Phát hiện loại mã độc tống tiền mới đang nhắm mục tiêu vào các ổ cứng mạng (NAS)

0
35
Phát hiện loại mã độc tống tiền mới đang nhắm mục tiêu vào các ổ cứng mạng (NAS)

Một dòng ransomware mới vừa được tìm thấy nhắm mục tiêu vào các ổ cứng mạng (NAS) trên nền tảng Linux do QNAP Systems trụ sở tại Đài Loan sản xuất, ‘phong tỏa’ dữ liệu quan trọng của người dùng cho đến khi tiền chuộc được trả.

NAS là thiết bị dành cho các doanh nghiệp gia đình và nhỏ, là các đơn vị lưu trữ tệp chuyên dụng được kết nối mạng, cho phép người dùng lưu trữ, chia sẻ và sao lưu dữ liệu của họ trên nhiều máy tính.

Mã độc mới do 2 nhà nghiên cứu thuộc Intezer và Anomali phát hiện, nhắm mục tiêu vào các máy chủ QNAP NAS không được bảo vệ an toàn hoặc có lỗ hổng bằng tấn công brute force thông tin SSH yếu hoặc khai thác các lỗ hổng đã được biết đến.
Mã độc có tên gọi QNAPCrypt, được viết bằng ngôn ngữ lập trình Go và mã hóa các tệp có các tiện ích mở rộng mục tiêu bằng mã hóa AES và chắp nối thêm tiện ích mở rộng .encrypt vào mỗi file.

Tuy vậy, nếu thiết bị bị nhiễm NAS được đặt tại Belarus, Ukraine hoặc Nga, ransomware sẽ chấm dứt quá trình mã hóa file và thoát ra mà không gây hại cho các tập tin.

Sau khi thực thi, phần mềm ransomware mã hóa tập tin đầu tiên kết nối tới máy chủ C&C từ xa, được bảo vệ bởi mạng Tor, sử dụng proxy SOCKS5 Tor để thông báo tới kẻ tấn công về nạn nhân mới.

Trước khi mã hóa tập tin, từ máy chủ C&C của kẻ tấn công, ransomware yêu cầu địa chỉ ví bitcoin độc nhất, các nạn nhân có nghĩa vụ chuyển tiền chuộc. Máy chủ này có danh sách các địa chỉ bitcoin đã được xác định trước.

Nếu máy chủ không còn các địa chỉ bitcoin độc nhất, ransomware sẽ không tiến hành mã hóa tệp và chờ kẻ tấn công tạo và cung cấp địa chỉ mới.

Các nhà nghiên cứu tại Intezer đã tận dụng cơ chế này và tạo ra một kịch bản cho phép lừa máy chủ C&C của kẻ tấn công gán tất cả các địa chỉ bitcoin có sẵn cho hàng trăm nạn nhân ảo, từ đó chặn phần mềm ransomware mã hóa các tệp file của nạn nhân mới.

Nếu nhận được ví bitcoin độc nhất, ransomware sẽ sinh một chuỗi ngẫu nhiên gồm 32 ký tự để tạo khóa bí mật AES-256 và sau đó dùng để mã hóa tất cả các tệp được lưu trữ trên thiết bị NAS mục tiêu bằng thuật toán AES trong chế độ Cipher Feedback Mode (CFB), loại bỏ các tập tin gốc.

Vì mô-đun mã hóa sử dụng gói tin toán học để tạo khóa bí mật, Anomali cho biết có khả năng các nhà nghiên cứu phải viết một bộ giải mã cho dòng ransomware mới vì chức năng này không hoàn toàn ngẫu nhiên.

Các nhà nghiên cứu cũng lưu ý rằng trước khi mã hóa các tệp được lưu trữ trên các thiết bị NAS mục tiêu, ransomware cố tình kill (loại bỏ) một danh sách các quy trình bao gồm apache2, httpd, nginx, MySQL, mysql và PostgreQuery.

Người dùng được khuyến cáo không nên, một cách vô tình hay không cần thiết, kết nối trực tiếp các thiết bị NAS của họ với Internet và cần cho phép cập nhật tự động để firmware luôn được update.

Ngoài ra, người dùng nên sử dụng mật khẩu mạnh để bảo mật thiết bị NAS và thường xuyên sao lưu thông tin được lưu trữ trên các thiết bị này, để trong trường hợp có sự cố, dữ liệu quan trọng có thể được khôi phục mà không cần phải trả tiền chuộc cho kẻ tấn công.

Nguồn The Hacker News​