Hãng bảo mật Trend Micro cho biết, biến thể của mã độc tống tiền, virus CTB-Locker, được viết bằng ngôn ngữ lập trình PHP và sẽ mã hóa các tập tin trên các trang sử dụng WordPress. Sau đó nó thay thế tập tin index.php bằng một tập tin có khả năng xóa bỏ các trang web đó để hiển thị một thông báo đòi tiền chuộc. Điều thú vị là chức năng hỗ trợ trong phòng chat được thiết kế sẵn để thực hiện liên lạc giữa kẻ bắt cóc dữ liệu và các nạn nhân.

Nhà nghiên cứu bảo mật Lawrence Abrams gọi tên mã độc tống tiền đó là CTB-Locker và ông chia sẻ về những phát hiện, “Một khi các lập trình viên (kẻ tấn công) có quyền truy cập vào một trang web, chúng sẽ đổi tên tập tin index.php hoặc index.html đang tồn tại sang original_index.php hoặc original_index.html. Sau đó chúng tải lên một tập tin index.php được tạo bởi lập trình viên, có thể thực hiện mã hóa, giải mã, và hiển thị thông báo tống tiền tại các trang web bị hack. Cần lưu ý rằng nếu trang web đó không sử dụng dụng PHP, virus tống tiền CTB-Locker sẽ không thể hoạt động.

Các chuyên gia bảo mật Trend Micro chia sẻ, từ vụ tấn công đầu tiên được ghi nhận có liên quan đến biến thể của virus tống tiền, vấn đề khó khăn đó là liệu rằng vụ tấn công này nên được tuyên bố là một vụ tấn công mã độc tống tiền, hay chỉ đơn giản là được dàn dựng nhằm mang đến nỗi sợ hãi cho chủ sở hữu của các website bị nhắm đến. Trong lúc đó, các nhà nghiên cứu đã thu được bản sao đầy đủ của mã độc hại từ một trong những trang web bị nhiễm virus và phát hiện rằng cho đến nay đã có ít nhất 102 trang web bị lây nhiễm.

Ngay lúc này, không có dấu hiệu rõ ràng nào tiết lộ về cách thức thủ phạm đứng sau những mã độc tống tiền này có thể xâm nhập và cài đặt mã độc vào các trang web. Các chuyên gia bảo mật Trend Micro đã loại trừ khả năng vì một lỗ hỏng trên WordPress khi một số các trang web bị nhiễm không sử dụng một CMS. Họ báo cáo “Các trang chủ bị nhiễm virus đều chạy cả Linux và Windows, và phần lớn chúng (73%) đều lưu trữ một exim service (SMTP server).”

Các nhà nghiên cứu cho biết thêm rằng hầu hết các trang web nhiễm virus đều chứa mã độc “Webshell” có mật khẩu bảo vệ, có nghĩa là kẻ tấn công đã cài chương trình cửa hậu này vào máy chủ của trang web mà họ truy cập bất hợp pháp. Nó cũng nói lên rằng phần lớn các trang web đã từng là nạn nhân vẫn còn nhạy cảm trước lỗ hổng Shellshock, thậm chí sau khi nó được vá hơn một năm trước. Điều này càng cho thấy rằng những trang web bị nhiễm virus không được quản lý và duy trì thích hợp bởi chủ sở hữu, thể hiện qua việc thất bại trong việc cài đặt các phần mềm đã được cập nhật.

Theo các chuyên gia Trend Micro, sẽ không có công cụ nào có thể giải mã các tập tin thuộc về nạn nhân. Tuy nhiên, hai tập tin riêng biệt được mã hóa có thể được giải mã mà không cần bất kỳ khoản tiền nào cho thấy rằng các khoản tiền chuộc nên được thực hiện nghiêm túc.

Đây không phải là lần đầu tiên một biến thể mã độc tống tiền nhắm vào các website. Cuối tháng 11/2015, virus Linux.Encoder.1 đã đe dọa giống như vậy. Nhưng lỗ hổng mã hóa gây ra nó ngay lập tức bị chặn lại khi các nhà nghiên cứu đã tạo được một công cụ giải mã nó. Điều này về cơ bản có lẽ là một tiền đề cho nỗ lực của các kẻ tấn công để nhân rộng các chiến thuật tương tự hoặc tốt hơn. Có thể nói rằng đó có lẽ chỉ là khởi đầu của một loại biến thể của mã độc tống tiền khét tiếng mà người dùng nên thận trọng trong những tháng tới.