Jett Ransomware

Ransomware là một trong những dạng phần mềm độc hại nguy hiểm nhất, có khả năng mã hóa các tệp quan trọng và yêu cầu tiền chuộc để giải phóng chúng. Tội phạm mạng khai thác các lỗ hổng để xâm nhập vào hệ thống, khiến nạn nhân không thể truy cập vào dữ liệu của chính họ. Phòng ngừa là chìa khóa, vì việc trả tiền chuộc không đảm bảo khôi phục tệp và chỉ thúc đẩy các cuộc tấn công tiếp theo. Chủng Jett Ransomware là một ví dụ gần đây về mối đe dọa không ngừng phát triển này, chứng minh các cuộc tấn công mạng đã trở nên tinh vi như thế nào. Hiểu được hành vi của nó và triển khai các biện pháp bảo mật mạnh mẽ là điều cần thiết để bảo vệ dữ liệu của bạn.

Jett Ransomware là gì?

Jett Ransomware là một chủng mới được phát hiện được xác định thông qua các bản gửi phần mềm độc hại cho các nhà nghiên cứu. Sau khi xâm nhập vào hệ thống, nó mã hóa các tệp và sửa đổi tên tệp bằng cách thêm ID nạn nhân, địa chỉ email ('info@cloudminerapp.com') và phần mở rộng '.jett'. Ví dụ:

1.png → 1.png.[9ECFA84E][info@cloudminerapp.com].jett

2.pdf → 2.pdf.[9ECFA84E][info@cloudminerapp.com].jett

Sau khi mã hóa, Jett tạo ra hai ghi chú đòi tiền chuộc: info.hta và ReadMe.txt. Các tệp này thông báo cho nạn nhân rằng dữ liệu của họ đã bị khóa bằng mã hóa AES-256 và RSA-2048, các thuật toán tinh vi khiến việc giải mã trái phép gần như không thể thực hiện được.

Yêu cầu tiền chuộc và chiến thuật của kẻ tấn công

Ghi chú đòi tiền chuộc trấn an nạn nhân rằng các tập tin của họ có thể được phục hồi nhưng yêu cầu họ phải liên hệ với kẻ tấn công qua email ('info@cloudminerapp.com' hoặc '3998181090@qq.com') hoặc Telegram ('@decrypt30'). Để xây dựng lòng tin, bọn tội phạm đề nghị giải mã miễn phí tối đa hai tập tin nhỏ, không nhạy cảm. Tuy nhiên, chúng cũng đưa ra cảnh báo: bất kỳ nỗ lực nào để lừa dối họ sẽ dẫn đến việc tăng giá tiền chuộc.

Bất chấp những lời hứa của họ, nạn nhân nên tránh trả tiền chuộc. Không có gì đảm bảo rằng kẻ tấn công sẽ cung cấp khóa giải mã và việc trả tiền chỉ khuyến khích các hoạt động tội phạm tiếp theo. Thay vào đó, hãy tập trung vào việc ngăn chặn, xóa và khôi phục thông qua các bản sao lưu an toàn.

Cách thức lây lan của Jett Ransomware

Tội phạm mạng sử dụng nhiều chiến thuật để phát tán Jett Ransomware, thường lợi dụng kỹ thuật xã hội và lỗ hổng phần mềm:

• Tệp đính kèm và liên kết email lừa đảo: Kẻ tấn công sử dụng email lừa đảo có tệp đính kèm hoặc liên kết có hại kích hoạt thực thi phần mềm độc hại.
• Phần mềm vi phạm bản quyền và chương trình bị bẻ khóa: Ransomware thường đi kèm với các bản tải xuống bất hợp pháp, trình tạo khóa và công cụ kích hoạt.

• Trang web bị xâm phạm và quảng cáo độc hại: Truy cập vào trang web bị nhiễm hoặc nhấp vào quảng cáo độc hại có thể âm thầm cài đặt phần mềm tống tiền.

• Ổ đĩa USB và bộ nhớ ngoài: Phương tiện lưu trữ di động bị nhiễm có thể phát tán phần mềm độc hại sang các thiết bị khác khi được cắm vào.

• Phần mềm lỗi thời và lỗ hổng: Các lỗ hổng bảo mật chưa được vá trong hệ điều hành hoặc ứng dụng có thể bị khai thác để lây nhiễm.

Hầu hết các trường hợp nhiễm trùng xảy ra khi người dùng vô tình mở một tệp độc hại, khiến việc cảnh giác trở nên vô cùng quan trọng.

Các biện pháp bảo mật tốt nhất để ngăn chặn các cuộc tấn công Ransomware

Bảo vệ chống lại ransomware như Jett đòi hỏi một chiến lược an ninh mạng chủ động. Thực hiện theo các biện pháp tốt nhất sau để tăng cường khả năng phòng thủ của bạn:

1. Sao lưu dữ liệu thường xuyên : Duy trì sao lưu ngoại tuyến trên ổ đĩa ngoài hoặc bộ lưu trữ air-gapped. Sử dụng sao lưu đám mây với phiên bản để khôi phục các bản sao không được mã hóa. Đảm bảo sao lưu không được liên kết với mạng để ngăn ngừa nhiễm trùng.
2. Cập nhật phần mềm và hệ thống : Cài đặt bản vá bảo mật cho hệ điều hành và ứng dụng của bạn ngay lập tức. Bật cập nhật tự động cho các chương trình thiết yếu, bao gồm phần mềm diệt vi-rút. Cập nhật thường xuyên chương trình cơ sở trên bộ định tuyến và thiết bị mạng.
3. Sử dụng Giải pháp bảo mật mạnh mẽ : Triển khai chương trình diệt vi-rút có uy tín với khả năng bảo vệ theo thời gian thực. Sử dụng các công cụ phát hiện và phản hồi điểm cuối (EDR) để giám sát mối đe dọa nâng cao. Bật bảo vệ tường lửa để chặn truy cập mạng trái phép.
4. Hãy chú ý đến email và tải xuống : Tránh mở tệp đính kèm hoặc nhấp vào liên kết từ người gửi không xác định. Kiểm tra địa chỉ email và URL để tìm dấu hiệu lừa đảo tinh vi. Không bao giờ tải xuống phần mềm từ các trang web hoặc torrent không đáng tin cậy.
5. Hạn chế Quyền của Người dùng : Sử dụng tài khoản người dùng chuẩn thay vì tài khoản quản trị cho các hoạt động hàng ngày. Áp dụng quy tắc đặc quyền tối thiểu (PoLP) để hạn chế thực thi phần mềm. Bật danh sách trắng ứng dụng để ngăn các chương trình trái phép chạy.
6. Tắt các tính năng không cần thiết : Tắt macro trong Microsoft Office để chặn thực thi tập lệnh tự động. Tắt Remote Desktop Protocol (RDP) nếu không cần thiết để giảm các vectơ tấn công. Hạn chế PowerShell và chính sách thực thi tập lệnh để ngăn chặn thực thi phần mềm độc hại tự động.
7. Triển khai phân đoạn mạng : Tách các hệ thống quan trọng khỏi mạng người dùng chung.

• Sử dụng danh sách kiểm soát truy cập (ACL) để hạn chế lưu lượng truy cập nội bộ: Triển khai hệ thống phát hiện xâm nhập (IDS) để theo dõi hoạt động đáng ngờ.

• Giáo dục và đào tạo người dùng : Thực hiện đào tạo nhận thức về bảo mật để nhận biết các mối đe dọa lừa đảo và phần mềm độc hại. Khuyến khích báo cáo các email và hoạt động đáng ngờ cho nhóm CNTT. Kiểm tra thường xuyên nhân viên bằng các bài tập mô phỏng lừa đảo để nâng cao nhận thức.

Suy nghĩ cuối cùng

Jett Ransomware là mối đe dọa có khả năng gây ra tổn thất tài chính và dữ liệu nghiêm trọng. Vì việc giải mã các tệp mà không có sự trợ giúp của kẻ tấn công là gần như không thể, nên biện pháp phòng thủ tốt nhất là phòng ngừa. Bằng cách duy trì các bản sao lưu an toàn, thực hành vệ sinh an ninh mạng tốt và luôn cập nhật về các mối đe dọa đang phát triển, các cá nhân và tổ chức có thể giảm nguy cơ trở thành nạn nhân của các cuộc tấn công ransomware.