dọa dựa trên MedusaLocker nổi tiếng với các chiến thuật tống tiền kép phối hợp, các thuật toán mã hóa mạnh mẽ và các chiến dịch nhắm mục tiêu vào doanh nghiệp.

Sau khi được triển khai, Chip mã hóa các tệp của người dùng và thêm phần mở rộng '.chip1' vào dữ liệu bị xâm phạm. Phần mở rộng số này có thể khác nhau, có thể phản ánh các phiên bản chiến dịch khác nhau hoặc mã định danh nạn nhân. Ví dụ, các tệp như '1.png' được đổi tên thành '1.png.chip1', và '2.pdf' trở thành '2.pdf.chip1'. Ngoài việc thay đổi phần mở rộng tệp, phần mềm tống tiền này còn tạo ra một ghi chú đòi tiền chuộc có tiêu đề 'Recovery_README.html' và sửa đổi hình nền máy tính để nhấn mạnh tính cấp bách và khả năng thu hút sự chú ý của cuộc tấn công.

Cơ chế mã hóa và sự cưỡng ép tâm lý

Thư đòi tiền chuộc của Chip tuyên bố rằng các tập tin được mã hóa bằng sự kết hợp của các thuật toán mã hóa RSA và AES. Phương pháp mã hóa lai này là điển hình của các hoạt động mã độc tống tiền cao cấp: AES được sử dụng để mã hóa nhanh ở cấp độ tập tin, trong khi RSA bảo mật các khóa đối xứng, khiến việc khôi phục bằng phương pháp vét cạn trở nên bất khả thi nếu không có khóa riêng do kẻ tấn công kiểm soát.

Thông báo nhấn mạnh rằng các tập tin không bị 'hỏng' mà chỉ bị 'sửa đổi', cảnh báo nạn nhân không nên sử dụng phần mềm khôi phục của bên thứ ba hoặc đổi tên các tập tin đã mã hóa. Những cảnh báo như vậy được thiết kế để ngăn chặn việc thử nghiệm và tăng khả năng trả tiền chuộc. Nạn nhân được thông báo rằng không có công cụ giải mã công khai nào tồn tại và chỉ có kẻ tấn công mới có thể khôi phục quyền truy cập.

Điều đáng lo ngại hơn nữa là, những kẻ điều hành Chip tuyên bố đã đánh cắp dữ liệu nhạy cảm và chuyển chúng đến một máy chủ riêng. Nếu không trả tiền, thông tin bị đánh cắp có thể bị công bố hoặc bán đi. Chiến lược tống tiền kép này làm tăng đáng kể áp lực, đặc biệt đối với các doanh nghiệp lo ngại về việc bị vướng vào rắc rối pháp lý và thiệt hại về uy tín.

Các nạn nhân được hướng dẫn liên hệ qua email tại địa chỉ 'recovery.system@onionmail.org' hoặc thông qua nền tảng nhắn tin qTox bằng ID được cung cấp. Thời hạn nghiêm ngặt là 72 giờ, sau đó số tiền chuộc được cho là sẽ tăng lên.

Những thách thức trong phục hồi và rủi ro vận hành

Trong hầu hết các trường hợp tấn công bằng mã độc tống tiền, việc khôi phục mà không cần trả tiền chuộc chỉ khả thi nếu có bản sao lưu đáng tin cậy, không bị ảnh hưởng. Khi không có các bản sao lưu như vậy, nạn nhân sẽ rơi vào tình thế khó khăn. Ngay cả khi đó, việc trả tiền chuộc cũng không đảm bảo sẽ nhận được công cụ giải mã hoạt động. Nhiều trường hợp được ghi nhận cho thấy kẻ tấn công có thể biến mất, yêu cầu thêm tiền hoặc cung cấp công cụ giải mã bị lỗi.

Việc loại bỏ Chip Ransomware khỏi các hệ thống bị nhiễm ngay lập tức là vô cùng quan trọng. Nếu để phần mềm độc hại này hoạt động, nó có thể tiếp tục mã hóa các tập tin mới được tạo hoặc kết nối và có khả năng lây lan sang các tài nguyên mạng dùng chung. Việc ngăn chặn kịp thời sẽ giảm thiểu phạm vi ảnh hưởng và ngăn ngừa mất dữ liệu thêm.

Các vectơ lây nhiễm: Chip xâm nhập bằng cách nào

Chip Ransomware lợi dụng các phương thức phát tán phổ biến nhưng cực kỳ hiệu quả. Email lừa đảo vẫn là kênh phát tán chính, thường chứa các tệp đính kèm độc hại hoặc các liên kết nhúng. Những tệp này thường được ngụy trang thành các tài liệu hợp pháp nhưng lại che giấu các phần mềm độc hại, tập lệnh hoặc các tệp lưu trữ chứa mã độc.

Các kỹ thuật nhân giống khác bao gồm:

• Khai thác các lỗ hổng phần mềm chưa được vá
• Các kế hoạch hỗ trợ kỹ thuật giả mạo
• Đóng gói kèm phần mềm lậu, phần mềm bẻ khóa hoặc phần mềm tạo mã kích hoạt.
• Phân phối thông qua mạng ngang hàng và các cổng tải xuống không chính thức.
• Quảng cáo độc hại và trang web bị xâm nhập

Phần mềm độc hại thường được nhúng trong các tệp thực thi, tệp lưu trữ nén hoặc các tài liệu như Word, Excel hoặc PDF. Khi nạn nhân mở hoặc kích hoạt nội dung bên trong tệp, phần mềm tống tiền sẽ được kích hoạt và bắt đầu quá trình mã hóa.

Tăng cường quốc phòng: Những thực tiễn tốt nhất về an ninh thiết yếu

Để phòng chống hiệu quả các loại mã độc tống tiền tinh vi như Chip, cần có một chiến lược bảo mật nhiều lớp và chủ động. Người dùng và các tổ chức nên thực hiện các biện pháp sau:

• Hãy duy trì các bản sao lưu dữ liệu quan trọng thường xuyên, ngoại tuyến và đã được kiểm tra.
• Luôn cập nhật đầy đủ hệ điều hành, ứng dụng và phần mềm bảo mật.
• Triển khai các giải pháp bảo vệ điểm cuối đáng tin cậy với khả năng giám sát thời gian thực.
• Tắt macro theo mặc định trong các tài liệu Microsoft Office.
• Hạn chế quyền quản trị và áp dụng nguyên tắc quyền tối thiểu.

• Thực hiện phân vùng mạng để hạn chế sự di chuyển ngang.

• Huấn luyện người dùng nhận biết các nỗ lực lừa đảo qua email và các tệp đính kèm đáng ngờ.

Ngoài các biện pháp trên, việc giám sát liên tục và chuẩn bị ứng phó sự cố là rất cần thiết. Các tổ chức nên thiết lập một kế hoạch ứng phó rõ ràng, nêu rõ các thủ tục cách ly, các bước phân tích pháp y và các giao thức liên lạc. Hệ thống ghi nhật ký và giám sát tập trung có thể giúp phát hiện hoạt động bất thường từ sớm, có khả năng ngăn chặn quá trình mã hóa trước khi hoàn tất.

Trong bối cảnh các mối đe dọa ngày càng gia tăng do các chiến dịch tấn công ransomware hung hăng, sự cảnh giác và chuẩn bị vẫn là những biện pháp phòng thủ hiệu quả nhất. Chip Ransomware là một ví dụ điển hình cho sự kết hợp giữa mã hóa mạnh, đánh cắp dữ liệu và các chiến thuật tống tiền. Một tư thế an ninh mạng bài bản, kết hợp với hành vi người dùng có hiểu biết, sẽ làm giảm đáng kể khả năng bị xâm nhập thành công và gián đoạn hoạt động lâu dài.