Phần mềm tống tiền Raptum

Bảo vệ các thiết bị kỹ thuật số khỏi phần mềm độc hại đã trở thành một yêu cầu thiết yếu trong thời đại mà các hoạt động tội phạm mạng ngày càng tinh vi. Các chiến dịch mã độc tống tiền hiện đại nhắm mục tiêu vào cả cá nhân và tổ chức, mã hóa dữ liệu quan trọng và sử dụng các chiến thuật tống tiền để buộc phải trả tiền chuộc. Một mối đe dọa như vậy là mã độc tống tiền Raptum, một biến thể liên quan đến họ mã độc tống tiền MedusaLocker. Mối đe dọa này cho thấy cách thức tin tặc kết hợp mã hóa mạnh, áp lực tâm lý và các mối đe dọa rò rỉ dữ liệu để tối đa hóa cơ hội nhận được tiền chuộc. Hiểu cách thức hoạt động của phần mềm độc hại này là điều cần thiết để xây dựng các biện pháp phòng thủ hiệu quả.

Sự xuất hiện của phần mềm tống tiền Raptum

Phần mềm tống tiền Raptum là một biến thể liên quan đến họ phần mềm tống tiền MedusaLocker, một nhóm nổi tiếng với việc nhắm mục tiêu vào mạng lưới doanh nghiệp và hệ thống cá nhân bằng các chiến thuật tống tiền kép hung hăng. Sau khi được thực thi trên máy tính bị xâm nhập, phần mềm độc hại này mã hóa các tệp và thêm phần mở rộng đặc biệt như '.raptum46' vào các tệp bị ảnh hưởng. Thành phần số có thể khác nhau tùy thuộc vào phiên bản cụ thể mà kẻ tấn công sử dụng.

Ví dụ, một tệp tin ban đầu có tên '1.png' sẽ trở thành '1.png.raptum46', trong khi '2.pdf' có thể được đổi tên thành '2.pdf.raptum46'. Việc thay đổi này báo hiệu rằng các tệp tin không còn truy cập được nữa nếu không có công cụ giải mã của kẻ tấn công. Ngoài việc mã hóa dữ liệu, phần mềm tống tiền còn thay đổi hình nền máy tính của nạn nhân và tạo ra một ghi chú đòi tiền chuộc có tiêu đề 'RECOVER_DATA.html'.

Quá trình mã hóa ngăn cản nạn nhân mở các tài liệu, hình ảnh, cơ sở dữ liệu và các tệp quan trọng khác. Giống như nhiều loại mã độc tống tiền hiện đại, Raptum dựa vào các phương pháp mã hóa mạnh mẽ khiến việc giải mã bằng phương pháp vét cạn gần như bất khả thi nếu không có khóa do kẻ tấn công kiểm soát.

Bên trong yêu cầu đòi tiền chuộc

Thông báo đòi tiền chuộc do Raptum gửi được thiết kế để đe dọa nạn nhân và thúc ép họ thanh toán nhanh chóng. Theo thông báo, các tập tin đã bị mã hóa bằng thuật toán mã hóa RSA và AES, một sự kết hợp thường được sử dụng trong các hoạt động mã hóa tống tiền. Nạn nhân được cảnh báo rằng việc cố gắng khôi phục các tập tin bằng phần mềm của bên thứ ba có thể làm hỏng vĩnh viễn dữ liệu đã mã hóa.

Thông báo này cũng hướng dẫn các nạn nhân không được đổi tên hoặc sửa đổi các tệp đã mã hóa. Những cảnh báo này nhằm mục đích ngăn chặn các nỗ lực khôi phục độc lập và củng cố ý tưởng rằng chỉ có kẻ tấn công mới sở hữu công cụ giải mã cần thiết.

Một chiến thuật cưỡng ép đặc biệt mà Raptum sử dụng liên quan đến các mối đe dọa đánh cắp dữ liệu. Những kẻ tấn công tuyên bố rằng thông tin nhạy cảm đã bị đánh cắp và lưu trữ trên một máy chủ riêng. Nếu không trả tiền, dữ liệu bị đánh cắp có thể sẽ bị công bố hoặc bán cho các bên khác. Nạn nhân được hướng dẫn liên hệ với những kẻ tấn công qua các địa chỉ email như:

recovery2@salamati.vip

recovery2@amniyat.xyz

Thông điệp cũng đưa ra thời hạn 72 giờ, nêu rõ rằng giá tiền chuộc sẽ tăng lên nếu nạn nhân không liên lạc trong khoảng thời gian đó. Áp lực thời gian này là một chiến thuật tâm lý phổ biến được sử dụng trong các chiến dịch tống tiền bằng mã độc.

Điều gì xảy ra sau khi nhiễm trùng?

Một khi Raptum thực thi thành công, thiệt hại có thể leo thang nhanh chóng. Phần mềm tống tiền này quét hệ thống để tìm kiếm dữ liệu quan trọng và mã hóa nhiều loại tập tin khác nhau. Sau khi mã hóa, các tập tin sẽ không thể truy cập được nếu không có khóa giải mã chính xác.

Trong nhiều trường hợp, các cuộc tấn công ransomware không chỉ giới hạn ở một thiết bị duy nhất. Nếu hệ thống bị xâm nhập được kết nối với mạng, phần mềm độc hại có thể cố gắng lây lan sang các máy tính khác, ổ đĩa dùng chung hoặc thiết bị lưu trữ mạng. Khả năng này khiến ransomware đặc biệt nguy hiểm trong môi trường doanh nghiệp.

Các lựa chọn khôi phục rất hạn chế. Nếu có bản sao lưu và chúng không bị ảnh hưởng bởi cuộc tấn công, việc khôi phục dữ liệu có thể thực hiện được mà không cần trả tiền chuộc. Nếu không, nạn nhân phải chờ các nhà nghiên cứu an ninh mạng phát triển một công cụ giải mã miễn phí, một kết quả không được đảm bảo.

Việc loại bỏ ransomware ngay lập tức là vô cùng cần thiết. Để nó hoạt động trên hệ thống có thể cho phép mã hóa dữ liệu thêm, các nỗ lực lây nhiễm lại hoặc các hoạt động độc hại khác.

Các phương thức lây nhiễm và phân phối phổ biến

Raptum và các loại mã độc tống tiền tương tự dựa rất nhiều vào kỹ thuật thao túng tâm lý và các thủ đoạn phát tán lừa đảo để tiếp cận nạn nhân. Kẻ tấn công thường ngụy trang các tệp độc hại thành các tài liệu hoặc phần mềm hợp pháp để lừa người dùng thực thi chúng.

Các tác nhân lây nhiễm phổ biến bao gồm:

• Email lừa đảo chứa tệp đính kèm hoặc liên kết độc hại.
• Tin nhắn hỗ trợ kỹ thuật giả mạo hoặc trang web lừa đảo
• Phần mềm lậu, chương trình bẻ khóa và phần mềm tạo mã kích hoạt
• Quảng cáo độc hại và trang web bị xâm nhập
• Các tệp được chia sẻ thông qua mạng ngang hàng (P2P) hoặc nền tảng tải xuống của bên thứ ba.
• Ổ USB và thiết bị lưu trữ di động bị nhiễm virus
• Các cuộc tấn công khai thác lỗ hổng bảo mật nhắm vào phần mềm lỗi thời hoặc dễ bị tổn thương.

Các phương pháp này phụ thuộc rất nhiều vào sự tương tác của người dùng. Sau khi một tập tin độc hại được mở hoặc thực thi, phần mềm tống tiền có thể được triển khai âm thầm trong nền.

Tăng cường quốc phòng: Các biện pháp an ninh thiết yếu

Phòng chống các phần mềm tống tiền như Raptum đòi hỏi sự kết hợp giữa các biện pháp bảo vệ kỹ thuật và nhận thức của người dùng. Việc duy trì vệ sinh an ninh mạng tốt sẽ làm giảm đáng kể khả năng lây nhiễm thành công.

Một trong những biện pháp phòng vệ hiệu quả nhất là duy trì các bản sao lưu đáng tin cậy. Các bản sao lưu nên được lưu trữ ngoại tuyến hoặc trong môi trường đám mây an toàn mà hệ thống bị nhiễm không thể truy cập trực tiếp. Nếu phần mềm tống tiền mã hóa các tệp cục bộ, các bản sao lưu sạch sẽ cho phép khôi phục mà không cần thương lượng với kẻ tấn công.

Việc cập nhật phần mềm thường xuyên và quản lý bản vá lỗi cũng quan trọng không kém. Nhiều vụ tấn công ransomware khai thác các lỗ hổng trong các ứng dụng hoặc hệ điều hành lỗi thời. Đảm bảo hệ thống nhận được các bản cập nhật bảo mật kịp thời sẽ giúp bịt kín các điểm xâm nhập này.

Một lớp bảo vệ quan trọng khác liên quan đến phần mềm bảo mật uy tín có khả năng phát hiện hành vi đáng ngờ, chặn các lượt tải xuống độc hại và ngăn chặn hoạt động mã hóa trái phép. Các giải pháp bảo vệ điểm cuối tiên tiến có thể xác định các kiểu tấn công ransomware trước khi cuộc tấn công hoàn tất.

Người dùng cũng nên thận trọng khi tương tác với nội dung kỹ thuật số. Các tệp đính kèm email đáng ngờ, các liên kết không rõ nguồn gốc và phần mềm tải xuống từ các nguồn không chính thức tiềm ẩn rủi ro cao. Các tổ chức thường giảm thiểu mối đe dọa này thông qua việc đào tạo nâng cao nhận thức về an ninh mạng cho nhân viên.

Các biện pháp thực hành tốt nhất khác bao gồm:

• Luôn cập nhật hệ điều hành và ứng dụng.
• Sử dụng mật khẩu mạnh, độc đáo và bật xác thực đa yếu tố.
• Hạn chế quyền quản trị trên hệ thống
• Thường xuyên quét hệ thống để phát hiện phần mềm độc hại và lỗ hổng bảo mật.
• Vô hiệu hóa macro trong các tài liệu nhận được từ các nguồn không đáng tin cậy.

Khi kết hợp lại, các chiến lược này tạo ra các lớp phòng thủ giúp giảm đáng kể nguy cơ bị tấn công bằng mã độc tống tiền.

Đánh giá cuối kỳ

Mã độc tống tiền Raptum minh họa cho các chiến thuật ngày càng tinh vi được các nhóm tội phạm mạng hiện đại sử dụng. Thông qua mã hóa mạnh, các mối đe dọa rò rỉ dữ liệu và thời hạn nghiêm ngặt, kẻ tấn công cố gắng gây áp lực buộc nạn nhân phải trả tiền nhanh chóng. Vì việc giải mã mà không có khóa của kẻ tấn công hiếm khi khả thi, nên phòng ngừa vẫn là biện pháp bảo vệ đáng tin cậy nhất.

Các biện pháp bảo mật mạnh mẽ, việc xử lý cẩn thận nội dung trực tuyến và chiến lược sao lưu thường xuyên là những cách bảo vệ tốt nhất chống lại các chiến dịch tấn công bằng mã độc tống tiền. Khi các mối đe dọa trên mạng tiếp tục phát triển, việc duy trì các biện pháp an ninh mạng chủ động là điều cần thiết để bảo vệ cả dữ liệu cá nhân và dữ liệu của tổ chức.