Phần mềm tống tiền NailaoLocker

Kịch bản liên tục thay đổi của các mối đe dọa mạng khiến các cá nhân và tổ chức phải thực hiện các bước chủ động để bảo vệ tài sản kỹ thuật số của họ. Trong số nhiều loại phần mềm độc hại đang lưu hành trực tuyến, ransomware vẫn là một trong những loại gây gián đoạn nhất. Phần mềm tống tiền NailaoLocker, một phần mềm tương đối mới trong danh sách ngày càng tăng các mối đe dọa dựa trên mã hóa, đã được phát hiện nhắm mục tiêu vào các tổ chức, đặc biệt là ở Châu Âu. Hiểu cách thức hoạt động của nó và cách phòng thủ chống lại nó là rất quan trọng để giảm thiểu thiệt hại tiềm ẩn.

Cách thức hoạt động của phần mềm tống tiền NailaoLocker

Phần mềm tống tiền NailaoLocker được viết bằng ngôn ngữ lập trình C++ và được thiết kế để mã hóa các tệp trên các thiết bị bị nhiễm. Khi hoạt động, nó sẽ khóa các tệp một cách có hệ thống và thêm phần mở rộng '.locked' vào tên của chúng. Ví dụ, một tài liệu có tên 'report.doc' sẽ được đổi tên thành 'report.doc.locked', khiến nạn nhân không thể truy cập được. Sau khi hoàn tất quá trình mã hóa, phần mềm tống tiền sẽ để lại một ghi chú đòi tiền chuộc có chứa hướng dẫn về cách lấy lại quyền truy cập vào các tệp bị ảnh hưởng.

Nạn nhân được thông báo rằng dữ liệu của họ sẽ chỉ được khôi phục nếu họ trả tiền chuộc bằng Bitcoin. Ghi chú cảnh báo rằng nếu không đáp ứng được yêu cầu của kẻ tấn công trong vòng một tuần, tệp sẽ bị xóa vĩnh viễn. Ngoài ra, ghi chú cảnh báo không nên cố gắng giải mã hoặc sửa đổi thủ công các tệp đã bị khóa, vì những hành động như vậy có thể dẫn đến mất dữ liệu thêm.

Liên kết đến các hoạt động tội phạm mạng trước đây

NailaoLocker đã được phát hiện trong các cuộc tấn công có điểm tương đồng với các cuộc tấn công do các tác nhân đe dọa Trung Quốc đã biết dàn dựng. Mặc dù không có sự quy kết trực tiếp nào được đưa ra, các nhà nghiên cứu suy đoán rằng phần mềm tống tiền này có thể được điều hành bởi một nhóm có quan hệ với Trung Quốc. Điều thú vị là, trong khi hầu hết các chiến dịch tống tiền hiện đại đều sử dụng chiến thuật tống tiền kép—đánh cắp dữ liệu nhạy cảm trước khi mã hóa—NailaoLocker không đề cập rõ ràng đến việc đánh cắp thông tin trong thông báo đòi tiền chuộc. Tuy nhiên, bằng chứng cho thấy rằng nó cố gắng thu thập dữ liệu hệ thống, có thể là vì mục đích thu thập thông tin tình báo.

Những hạn chế về mặt kỹ thuật của NailaoLocker

Mặc dù là mối đe dọa gây gián đoạn, NailaoLocker thiếu một số tính năng tinh vi được tìm thấy trong các chủng ransomware tiên tiến hơn. Nó không sử dụng các kỹ thuật chống gỡ lỗi, cũng không cố gắng vô hiệu hóa các quy trình hệ thống cần thiết trước khi bắt đầu mã hóa. Hạn chế này làm dấy lên mối lo ngại rằng ransomware có thể vô tình khiến hệ thống bị nhiễm không hoạt động được bằng cách mã hóa các tệp quan trọng cần thiết cho chức năng của nó.

NailaoLocker lây nhiễm hệ thống như thế nào

NailaoLocker đã được liên kết với các cuộc tấn công khai thác lỗ hổng trong phần mềm VPN Check Point, cụ thể là lỗ hổng được theo dõi là 'CVE-2024-24919.' Các nhà nghiên cứu phát hiện ra rằng ransomware đã được triển khai vào các hệ thống bị xâm phạm thông qua các công cụ độc hại khác, chẳng hạn như phần mềm độc hại ShadowPad và PlugX Remote Access Trojan (RAT). Các mối đe dọa này cung cấp cho kẻ tấn công quyền truy cập từ xa vào các máy mục tiêu, cho phép chúng thực thi NailaoLocker và bắt đầu quá trình mã hóa.

Tuy nhiên, ransomware thường lây lan bằng nhiều chiến thuật phân phối. Các vectơ lây nhiễm phổ biến bao gồm:

• Tệp đính kèm email gian lận và liên kết trong tin nhắn lừa đảo
• Tải xuống từ các trang web bị xâm phạm hoặc lừa đảo
• Khai thác lỗ hổng trong phần mềm lỗi thời và cơ sở hạ tầng mạng
• Cập nhật phần mềm giả mạo và chương trình vi phạm bản quyền
• Các ứng dụng bị nhiễm Trojan có vẻ hợp pháp nhưng lại chứa các mối đe dọa tiềm ẩn
• Truy cập từ xa trái phép được kích hoạt thông qua mật khẩu yếu hoặc rò rỉ thông tin xác thực

Tại sao trả tiền chuộc lại là rủi ro

Đối với nạn nhân của các cuộc tấn công ransomware, việc khôi phục các tệp được mã hóa thường là không thể nếu không có khóa giải mã do kẻ tấn công nắm giữ. Thật không may, việc trả tiền chuộc theo yêu cầu không đảm bảo rằng công cụ giải mã đã hứa sẽ được cung cấp. Tội phạm mạng không có nghĩa vụ phải thực hiện phần việc của mình và một số nạn nhân đã thấy mình phải trả số tiền lớn chỉ để nhận được phần mềm giải mã không hoạt động hoặc không đầy đủ. Hơn nữa, việc trả tiền chuộc khuyến khích tiếp tục hoạt động bất hợp pháp này, tài trợ cho tội phạm mạng tiếp theo.

Thực hành bảo mật tốt nhất để phòng chống Ransomware

Ngăn ngừa nhiễm ransomware đòi hỏi một chiến lược bảo mật nhiều lớp bao gồm cả biện pháp phòng thủ kỹ thuật và nhận thức của người dùng. Thực hiện các biện pháp thực hành tốt nhất sau đây, nguy cơ trở thành nạn nhân của các mối đe dọa như NailaoLocker sẽ giảm đáng kể:

• Sao lưu dữ liệu thường xuyên : Duy trì nhiều bản sao lưu của các tệp quan trọng ở nhiều vị trí khác nhau, bao gồm các bản sao lưu ngoại tuyến được lưu trữ trên ổ đĩa ngoài và lưu trữ đám mây có khả năng quản lý phiên bản. Điều này đảm bảo rằng ngay cả khi các tệp được mã hóa, chúng vẫn có thể được khôi phục mà không phải trả tiền chuộc.

Phần mềm tống tiền NailaoLocker làm nổi bật sự phát triển liên tục của các mối đe dọa mạng. Nó nhắm vào các tổ chức bằng cách khai thác các lỗ hổng phần mềm và cấu hình bảo mật yếu. Mặc dù phần mềm tống tiền cụ thể này có thể không phải là loại tiên tiến nhất, nhưng khả năng mã hóa tệp và phá vỡ hoạt động của nó không nên bị đánh giá thấp. Triển khai các biện pháp phòng thủ an ninh mạng mạnh mẽ, duy trì sao lưu dữ liệu phù hợp và luôn cập nhật thông tin về các mối đe dọa mới nổi là những cách tốt nhất để ngăn chặn các cuộc tấn công bằng phần mềm tống tiền.