Phần mềm tống tiền SuperBlack
Các mối đe dọa mạng đang phát triển nhanh chóng, trong đó ransomware vẫn là một trong những hình thức tấn công tàn khốc nhất. Một lần lây nhiễm có thể dẫn đến tổn thất tài chính, thời gian ngừng hoạt động và tiết lộ thông tin nhạy cảm. SuperBlack Ransomware là một chủng mới và tinh vi được nghi ngờ dựa trên LockBit 3.0 . Nó mã hóa các tệp của nạn nhân, yêu cầu tiền chuộc và đe dọa làm rò rỉ dữ liệu bị chiếm đoạt. Việc hiểu các phương pháp của nó và áp dụng các biện pháp an ninh mạng mạnh mẽ là rất quan trọng để ngăn ngừa và giảm thiểu các cuộc tấn công như vậy.
Mục lục
Ransomware SuperBlack: Cách thức hoạt động
SuperBlack được thiết kế để mã hóa các tệp và khiến nạn nhân không thể truy cập được. Không giống như các loại ransomware thông thường sử dụng phần mở rộng cố định, SuperBlack thêm một chuỗi ký tự ngẫu nhiên vào tên tệp. Ví dụ:
- 1.png → 1.png.fB1SZ2i3X
Sau khi quá trình mã hóa hoàn tất, SuperBlack sẽ thực hiện thêm những sửa đổi sau:
- Hình nền máy tính được đổi thành cảnh báo tiền chuộc.
- Một thông báo đòi tiền chuộc được gửi kèm theo tên tệp ngẫu nhiên theo mẫu '[random_string].README.txt.'
Trộm cắp dữ liệu và tống tiền
SuperBlack không chỉ là về mã hóa—nó còn kết hợp các chiến thuật tống tiền kép. Những kẻ tấn công tuyên bố rằng chúng đã đánh cắp dữ liệu nhạy cảm, bao gồm:
- Thông tin mạng
- Dữ liệu sản xuất
- Hồ sơ tài chính (hóa đơn, ngân sách, báo cáo thường niên, v.v.)
- Chi tiết nhân viên và khách hàng
Nạn nhân được cảnh báo rằng việc từ chối trả tiền chuộc sẽ dẫn đến việc dữ liệu của họ bị rò rỉ. Để tăng thêm áp lực, những kẻ tấn công đề nghị cung cấp bằng chứng về hành vi trộm cắp dữ liệu và giải mã một tệp duy nhất để chứng minh khả năng của chúng.
Ghi công: Tác nhân đe dọa 'Mora_001'
SuperBlack Ransomware đã được triển khai trong các chiến dịch từ tháng 1 đến tháng 3 năm 2025 bởi một tác nhân đe dọa nói tiếng Nga được gọi là 'Mora_001.' Phần mềm độc hại đã được phát hiện bằng cách sử dụng ID Tox được liên kết với LockBit Ransomware , mặc dù cơ sở hạ tầng của nó có vẻ độc lập. Mặc dù mối quan hệ chính xác của nó với LockBit vẫn chưa rõ ràng, nhưng SuperBlack thể hiện những điểm tương đồng đáng chú ý với phiên bản trước của nó.
Vectơ tấn công: SuperBlack lây nhiễm hệ thống như thế nào
Các vụ lây nhiễm SuperBlack Ransomware đã được liên kết với các lỗ hổng tường lửa Fortinet. Cuộc tấn công thường diễn ra theo nhiều giai đoạn:
- Truy cập ban đầu : Kẻ tấn công khai thác lỗ hổng bảo mật trong thiết bị tường lửa Fortinet.
- Tăng quyền : Họ có được quyền cao hơn trong hệ thống.
- Cơ chế duy trì : Phần mềm độc hại đảm bảo nó vẫn hoạt động ngay cả sau khi khởi động lại.
- Di chuyển ngang : Nhiễm trùng lây lan trên toàn mạng, nhắm vào nhiều thiết bị.
- Lọc dữ liệu : Dữ liệu nhạy cảm được thu thập trước khi quá trình mã hóa bắt đầu.
- Mã hóa tập tin : Bước cuối cùng bao gồm khóa tập tin và yêu cầu tiền chuộc.
Tại sao việc trả tiền chuộc không được khuyến khích
Nạn nhân của SuperBlack Ransomware có thể cảm thấy bắt buộc phải trả tiền với hy vọng khôi phục các tệp đã mã hóa của họ, nhưng việc làm như vậy có những rủi ro đáng kể. Không có gì chắc chắn rằng tội phạm mạng sẽ cung cấp công cụ giải mã cần thiết ngay cả sau khi nhận được thanh toán, khiến nạn nhân không thể truy cập vào dữ liệu của họ mặc dù đã tuân thủ các yêu cầu. Hơn nữa, việc trả tiền chuộc chỉ thúc đẩy các chiến dịch ransomware tiếp theo, khuyến khích kẻ tấn công tiếp tục nhắm mục tiêu vào các cá nhân và tổ chức.
Một mối lo ngại chính khác là khả năng tống tiền gấp đôi, khi tội phạm mạng yêu cầu thanh toán thêm ngay cả sau khi đã trả tiền chuộc ban đầu. Trong một số trường hợp, nạn nhân có thể thấy mình bị mắc kẹt trong một chu kỳ tống tiền liên tục mà không có giải pháp. Ngay cả khi có công cụ giải mã, vẫn không có gì đảm bảo rằng phần mềm tống tiền đã bị xóa hoàn toàn khỏi hệ thống. Phần mềm độc hại còn sót lại có thể lây nhiễm lại các tệp, gây ra thiệt hại thêm và kéo dài cuộc khủng hoảng bảo mật. Với những rủi ro này, việc trả tiền chuộc không phải là giải pháp đáng tin cậy hoặc nên làm.
Cách bảo vệ thiết bị của bạn khỏi SuperBlack Ransomware
Để giảm thiểu khả năng lây nhiễm và thiệt hại tiềm ẩn, hãy thực hiện các biện pháp an ninh mạng thiết yếu sau:
- Giữ bản sao lưu dữ liệu quan trọng: Duy trì bản sao lưu ngoại tuyến và đám mây không thể truy cập được bởi ransomware. Sử dụng bản sao lưu có phiên bản để khôi phục tệp từ thời điểm trước khi bị nhiễm.
- Cập nhật phần mềm và hệ điều hành thường xuyên : Vá tường lửa Fortinet và các thiết bị mạng khác để đóng các lỗ hổng đã biết. Bật cập nhật tự động cho hệ điều hành, phần mềm bảo mật và ứng dụng.
- Sử dụng các giải pháp bảo mật điểm cuối mạnh mẽ : Triển khai các công cụ chống phần mềm độc hại tiên tiến với khả năng bảo vệ theo thời gian thực. Sử dụng các giải pháp Phát hiện và phản hồi điểm cuối (EDR) để giám sát mối đe dọa.
- Triển khai các biện pháp bảo mật mạng : Cấu hình tường lửa và hệ thống phát hiện xâm nhập (IDS) để chặn hoạt động đáng ngờ. Hạn chế quyền truy cập Giao thức máy tính từ xa (RDP) và sử dụng xác thực đa yếu tố (MFA).
- Cảnh giác với các cuộc tấn công lừa đảo : Tránh nhấp vào liên kết hoặc tải xuống tệp đính kèm từ các email không xác định hoặc đáng ngờ. Đào tạo nhân viên nhận biết các vụ lừa đảo lừa đảo và báo cáo chúng.
- Hạn chế quyền quản trị : Áp dụng Nguyên tắc đặc quyền tối thiểu (PoLP) để hạn chế quyền truy cập của người dùng. Vô hiệu hóa việc thực thi macro trong Microsoft Office và ngăn chặn việc thực thi tập lệnh trái phép.
- Vô hiệu hóa các dịch vụ và cổng không cần thiết : Đóng các cổng mạng không sử dụng để giảm nguy cơ bị tấn công từ bên ngoài.: Xóa các công cụ truy cập từ xa lỗi thời hoặc không sử dụng có thể bị khai thác.
- Sử dụng danh sách trắng và hộp cát ứng dụng : Hạn chế thực thi đối với các ứng dụng đã được chấp thuận để ngăn chặn phần mềm tống tiền chạy. Thực thi các tệp đáng ngờ trong môi trường bị cô lập trước khi cho phép chúng chạy trên hệ thống.
Kết luận: Luôn đi trước các mối đe dọa Ransomware
SuperBlack Ransomware đại diện cho sự tiến hóa mang tính đe dọa của các mối đe dọa mạng hiện đại, kết hợp mã hóa dữ liệu và các chiến thuật tống tiền. Các tổ chức và cá nhân phải áp dụng các bước chủ động để bảo vệ hệ thống của họ. Bằng cách triển khai các biện pháp bảo mật mạnh mẽ, cập nhật các mối đe dọa mới nổi và duy trì các bản sao lưu an toàn, khả năng trở thành nạn nhân của các cuộc tấn công ransomware có thể giảm đáng kể. An ninh mạng là một quá trình liên tục—phòng ngừa luôn tốt hơn phản ứng.
Phần mềm tống tiền SuperBlack Video
Mẹo: BẬT âm thanh của bạn và xem video ở chế độ Toàn màn hình .
tin nhắn
Các thông báo sau được liên kết với Phần mềm tống tiền SuperBlack đã được tìm thấy:
|
>>>> Your data are stolen and encrypted! >>>> Sensitive data on your system was DOWNLOADED and it will be PUBLISHED if you refuse to cooperate. Your competitors or law enforcement may get them on the web. Data includes: - Employees personal data, CVs, DL, SSN. - Complete network map including credentials for local and remote services. - Financial information including clients data, bills, budgets, annual reports, bank statements. - Complete datagrams/schemas/drawings for manufacturing in solidworks format - And more... You can request the tree of files that we have. >>>> You need contact us and decrypt one file for free, send a small file for test decryption with your personal DECRYPTION ID to tox chat: >>>> Your personal DECRYPTION ID: 7FBC34A4128F7B75E19B7F2A4E1938A0 1)Download and install TOX chat: hxxps://tox.chat 2)Write to this tox id: DED25DCB2AAAF65A05BEA584A0D1BB1D55DD 2D8BB4185FA39B5175C60C8DDD0C0A7F8A8EC815 and wait for the answer, we will always answer you. >>>> DO NOT MODIFY FILES YOURSELF. >>>> DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA. >>>> YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS. >>>> YOUR DATA IS STRONGLY ENCRYPTED, YOU CAN NOT DECRYPT IT WITHOUT CIPHER KEY. |
|
LockBit Black All your important files are stolen and encrypted! You must find fB1SZ2i3X.README.txt file and follow the instruction! |
