Buzz
Khi Microsoft tiết lộ đầu tháng này rằng gián điệp Trung Quốc đã thực hiện một loạt tấn công hack lịch sử, những người quan sát có lý do lo ngại rằng những tên tội phạm khác sẽ sớm tận dụng cơ hội này. Trong thực tế, không mất nhiều thời gian: Một biến thể mới của ransomware mang tên DearCry đã tấn công vào máy chủ Exchange bằng cách sử dụng những lỗ hổng giống như từ ngày 9 tháng 3. Mặc dù DearCry là tên đầu tiên xuất hiện, nhưng khi xem xét kỹ, nó đã trở thành một loại cybercrime kỳ cục.
Không phải DearCry đặc biệt tinh tế. Trái ngược với các hoạt động tinh tế xuất sắc tràn ngập thế giới ransomware ngày nay, nó gần như thô sơ. Nó là một bản thuần túy, từ chối sử dụng máy chủ điều khiển và bộ đếm ngược tự động để tương tác trực tiếp với con người. Nó thiếu các kỹ thuật che giấu cơ bản mà làm cho nó khó khăn hơn đối với các nhà bảo vệ mạng để phát hiện và chặn trước. Nó cũng mã hóa một số loại tệp mà làm cho nạn nhân khó khăn để sử dụng máy tính của họ, thậm chí là để thanh toán tiền chuộc.
“Thường thì một kẻ tấn công ransomware sẽ không mã hóa các tệp thực thi hoặc tệp DLL, vì điều này làm cho nạn nhân khó khăn hơn trong việc sử dụng máy tính, ngoài việc không thể truy cập dữ liệu,” nói Mark Loman, giám đốc kỹ thuật cho công nghệ thế hệ tiếp theo tại công ty an ninh Sophos. “Kẻ tấn công có thể muốn cho nạn nhân sử dụng máy tính để chuyển bitcoins.”
Một điểm khác biệt khác: DearCry chia sẻ một số thuộc tính với WannaCry, loại ransomware worm nổi tiếng lan ra khỏi tầm kiểm soát vào năm 2017 cho đến khi nhà nghiên cứu an ninh Marcus Hutchins phát hiện một “nút tắt” làm cho nó trở nên vô dụng ngay lập tức. Đầu tiên là tên gọi. Mặc dù không phải là worm, DearCry thực sự chia sẻ một số khía cạnh hành vi cụ thể với WannaCry. Cả hai đều tạo bản sao của một tệp đã nhắm mục tiêu trước khi ghi đè nó bằng những ký tự vô nghĩa. Và phần tiêu đề mà DearCry thêm vào các tệp đã bị nhiễm bệnh phản ánh WannaCry ở một số cách.
Có những đối chiếu đó, nhưng có lẽ không đáng đọc nhiều. “Việc sử dụng đoạn mã của ransomware nổi tiếng khác trong mã code của họ hoàn toàn không phải là điều hiếm,” nói Brett Callow, chuyên gia phân tích đe dọa tại công ty antivirus Emsisoft.
Điều đặc biệt, theo Callow, là DearCry dường như đã bắt đầu mạnh mẽ trước khi suy giảm, và những người chơi lớn trong không gian ransomware có vẻ chưa nhảy vào những lỗ hổng máy chủ Exchange này chính họ.
Chắc chắn có một sự không đồng nhất đang diễn ra. Những kẻ hack đằng sau DearCry đã làm việc đảo ngược lợi dụng hack của Trung Quốc một cách nhanh chóng đáng kinh ngạc, nhưng họ dường như không có khả năng tốt lắm trong việc tạo ra ransomware. Giải thích có thể đơn giản chỉ là vấn đề về kỹ năng áp dụng. “Quá trình phát triển và vũ khí hóa các thủ thuật là một nghệ thuật khác nhau so với phát triển malware,” nói Jeremy Kennelly, quản lý cấp cao phân tích tại Mandiant Threat Intelligence. “Có thể đơn giản là những diễn viên đã nhanh chóng vũ khí hóa thủ thuật đó đơn giản không kết nối với hệ sinh thái tội phạm mạng cyber một cách như một số người khác. Họ có thể không có quyền truy cập vào bất kỳ chương trình liên kết lớn nào, những gia đình ransomware mạnh mẽ hơn.”
Hãy tưởng tượng đó như sự khác biệt giữa một bậc thầy nướng lẩu và một đầu bếp làm bánh. Cả hai đều kiếm sống trong nhà bếp, nhưng họ có những kỹ năng khác nhau đáng kể. Nếu bạn quen với thịt bò nhưng cần gấp phải làm một chiếc bánh nhỏ, khả năng cao bạn sẽ tạo ra một thứ ăn được nhưng không thực sự tinh tế.
Khi nói đến nhược điểm của DearCry, Loman nói, “Nó khiến chúng tôi tin rằng mối đe dọa này thực sự được tạo ra bởi một người mới học hoặc đây là một mẫu thử nghiệm của một dạng ransomware mới.”
Nhưng điều đó không có nghĩa là nó không nguy hiểm. “Thuật toán mã hóa dường như là đúng, nó dường như hoạt động,” nói Kennelly, người đã kiểm tra mã độc hại nhưng chưa trực tiếp xử lý với một trường hợp nhiễm bệnh. “Điều đó thực sự là tất cả những gì nó cần phải làm.”
Và nhược điểm của DearCry, dù có, sẽ khá dễ sửa chữa. “Ransomware thường phát triển theo thời gian,” nói Callow. “Nếu có vấn đề trong mã code, họ từ từ sửa chữa nó. Hoặc đôi khi làm nhanh chóng.”
Nếu không có gì khác, DearCry đóng vai trò như một dấu hiệu tiên báo về những rủi ro sắp tới. Công ty an ninh Kryptos Logic phát hiện 22,731 web shell trong một quét gần đây của máy chủ Microsoft Exchange, mỗi cái đều là một cơ hội cho những kẻ hack triển khai mã độc hại của họ. DearCry có thể đã là ransomware đầu tiên tận dụng cuộc hack lớn của Trung Quốc, nhưng hầu như chắc chắn nó sẽ không phải là tệ nhất.
Những sự kiện tuyệt vời khác từ Mytour
- 📩 Những thông tin mới nhất về công nghệ, khoa học và nhiều hơn nữa: Nhận bản tin của chúng tôi!
- Sự tăng trưởng ồn ào, trò chuyện, ngoại tầm kiểm soát của Clubhouse
- Làm thế nào để tìm một cuộc hẹn tiêm chủng và điều gì đang đợi bạn
- Không khí lạ có thể dẫn chúng ta đến với các nền văn minh ngoài trái đất?
- Chiến dịch chống chia sẻ mật khẩu của Netflix có một lợi ích bạch kim
- OOO: Giúp! Làm thế nào để tìm một đồng nghiệp nữ?
- 🎮 Mytour Games: Nhận các mẹo mới nhất, đánh giá và nhiều hơn nữa
- 🏃🏽♀️ Muốn có những công cụ tốt nhất để trở nên khỏe mạnh? Kiểm tra các lựa chọn của đội ngũ Gear của chúng tôi cho bộ theo dõi sức khỏe tốt nhất, đồ dùng chạy bộ (bao gồm giày và tất), và tai nghe tốt nhất
