Phần mềm tống tiền HybridPetya

Thế giới số đang bị tấn công liên tục bởi tội phạm mạng, những kẻ liên tục tinh chỉnh các công cụ để khai thác người dùng và tổ chức. Trong số những mối đe dọa đáng lo ngại nhất là các dòng ransomware không chỉ mã hóa tệp mà còn tấn công các thành phần cấp hệ thống để tối đa hóa thiệt hại. HybridPetya Ransomware là một ví dụ điển hình cho sự phát triển này, kết hợp các tính năng của Petya và NotPetya, đồng thời bổ sung thêm các khả năng mới nguy hiểm.

Điều gì làm cho HybridPetya trở nên độc đáo

Không giống như ransomware thông thường kích hoạt sau khi hệ điều hành đã tải xong, HybridPetya có cách tiếp cận mang tính hủy diệt hơn. Nó có khả năng vượt qua cơ chế bảo vệ UEFI Secure Boot trên các hệ thống dễ bị tấn công, khai thác lỗ hổng được xác định là CVE-2024-7344. Bằng cách này, nó khởi chạy các hoạt động độc hại trước cả khi hệ điều hành khởi động, tạo cho nó một chỗ đứng vững chắc trên hệ thống.

Khi được kích hoạt, HybridPetya mã hóa các tệp hệ thống thiết yếu trên các phân vùng NTFS. Để che giấu quá trình này, nó hiển thị màn hình CHKDSK giả, đánh lừa nạn nhân tin rằng hệ thống của họ đang được bảo trì bình thường. Sau khi mã hóa hoàn tất, nạn nhân thấy mình bị khóa khỏi dữ liệu quan trọng mà không có đường dẫn khôi phục đơn giản.

Tờ tiền chuộc và yêu cầu của kẻ tấn công

Sau khi mã hóa, HybridPetya gửi một thông báo đòi tiền chuộc tuyên bố rằng tất cả các tệp quan trọng đã bị khóa. Nó cảnh báo nạn nhân rằng mọi nỗ lực khôi phục mà không có dịch vụ giải mã của kẻ tấn công sẽ thất bại. Hướng dẫn yêu cầu thanh toán 1000 đô la Bitcoin, sau đó gửi email đến địa chỉ 'wowsmith123457@proton.me' với ID ví và khóa cài đặt cá nhân.

Ghi chú cũng bao gồm một trường để nạn nhân nhập khóa giải mã đã mua. Tuy nhiên, như với hầu hết các chiến dịch ransomware khác, không có gì đảm bảo rằng việc trả tiền sẽ giúp khôi phục dữ liệu. Trong nhiều trường hợp, kẻ tấn công sẽ biến mất sau khi thanh toán, khiến nạn nhân không còn tiền lẫn dữ liệu.

HybridPetya lây lan như thế nào

HybridPetya sử dụng nhiều kênh phân phối khác nhau để tối đa hóa khả năng lây nhiễm. Nó có thể lây lan qua:

• Các lỗ hổng bị khai thác như CVE-2024-7344.
• Email lừa đảo có chứa tệp đính kèm hoặc liên kết độc hại.
• Phần mềm lậu, crack và keygen đi kèm với phần mềm độc hại.
• Các trang web bị xâm phạm và quảng cáo độc hại kích hoạt tính năng tải xuống tự động.
• Các thiết bị di động bị nhiễm virus như ổ USB và ổ đĩa ngoài.
• Mạng ngang hàng và cổng tải xuống không đáng tin cậy.

Tội phạm mạng thường ngụy trang mã độc trong các tệp thực thi, tệp nén hoặc tệp tài liệu (ví dụ: Word hoặc PDF). Người dùng vô tình kích hoạt mã độc bằng cách mở các tệp này hoặc kích hoạt macro/script.

Những thách thức trong quá trình phục hồi và lý do tại sao trả tiền là một sai lầm

Các tệp bị mã hóa bởi HybridPetya thường không thể khôi phục nếu không có công cụ giải mã riêng của kẻ tấn công. Mặc dù đôi khi có các giải pháp của bên thứ ba, nhưng chúng rất hiếm và không đảm bảo hiệu quả. Cách đáng tin cậy nhất để khôi phục là thông qua các bản sao lưu an toàn được tạo trước khi bị nhiễm.

Việc trả tiền chuộc không được khuyến khích mạnh mẽ. Không chỉ không chắc chắn rằng bọn tội phạm sẽ thực hiện lời hứa, mà việc làm đó còn khuyến khích các cuộc tấn công tiếp theo bằng cách tài trợ cho các chiến dịch trong tương lai. Việc loại bỏ HybridPetya khỏi hệ thống là điều cần thiết để ngăn chặn thiệt hại bổ sung và sự lây lan trên toàn mạng.

Các biện pháp tốt nhất để được bảo vệ

Việc xây dựng hệ thống phòng thủ vững chắc chống lại ransomware đòi hỏi các biện pháp chủ động và quy trình an ninh mạng nhất quán. Các biện pháp sau đây giúp giảm đáng kể nguy cơ lây nhiễm:

Sao lưu thường xuyên – Lưu trữ các bản sao lưu ngoại tuyến hoặc trên đám mây với tính năng quản lý phiên bản được bật để đảm bảo phục hồi mà không cần dựa vào tội phạm.

Bản vá và Cập nhật Hệ thống – Cập nhật hệ điều hành và chương trình cơ sở kịp thời. Vì HybridPetya khai thác các lỗ hổng chưa được vá như CVE-2024-7344, việc vá lỗi kịp thời là rất quan trọng.

Sử dụng Phần mềm bảo mật đáng tin cậy – Cài đặt và duy trì các giải pháp chống vi-rút và chống phần mềm tống tiền uy tín có khả năng bảo vệ theo thời gian thực.

Thận trọng khi sử dụng email – Tránh mở các tệp đính kèm không mong muốn hoặc nhấp vào các liên kết, ngay cả khi chúng có vẻ đến từ người gửi quen biết.

Tránh xa nội dung vi phạm bản quyền – Không tải xuống phần mềm bị bẻ khóa hoặc keygen vì đây là những tác nhân thường mang theo phần mềm độc hại.

Hạn chế Macro và Script – Vô hiệu hóa macro trong tài liệu Office và tránh chạy các script từ các nguồn chưa được xác minh.

Tăng cường bảo mật UEFI/BIOS – Cập nhật chương trình cơ sở và kích hoạt mọi biện pháp bảo vệ có sẵn để giảm nguy cơ bị tấn công bằng phần mềm độc hại trước khi khởi động.

Phân đoạn mạng và tường lửa – Hạn chế khả năng lây lan ngang của phần mềm tống tiền bằng cách thực thi kiểm soát truy cập.

Suy nghĩ cuối cùng

Mã độc tống tiền HybridPetya cho thấy cách thức các tác nhân đe dọa đang leo thang phương thức tấn công bằng cách nhắm mục tiêu vào hệ thống ở cấp độ sâu hơn so với mã độc tống tiền thông thường. Với khả năng vượt qua UEFI Secure Boot và mã hóa các tệp quan trọng của hệ thống, mã độc này gây ra rủi ro nghiêm trọng cho cả cá nhân và tổ chức. Bằng cách tránh các hành vi nguy hiểm, duy trì hệ thống phòng thủ mạnh mẽ và ưu tiên sao lưu an toàn, người dùng có thể giảm đáng kể nguy cơ bị tấn công bởi mối đe dọa phần mềm độc hại tiên tiến này.