Phần mềm tống tiền Run (Makop)

Bảo vệ môi trường kỹ thuật số khỏi phần mềm độc hại đã trở thành trách nhiệm quan trọng đối với cả cá nhân và tổ chức. Các hoạt động tấn công ransomware hiện đại không còn là những hành vi gây phiền nhiễu nhất thời; chúng là những cuộc tấn công có tính toán, nhiều giai đoạn được thiết kế để mã hóa, tống tiền và công khai thông tin nhạy cảm. Một mối đe dọa tinh vi như vậy hiện đang được các nhà nghiên cứu bảo mật theo dõi là Run Ransomware, một biến thể độc hại thể hiện chiến thuật ngày càng tinh vi của các nhóm tội phạm mạng hiện đại.

Phần mềm tống tiền Run: Một biến thể của họ Makop

Các nhà phân tích an ninh đã xác định Run Ransomware là một thành viên của họ ransomware Makop, một nhóm các chủng phần mềm độc hại mã hóa tập tin nổi tiếng liên quan đến các kỹ thuật tống tiền hung hăng. Mối đe dọa này được phát hiện trong một cuộc điều tra rộng hơn về các chiến dịch ransomware đang hoạt động và mới nổi.

Sau khi được thực thi, Run Ransomware sẽ khởi động một quy trình mã hóa có hệ thống nhắm vào các tệp tin của người dùng trên toàn hệ thống bị xâm nhập. Sau khi mã hóa dữ liệu, nó sẽ sửa đổi tên tệp bằng cách thêm ba yếu tố riêng biệt: một ID nạn nhân duy nhất, một địa chỉ email liên hệ và phần mở rộng '.run'. Ví dụ, một tệp như '1.png' sẽ trở thành '1.png.[2AF20FA3].[runandpay@outlook.com].run'. Cấu trúc đổi tên này vừa là dấu hiệu cho thấy sự xâm nhập, vừa là một chiến thuật gây áp lực tâm lý, giúp phát hiện sự lây nhiễm ngay lập tức.

Ngoài việc mã hóa tập tin, phần mềm tống tiền còn thay đổi hình nền hệ thống để nhấn mạnh thông điệp tấn công và tạo ra một ghi chú đòi tiền chuộc có tiêu đề '+README-WARNING+.txt'. Những hành động này được thiết kế để đảm bảo nạn nhân không thể phớt lờ sự xâm nhập.

Các thủ đoạn tống tiền và áp lực tâm lý

Thư đòi tiền chuộc đưa ra một thông điệp rõ ràng và mang tính cưỡng ép. Nó tuyên bố rằng máy tính của nạn nhân đã bị khóa, các tập tin đã bị mã hóa và dữ liệu nhạy cảm đã bị đánh cắp. Sự kết hợp giữa mã hóa và đánh cắp dữ liệu này cho thấy một chiến lược tống tiền kép, một kỹ thuật ngày càng được các nhóm tội phạm ransomware hiện đại sử dụng.

Các nạn nhân được hướng dẫn liên hệ với những kẻ tấn công qua địa chỉ email được cung cấp, 'runandpay@outlook.com,' và ghi rõ ID duy nhất của họ. Thông báo nhấn mạnh tính cấp bách bằng cách đề nghị giảm tiền chuộc nếu liên lạc diễn ra trong vòng 24 giờ đầu tiên. Nó cũng đe dọa rằng nếu không tuân thủ, các tập tin bị đánh cắp sẽ bị công khai. Ngoài ra, nó cảnh báo rằng công cụ giải mã sẽ bị xóa nếu nạn nhân từ chối trả tiền, làm tăng nguy cơ mất dữ liệu vĩnh viễn.

Trên thực tế, việc trả tiền chuộc không đảm bảo khôi phục được dữ liệu. Nhiều nạn nhân nhận được công cụ giải mã không hoạt động hoặc bị bỏ mặc sau khi thanh toán. Nếu không có quyền truy cập vào khóa giải mã riêng của kẻ tấn công, việc khôi phục các tệp đã mã hóa thường là không thể trừ khi có bản sao lưu đáng tin cậy.

Các tác nhân gây bệnh và phương thức lây lan

Phần mềm tống tiền Run Ransomware sử dụng các kênh phân phối phổ biến nhưng cực kỳ hiệu quả trong lĩnh vực ransomware. Sự lây nhiễm thường xảy ra sau khi tương tác với nội dung độc hại hoặc lừa đảo. Các tác nhân đe dọa thường ngụy trang mã độc trong các tệp tin trông có vẻ hợp pháp hoặc thông thường.

Các con đường lây nhiễm phổ biến bao gồm:

• Email lừa đảo chứa tệp đính kèm hoặc liên kết độc hại.
• Tin nhắn hỗ trợ kỹ thuật giả mạo và các chiêu trò lừa đảo kỹ thuật xã hội
• Phần mềm lậu, phần mềm bẻ khóa và phần mềm tạo mã kích hoạt
• Các trang web bị xâm phạm hoặc lừa đảo
• Mạng chia sẻ tệp ngang hàng
• Quảng cáo độc hại và bộ công cụ khai thác lỗ hổng bảo mật
• Ổ USB bị nhiễm virus
• Khai thác các lỗ hổng phần mềm chưa được vá

Các tập tin độc hại có thể tự ngụy trang dưới dạng chương trình thực thi, tập lệnh, tệp lưu trữ nén (ZIP hoặc RAR) hoặc các định dạng tài liệu phổ biến như Word, Excel và PDF. Phần mềm lỗi thời làm tăng đáng kể nguy cơ bị tấn công, vì các tác nhân đe dọa thường khai thác các lỗ hổng đã biết để giành quyền truy cập ban đầu.

Tầm quan trọng của việc loại bỏ ngay lập tức

Một khi đã xâm nhập vào hệ thống, ransomware cần được loại bỏ càng nhanh càng tốt. Nếu để nó hoạt động, nó có thể tiếp tục mã hóa các tập tin mới được tạo hoặc kết nối, bao gồm cả các tập tin nằm trên ổ đĩa mạng được ánh xạ hoặc bộ nhớ dùng chung. Trong môi trường doanh nghiệp, điều này có thể biến một điểm cuối bị xâm nhập thành một sự cố mạng trên diện rộng.

Việc cách ly kịp thời thiết bị bị nhiễm khỏi mạng có thể ngăn chặn sự lây lan ngang. Tuy nhiên, chỉ việc loại bỏ thiết bị không giải mã được các tập tin bị ảnh hưởng; nó chỉ ngăn chặn các hoạt động độc hại tiếp theo.

Tăng cường quốc phòng: Các biện pháp an ninh thiết yếu

Để phòng chống hiệu quả phần mềm tống tiền Run Ransomware và các mối đe dọa tương tự, cần có chiến lược bảo mật nhiều lớp. Mặc dù không có hệ thống nào hoàn toàn miễn nhiễm, nhưng các biện pháp thực hành tốt nhất sau đây sẽ giảm đáng kể nguy cơ bị tấn công:

• Hãy thường xuyên sao lưu dữ liệu ngoại tuyến hoặc trên đám mây và kiểm tra tính toàn vẹn của chúng.
• Luôn cập nhật hệ điều hành và ứng dụng với các bản vá bảo mật mới nhất.
• Hãy sử dụng các giải pháp bảo vệ điểm cuối uy tín với khả năng phát hiện mối đe dọa theo thời gian thực.

• Hãy tắt macro trong các tài liệu Office trừ khi thực sự cần thiết.

• Tránh tải xuống phần mềm lậu hoặc không chính thức.

• Hãy thận trọng với những email không được yêu cầu, đặc biệt là những email có tệp đính kèm hoặc yêu cầu khẩn cấp.

• Hạn chế quyền quản trị để ngăn chặn việc thay đổi hệ thống trái phép.

• Triển khai phân vùng mạng trong môi trường tổ chức.

Bên cạnh các biện pháp kiểm soát kỹ thuật, nhận thức của người dùng vẫn là nền tảng của khả năng phục hồi an ninh mạng. Việc đào tạo cá nhân nhận biết các nỗ lực lừa đảo và các nội dung tải xuống đáng ngờ có thể làm giảm đáng kể tỷ lệ lây nhiễm thành công.

Đánh giá cuối kỳ

Phần mềm tống tiền Run Ransomware là một ví dụ điển hình cho sự tinh vi ngày càng tăng của các hoạt động tống tiền hiện đại. Thông qua mã hóa, đánh cắp dữ liệu và thao túng tâm lý, nó gây áp lực buộc nạn nhân phải nhanh chóng đưa ra quyết định thanh toán. Mối liên hệ của nó với dòng phần mềm tống tiền Makop cho thấy bản chất có cấu trúc và luôn phát triển của các tổ chức tội phạm này.

Khôi phục mà không có bản sao lưu thường là điều không khả thi, và việc trả tiền chuộc vẫn là một canh bạc rủi ro cao. Biện pháp bảo vệ đáng tin cậy nhất nằm ở việc chủ động phòng thủ: các chiến lược sao lưu mạnh mẽ, cập nhật phần mềm kịp thời, bảo vệ điểm cuối hiệu quả và hành vi người dùng có hiểu biết. Trong bối cảnh các mối đe dọa hiện nay, sự chuẩn bị không phải là tùy chọn, mà là điều thiết yếu.