Phần mềm tống tiền Zollo

Các mối đe dọa phần mềm độc hại ngày càng tinh vi, khiến việc bảo vệ thiết bị trở thành ưu tiên hàng đầu đối với cả cá nhân và tổ chức. Đặc biệt, các cuộc tấn công ransomware có thể gây ra sự gián đoạn hoạt động nghiêm trọng, thiệt hại tài chính và lộ dữ liệu nhạy cảm. Một mối đe dọa mới được phát hiện gần đây là Zollo Ransomware, một chương trình độc hại được thiết kế để mã hóa các tập tin và tống tiền nạn nhân. Hiểu cách thức hoạt động và lây lan của mối đe dọa này là điều cần thiết để xây dựng hệ thống phòng thủ mạnh mẽ hơn chống lại các cuộc tấn công tương tự.

Sự xuất hiện của phần mềm tống tiền Zollo

Phần mềm tống tiền Zollo được xác định là một biến thể của dòng phần mềm tống tiền MedusaLocker. Giống như các thành viên khác trong dòng này, nó được thiết kế để xâm nhập hệ thống, mã hóa các tập tin quan trọng và gây áp lực buộc nạn nhân phải trả tiền chuộc để đổi lấy quyền giải mã.

Sau khi được thực thi trên thiết bị bị xâm nhập, phần mềm độc hại sẽ quét hệ thống để tìm các tệp có thể truy cập và mã hóa chúng bằng các thuật toán mã hóa mạnh. Sau khi mã hóa, phần mềm tống tiền sẽ sửa đổi tên tệp bằng cách thêm phần mở rộng đặc biệt như '.zollo6'. Ví dụ:

• 1.png trở thành 1.png.zollo6
• 2.pdf trở thành 2.pdf.zollo6

Số hiệu trong phần mở rộng có thể khác nhau, nhưng kết quả vẫn như nhau: các tệp được mã hóa sẽ trở nên không thể truy cập được đối với người dùng. Ngoài việc khóa các tệp, phần mềm tống tiền còn thay đổi hình nền máy tính và đặt một ghi chú đòi tiền chuộc trên thiết bị có tiêu đề 'READ_NOTE.html'.

Các phương pháp mã hóa và thông điệp đòi tiền chuộc

Thư đòi tiền chuộc do nhóm tấn công để lại khẳng định rằng các tập tin đã được mã hóa bằng sự kết hợp giữa thuật toán mã hóa RSA và AES, những phương pháp mã hóa thường được sử dụng trong các hoạt động tống tiền hiện đại. Theo thư, bất kỳ nỗ lực nào nhằm khôi phục, đổi tên hoặc sửa đổi các tập tin đã mã hóa đều có thể dẫn đến hư hỏng dữ liệu vĩnh viễn.

Những kẻ tấn công khẳng định rằng không có phần mềm nào được bán công khai có thể khôi phục các tập tin và tuyên bố chỉ có công cụ giải mã độc quyền của chúng mới có thể khôi phục quyền truy cập. Các nạn nhân được hướng dẫn liên hệ với những kẻ điều hành thông qua các địa chỉ email được cung cấp:

• recovery1@salamati.vip
• recovery1@amniyat.xyz

Thông điệp cũng đưa ra yếu tố áp lực thời gian: các nạn nhân được cảnh báo rằng số tiền chuộc sẽ tăng lên nếu không liên lạc được trong vòng 72 giờ.

Đánh cắp dữ liệu và các thủ đoạn tống tiền kép

Một đặc điểm đáng lo ngại của biến thể mã độc tống tiền này là tuyên bố rằng dữ liệu bí mật đã bị đánh cắp trước khi mã hóa. Những kẻ tấn công cho biết thông tin này được lưu trữ trên một máy chủ riêng do chúng kiểm soát.

Theo thông điệp đòi tiền chuộc, việc thanh toán sẽ dẫn đến việc xóa dữ liệu bị đánh cắp khỏi máy chủ của chúng. Nếu tiền chuộc không được trả, những kẻ điều hành đe dọa sẽ công bố hoặc bán thông tin đó. Chiến lược này, được gọi là tống tiền kép, làm tăng áp lực lên nạn nhân bằng cách kết hợp mã hóa dữ liệu với nguy cơ dữ liệu bị lộ ra ngoài.

Ngay cả khi nạn nhân đáp ứng yêu cầu tiền chuộc, cũng không có gì đảm bảo rằng kẻ tấn công sẽ cung cấp công cụ giải mã hoạt động được hoặc xóa thông tin bị đánh cắp. Vì lý do này, các chuyên gia an ninh mạng thường không khuyến khích việc trả tiền chuộc.

Cách mã độc tống tiền Zollo lây lan

Các chiến dịch tấn công bằng mã độc tống tiền thường dựa vào sự lừa dối và kỹ thuật xã hội để xâm nhập hệ thống. Kẻ tấn công thường ngụy trang các phần mềm độc hại thành các tệp tin hợp pháp nhằm lừa người dùng thực thi chúng.

Các tác nhân lây nhiễm phổ biến bao gồm:

• Tệp đính kèm hoặc liên kết độc hại được nhúng trong email lừa đảo.
• Các cảnh báo hỗ trợ kỹ thuật giả mạo được thiết kế để dụ nạn nhân tải xuống phần mềm độc hại.
• Phần mềm bẻ khóa, trình tạo khóa không chính thức và ứng dụng lậu.
• Phần mềm lỗi thời với các lỗ hổng chưa được vá.
• Các trang web bị xâm nhập, quảng cáo độc hại và mạng chia sẻ tệp ngang hàng (peer-to-peer).
• Các trình tải xuống của bên thứ ba hoặc ổ USB bị nhiễm virus.

Sau khi khởi chạy, phần mềm tống tiền bắt đầu mã hóa các tập tin ngay lập tức và có thể cố gắng lây lan sang các hệ thống được kết nối trong cùng một mạng.

Những thách thức trong phục hồi và ứng phó sự cố

Sau khi quá trình mã hóa diễn ra, nạn nhân thường không thể mở các tệp bị ảnh hưởng nếu không có khóa giải mã của kẻ tấn công. Việc khôi phục chỉ khả thi trong một số trường hợp nhất định, đáng chú ý nhất là khi có các bản sao lưu an toàn không được kết nối với hệ thống bị nhiễm trong quá trình tấn công.

Việc loại bỏ ransomware ngay lập tức sau khi phát hiện là rất cần thiết. Nếu phần mềm độc hại vẫn hoạt động trên thiết bị, nó có thể tiếp tục mã hóa thêm các tệp hoặc cố gắng lây lan sang các máy khác trên mạng. Do đó, việc nhanh chóng cách ly hệ thống bị nhiễm có thể hạn chế thiệt hại và ngăn chặn sự lây lan thêm.

Các biện pháp bảo mật thiết yếu để ngăn chặn mã độc tống tiền

Thói quen bảo mật tốt giúp giảm đáng kể khả năng bị nhiễm các mối đe dọa như phần mềm tống tiền Zollo. Bảo vệ hiệu quả đòi hỏi sự kết hợp giữa các biện pháp kiểm soát kỹ thuật chủ động và hành vi cẩn trọng của người dùng.

Việc thường xuyên cập nhật hệ điều hành, ứng dụng và công cụ bảo mật là rất quan trọng, vì nhiều chiến dịch tấn công mã độc tống tiền khai thác các lỗ hổng trong phần mềm lỗi thời. Quan trọng không kém là sử dụng các giải pháp chống virus hoặc bảo vệ điểm cuối đáng tin cậy có khả năng phát hiện hành vi đáng ngờ.

Việc duy trì các bản sao lưu ngoại tuyến hoặc trên đám mây là một trong những biện pháp bảo vệ hiệu quả nhất. Các bản sao lưu nên được lưu trữ riêng biệt với hệ thống chính để chúng không bị mã hóa trong quá trình tấn công. Trong trường hợp bị nhiễm virus, các bản sao lưu sạch có thể cho phép khôi phục hệ thống mà không cần phải trả tiền chuộc.

Người dùng cũng nên thận trọng với các tệp đính kèm email và các tệp tải xuống. Các tệp đáng ngờ, đặc biệt là những tệp yêu cầu sự khẩn cấp hoặc yêu cầu hành động ngay lập tức, cần được xác minh trước khi mở. Các tổ chức thường tăng cường khả năng phòng vệ này thông qua việc lọc email, cách ly tệp đính kèm và đào tạo nâng cao nhận thức về bảo mật.

Phân đoạn mạng có thể giảm thiểu rủi ro hơn nữa bằng cách hạn chế phạm vi lây lan của ransomware sau khi xâm nhập vào môi trường. Kết hợp với các hệ thống kiểm soát truy cập và giám sát, phân đoạn mạng giúp ngăn chặn sự lây nhiễm trước khi chúng ảnh hưởng đến cơ sở hạ tầng quan trọng.

Lời kết

Các mối đe dọa từ phần mềm tống tiền như Zollo Ransomware nhấn mạnh tầm quan trọng của các biện pháp an ninh mạng chủ động. Bằng cách mã hóa tập tin, đe dọa tiết lộ dữ liệu và gây áp lực lên nạn nhân bằng các yêu cầu tiền chuộc gấp, kẻ tấn công nhằm mục đích buộc nạn nhân phải trả tiền nhanh chóng.

Chiến lược phòng thủ nhiều lớp, kết hợp cập nhật hệ thống, sao lưu đáng tin cậy, phần mềm bảo mật và thói quen sử dụng cẩn trọng, vẫn là cách hiệu quả nhất để giảm thiểu các mối đe dọa này. Phát hiện sớm và phản ứng nhanh chóng có thể giảm đáng kể tác động của các sự cố mã độc tống tiền và bảo vệ dữ liệu quý giá khỏi bị mất mát không thể phục hồi.