Phần mềm tống tiền NeZha

Ransomware vẫn là một trong những mối đe dọa gây gián đoạn nghiêm trọng nhất đối với cá nhân và tổ chức. Chỉ một cuộc xâm nhập thành công cũng có thể làm gián đoạn hoạt động, làm hỏng hoặc đánh cắp dữ liệu nhạy cảm, và gây ra những nỗ lực phục hồi tốn kém. Xây dựng hệ thống phòng thủ mạnh mẽ, nhiều lớp trước khi sự cố xảy ra là cách duy nhất đáng tin cậy để giảm thiểu tác động khi kẻ tấn công thử vận may.

Tổng quan về mối đe dọa

Các nhà nghiên cứu đã xác định được một chủng loại ransomware tinh vi có tên gọi là NeZha. Giống như các loại ransomware khác cùng loại, mục tiêu cốt lõi của NeZha rất đơn giản: mã hóa càng nhiều tệp càng tốt và sau đó ép buộc người dùng trả tiền để có được khóa giải mã. Kẻ tấn công tự coi mình là con đường duy nhất để khôi phục dữ liệu và gia tăng áp lực bằng giới hạn thời gian và các mối đe dọa rò rỉ dữ liệu.

Hành vi trên hệ thống và thay đổi tệp

Khi NeZha đã chiếm được chỗ đứng, nó bắt đầu mã hóa dữ liệu người dùng và doanh nghiệp trên nhiều địa điểm phổ biến. Trong quá trình mã hóa, nó cũng đổi tên các mục bằng cách thêm mã định danh cụ thể của nạn nhân và phần mở rộng '.NeZha'. Trong các trường hợp quan sát được, tên tệp sẽ nhận được ID tương tự GUID; ví dụ, một tệp vô hại như '1.png' đã được chuyển đổi thành một tên tương tự như '1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha'. Sau khi hoàn tất quá trình, NeZha sẽ thả một ghi chú đòi tiền chuộc có tiêu đề 'README.TXT' vào các thư mục bị ảnh hưởng.

Tiền chuộc và chiến thuật gây áp lực

Bản ghi chú khẳng định rằng cơ sở dữ liệu, tài liệu, ảnh và các tệp khác đã được mã hóa và việc mua khóa giải mã từ kẻ tấn công là giải pháp duy nhất. Để tạo uy tín, tội phạm thường đề nghị giải mã miễn phí một tệp không quan trọng. Chúng cảnh báo không nên sửa đổi các tệp đã bị khóa, sử dụng công cụ giải mã của bên thứ ba hoặc tìm kiếm sự trợ giúp từ bên ngoài, với lý do điều này sẽ làm tăng tổn thất. Thời hạn liên hệ ban đầu được ấn định là 24 giờ; nếu không liên hệ được, kẻ tấn công sẽ đe dọa làm rò rỉ hoặc bán dữ liệu nhạy cảm của công ty mà chúng cho là đã đánh cắp được, một ví dụ về "tống tiền kép".

Thực tế phục hồi và tình thế tiến thoái lưỡng nan về thanh toán

Về mặt kỹ thuật, hầu hết các phần mềm tống tiền hiện đại đều không thể giải mã nếu không có khóa riêng của kẻ tấn công, trừ khi phần mềm độc hại bị lỗi nghiêm trọng, một kịch bản hiếm gặp. Tuy nhiên, việc trả tiền chuộc rất rủi ro và không được khuyến khích: nhiều nạn nhân không bao giờ nhận được mã giải mã hoạt động ngay cả sau khi chuyển tiền, và việc trả tiền chuộc sẽ duy trì hoạt động tội phạm. Giải pháp an toàn hơn là dựa vào các bản sao lưu ngoại tuyến sạch sẽ và ứng phó sự cố chính thức.

Ngăn chặn và loại bỏ

Việc xóa NeZha sẽ ngăn chặn mã hóa thêm nhưng không mở khóa các tệp đã bị ảnh hưởng. Ưu tiên hàng đầu là cô lập các hệ thống bị nhiễm khỏi mạng, bảo quản bằng chứng để điều tra pháp y, loại bỏ phần mềm độc hại bằng các công cụ uy tín hoặc xây dựng lại hệ thống, sau đó khôi phục từ các bản sao lưu đã biết là an toàn. Nếu bạn nghi ngờ dữ liệu bị rò rỉ, hãy kích hoạt kế hoạch ứng phó vi phạm và xem xét các nghĩa vụ pháp lý, quy định và thông báo cho khách hàng.

Cách lây lan thông thường của NeZha

NeZha tuân theo kịch bản của nhiều chiến dịch ransomware, lợi dụng cả phương thức phân phối do người dùng và kẻ tấn công thực hiện. Kẻ tấn công có thể ngụy trang các payload thành nội dung hợp pháp hoặc lén lút đưa chúng vào các gói phần mềm, sau đó kích hoạt thực thi khi tệp được mở hoặc tập lệnh được chạy. Một số biến thể cũng có thể lây lan theo chiều ngang trong mạng cục bộ hoặc tự sao chép vào phương tiện lưu động.

Các vectơ phân phối phổ biến

• Lừa đảo và tấn công kỹ thuật xã hội dẫn đến việc mở các tệp đính kèm có bẫy (Office/OneNote/PDF), tập lệnh (JavaScript), tệp lưu trữ (ZIP/RAR) hoặc tệp thực thi (.exe/.run).
• Trình cài đặt, trình tải và cửa hậu bị nhiễm Trojan kéo theo ransomware làm giai đoạn thứ hai.
• Tải xuống các tệp tin lừa đảo từ các trang web bị xâm phạm hoặc độc hại.
• Các nguồn tải xuống không đáng tin cậy (cổng thông tin miễn phí, bản sao của bên thứ ba, mạng P2P).
• Các chiến dịch thư rác, lừa đảo trực tuyến và quảng cáo độc hại chuyển hướng đến các trang web lừa đảo.
• Công cụ kích hoạt bất hợp pháp ('crack'), phần mềm/phương tiện vi phạm bản quyền và lời nhắc cập nhật giả mạo.
• Tự lây lan qua mạng cục bộ và bộ nhớ di động (ổ USB, ổ cứng HDD ngoài).

Suy nghĩ kết thúc

NeZha phù hợp với khuôn mẫu ransomware hiện đại: mã hóa nhanh, khả năng ép buộc mạnh mẽ và các mối đe dọa rò rỉ dữ liệu đáng tin cậy. Lợi thế tốt nhất của bạn là đạt được trước khi sự cố xảy ra, thông qua việc vệ sinh nghiêm ngặt, kiểm soát nhiều lớp, sao lưu đã được kiểm tra và ứng phó thực tiễn. Kết hợp các biện pháp bảo vệ kỹ thuật với đào tạo người dùng và vận hành kỷ luật để giảm cả khả năng xảy ra và phạm vi ảnh hưởng của một cuộc tấn công NeZha.