Buzz
Các vụ tấn công nổi tiếng liên quan đến Locky chủ yếu tập trung vào các dịch vụ cơ bản, trong đó có các bệnh viện ở Mỹ.
Vào tháng 2/2016, Locky gây ra sự cố nghiêm trọng tại Trung tâm chăm sóc sức khỏe Presbyterian ở Hollywood (Mỹ), khiến trung tâm phải tuyên bố tình trạng khẩn cấp do hệ thống, cơ sở dữ liệu và thông tin quan trọng bị mã hóa và bị khóa.
Cảnh báo về biến thể mới của ransomware Locky, một mối đe dọa nguy hiểm và tinh vi hơn nhiều
Các cơ sở y tế, ứng dụng hồ sơ điện tử để chăm sóc bệnh nhân và tổ chức lịch trình, đang phải đối mặt với sự gián đoạn kinh khủng trong quá trình sao lưu dữ liệu. Họ bị buộc phải thanh toán 17.000 USD trong Bitcoin để mở khóa dữ liệu bị mã hóa.
Locky liên quan đến một chiến dịch ransomware đã diễn ra vào tháng 8 năm nay, khiến 23 triệu email lừa đảo được gửi chỉ trong vòng 24 giờ.
Theo nghiên cứu mới của Cylance, đã phát hiện một biến thể Locky mới có tên là Diablo6. Biến thể này được tinh chỉnh để tránh phát hiện và loại bỏ bởi các ứng dụng diệt virus truyền thống cũng như người dùng cuối.
Trong một bài viết trên blog, đội nghiên cứu thông báo về Diablo6 thực hiện cuộc tấn công theo 2 giai đoạn. Giai đoạn đầu tiên là một vector tấn công ransomware thông thường - email lừa đảo trực tuyến chứa một kho lưu trữ .zip, biến thể mới của Locky.
Những email này giả mạo là hợp lệ, nhưng thực sự chứa các file VBS. Khi mở và giải nén, chúng cố gắng kết nối với máy chủ Command- and-Control (C&C) của Locky để nhận hướng dẫn.
Mối đe dọa của biến thể ransomware Locky mới, nguy hiểm và tinh vi hơn
Nếu kết nối thành công, script VBS sẽ tải về ransomware. Trong trường hợp thất bại, máy chủ sao lưu C&C sẽ cố gắng tải payload lên.
Trong quá trình kết nối, từ khóa 'doanh nghiệp' được sử dụng để gây ấn tượng cho người dùng, khiến họ tin rằng đó là một ứng dụng doanh nghiệp hợp pháp. Đồng thời, script VBS sử dụng một chuỗi để phân chia và tải các lệnh thực hiện. Payload sau đó được tải và lưu trữ trong thư mục tạm thời trước khi thực thi và mã hóa tất cả các file.
Mối đe dọa từ biến thể ransomware Locky mới, nguy hiểm và tinh vi hơn nhiều
Ransomware Locky Diablo6 nhắm vào mọi loại file để thực hiện quá trình mã hóa, từ hình ảnh, video, bản sao lưu đến các file nén zip. Khi quá trình mã hóa hoàn tất, màn hình của nạn nhân sẽ hiển thị thông báo yêu cầu thanh toán tiền chuộc và script mã hóa sẽ tự xóa.
Các tên miền kết nối với địa chỉ email mail.com đã liên quan đến Locky, có tổng cộng 333 tên miền đăng ký từ năm 2016 đến gần đây, trong đó có cả tháng 10 năm nay.
Những nhà nghiên cứu đang theo dõi ransomware Locky thông qua việc sử dụng các tên miền đã được đăng ký, và nó có thể có liên quan đến nhiều loại ransomware khác.
'Trong một số trường hợp, kẻ tấn công có thể thực hiện những thay đổi nhỏ trong mã của họ để lưu trữ mã độc hại của họ cho người dùng cuối, vì đó cũng là thời điểm mà kẻ tấn công phổ biến mã độc hại', theo lời của Cylance.
'Rất có thể đây là cuộc tấn công của ransomware Locky. Không cần phải thay đổi nhiều, kẻ tấn công đứng sau Locky chỉ cần tinh chỉnh một phần nhỏ của quá trình mà người dùng cuối không thể sửa được'.
Nói một cách khác, khi phần mềm độc hại mạnh mẽ đủ để tạo ra thu nhập giả mạo, các chiến lược tấn công mới, bao gồm cả loạt chiến dịch email, là tất cả những gì cần để duy trì hoạt động không đồng thuận.
Trong tháng này, nhà nghiên cứu Matthew Mesa của ProofPoint phát hiện một loại ransomware mới, được gọi là GIBON. Đây là một chủng mới sử dụng macro được nhúng trong các tài liệu độc hại để lây lan thông qua các chiến dịch lừa đảo và khóa máy tính người dùng. Tuy nhiên, vì đây là ransomware mới và được cho là biến thể của một trong những loại ransomware nguy hiểm nhất mọi thời đại là Locky, nên chúng ta chưa biết mục tiêu cụ thể, mục tiêu nhân khẩu học hay nguồn gốc của ransomware này.
Để ngăn chặn các tình huống tồi tệ nhất xảy ra, bạn nên tải và sử dụng một phần mềm diệt virus cho máy tính của mình. Hiện có nhiều phần mềm diệt virus như KIS, BKAV để bạn có thể chọn lựa.
