Hitobito Ransomware

Các nhà nghiên cứu an ninh mạng đã xác định được một mối đe dọa ransomware mới có tên Hitobito. Phần mềm đe dọa này mã hóa các tập tin trên thiết bị bị nhiễm, khiến người dùng không thể truy cập được chúng. Sau đó, những kẻ tấn công yêu cầu nạn nhân thanh toán để đổi lấy việc giải mã dữ liệu bị ảnh hưởng. Sau khi kích hoạt, Hitobito thêm phần mở rộng '.hitobito' vào tên tệp gốc của các tệp được mã hóa. Ví dụ: một tệp có tên '1.png' sẽ xuất hiện dưới dạng '1.jpg.hitobito' và '2.pdf' dưới dạng '2.pdf.hitobito', v.v. đối với tất cả các tệp bị khóa.

Sau quá trình mã hóa, Hitobito hiển thị một thông báo đòi tiền chuộc trong một cửa sổ bật lên và tạo một thông báo khác trong tệp văn bản có tiêu đề 'KageNoHitobito_ReadMe.txt.' Cả hai tin nhắn đều có nội dung giống nhau. Điều đáng chú ý là người ta đã xác định được rằng phiên bản của Hitobito Ransomware được phát hiện có thể giải mã được mà không yêu cầu nạn nhân phải giao chiến với những kẻ tấn công.

Hitobito cố gắng tống tiền nạn nhân bằng cách lấy dữ liệu làm con tin

Thông báo đòi tiền chuộc của Hitobito dùng để thông báo cho nạn nhân rằng dữ liệu của họ đã được mã hóa, thúc đẩy họ tương tác với những kẻ tấn công thông qua trò chuyện trên trang web mạng Tor để thương lượng giá giải mã. Tuy nhiên, có một điều may mắn dành cho những người bị ảnh hưởng bởi Hitobito – phần mềm ransomware này có thể giải mã được. Mật khẩu hoặc khóa giải mã là 'Password123' (không có dấu ngoặc kép).

Tuy nhiên, mặc dù Hitobito hiện có thể giải mã được nhưng các lần lặp lại trong tương lai của phần mềm độc hại này có thể đi kèm với các khóa khôi phục khác nhau. Ransomware thường sử dụng các thuật toán mã hóa mạnh mẽ và các khóa duy nhất, khiến việc giải mã mà không có sự tham gia của kẻ tấn công trở nên hiếm gặp.

Hơn nữa, không phải lúc nào nạn nhân cũng có thể nhận được khóa hoặc phần mềm khôi phục như đã hứa ngay cả sau khi đáp ứng yêu cầu về tiền chuộc. Điều này nhấn mạnh rủi ro liên quan đến việc trả tiền chuộc, vì nó không những không đảm bảo giải mã tệp mà còn hỗ trợ các hoạt động tội phạm.

Để ngăn chặn việc mã hóa thêm dữ liệu bằng ransomware như Hitobito, điều cần thiết là phải xóa phần mềm độc hại khỏi hệ điều hành. Tuy nhiên, điều quan trọng cần hiểu là việc loại bỏ phần mềm tống tiền sẽ không khôi phục được các tệp đã bị xâm phạm.

Các biện pháp bảo mật giúp bạn bảo vệ dữ liệu và thiết bị của mình tốt hơn trước các mối đe dọa từ ransomware

Triển khai phương pháp bảo mật nhiều lớp là điều cần thiết để bảo vệ dữ liệu và thiết bị tốt hơn trước các mối đe dọa từ ransomware. Dưới đây là một số biện pháp bảo mật chính:

• Cập nhật phần mềm và quản lý bản vá nhất quán : Đảm bảo rằng tất cả các hệ điều hành, ứng dụng phần mềm và chương trình bảo mật đều được cập nhật một cách có hệ thống với các bản vá bảo mật mới nhất. Phần mềm lỗi thời có lỗ hổng có thể bị kẻ tấn công ransomware khai thác.
• Sử dụng phần mềm chống phần mềm độc hại : Cài đặt phần mềm chống phần mềm độc hại có uy tín trên tất cả các thiết bị và luôn cập nhật chúng. Những ứng dụng này có thể giúp phát hiện và ngăn ngừa lây nhiễm ransomware trước khi chúng có thể gây ra thiệt hại.

• Bảo vệ tường lửa : Kích hoạt tường lửa trên tất cả các thiết bị và mạng để giám sát và kiểm soát lưu lượng đến và đi. Tường lửa có thể giúp chặn ransomware truy cập vào thiết bị và lây lan trên các mạng.

• Đào tạo và nâng cao nhận thức cho nhân viên : Giáo dục nhân viên về những rủi ro của ransomware và dạy họ cách xác định các email, liên kết và tệp đính kèm đáng ngờ. Tiến hành đào tạo nâng cao nhận thức về bảo mật thường xuyên để thúc đẩy thực hành điện toán an toàn.

• Kiểm soát quyền truy cập và đặc quyền tối thiểu : Giới hạn đặc quyền của người dùng và quyền truy cập chỉ ở những quyền cần thiết cho vai trò của họ. Củng cố nguyên tắc đặc quyền tối thiểu để giảm thiểu tác động của các cuộc tấn công bằng ransomware bằng cách hạn chế quyền truy cập vào dữ liệu nhạy cảm và các hệ thống quan trọng.

• Sao lưu dữ liệu : Thường xuyên sao lưu dữ liệu lên các giải pháp sao lưu ngoại tuyến hoặc dựa trên đám mây. Đảm bảo rằng các bản sao lưu được mã hóa, thường xuyên kiểm tra độ tin cậy và được lưu trữ an toàn.

• Phân đoạn mạng : Phân đoạn mạng để tách biệt các hệ thống quan trọng và dữ liệu riêng tư khỏi các phần khác của mạng. Điều này có thể giúp ngăn chặn sự lây lan của ransomware và hạn chế thiệt hại do lây nhiễm.

Bằng cách triển khai các biện pháp bảo mật này, các tổ chức có thể bảo vệ dữ liệu và thiết bị của mình tốt hơn trước các mối đe dọa từ ransomware và giảm nguy cơ trở thành nạn nhân của các cuộc tấn công gây thiệt hại này.

Yêu cầu tiền chuộc được gửi tới các nạn nhân của Hitobito Ransomware có nội dung:

'Ooops, your files have been encrypted by Kage No Hitobito Group!

All your important files and documents have been encrypted by us.

Step 1:
On your current desktop, open up your default browser.
Search for Tor Browser or visit hxxps://www.torproject.org/
If you cannot access Tor then use a VPN to get it instead.
Then download to the Tor Browser and follow Step 2.

Step 2:
Navigate to the group chat and select 'Hitobito' from the username list.
Message with your situation and the price you are willing to pay for your files.
hxxp://notbumpz34bgbz4yfdigxvd6vzwtxc3zpt5imukgl6bvip2nikdmdaad.onion/chat/
If you do not know how to private messasge, ask the chat, they are usually friendly.
Though we advise you not to click links or follow any discussion they talk of.

Step 3: This is the important part, the one where you restore your computer quickly.
If you negotiate correctly and pay our ransom, we will send you a decryptor.
Reminder that 'Hitobito' can be impersonated or be one of several group members.'