Cerber – mã độc tống tiền có khả năng “nói”

Chưa bao giờ xuất hiện biến thể Crypto-ransomware (phần mềm tống tiền được mã hóa) có “tiếng nói” với khả năng điều khiển người dùng như mã độc RANSOM CERBERA. Phần mềm phát đi tin nhắn bên trên bằng một giọng nói tạo ra bởi máy tính.

Thông thường, loại hình đe dọa này sẽ hiển thị hình ảnh có chứa các hướng dẫn về làm thế nào để trả tiền chuộc để lấy lại các tập tin. Thủ thuật mới mẻ này làm ta nhớ lại một trong những biến thể của REVETON, hay còn gọi là cảnh sát ransomware mà cũng có thể nói chuyện bằng một ngôn ngữ phụ thuộc vào nơi ở người sử dụng.

Tập tin tống tiền điển hình

Theo tìm hiểu của Trend Micro, CERBER chỉ sử dụng ngôn ngữ tiếng Anh. Tuy nhiên, một khi người dùng nhấp vào liên kết thông qua trình duyệt Tor, nó dẫn tới trang yêu cầu người dùng ngôn ngữ để sử dụng. Mặc dù các trang đích đến cung cấp các ngôn ngữ khác nhau, phần mềm chỉ hoạt động bằng tiếng Anh. Các tội phạm mạng đằng sau CERBER yêu cầu người dùng phải trả 1,24 BTC (523 USD, tính đến ngày 04/03/2016), số tiền đó sẽ tăng lên đến 2,48 BTC (1046 USD, chỉ trong thời gian bảy ngày).

Các chuyên gia phần mềm diệt virus Trend Micro cho biết rằng, đã phát hiện ra CERBER đi ​​kèm với một tập tin cấu hình dưới các định dạng .json (định dạng tập tin này thường được sử dụng để truyền tải và lưu trữ dữ liệu được định nghĩa trong các cặp thuộc tính-giá trị). Quan sát ở một gốc độ gần hơn tập tin cấu hình này, Trend Micro phát hiện ra rằng ransomware đặc biệt này khá dễ dàng tùy biến, cho người dùng dễ dàng thay đổi các khoản tiền chuộc, các phần mềm mở rộng (extension) mục tiêu cũng như các quốc gia nằm trong danh sách đen. Điều này cho thấy rằng CERBER tự nó đã được thiết kế để được bán cho tội phạm mạng gan dạ khác, để có thể được điều chỉnh phù hợp với nhu cầu của họ.

Dựa trên phản hồi của mạng bảo vệ thông minh của Trend Micro, các công cụ khai thác Nuclear (Nuclear exploit kit) đang phân phối phần mềm độc hại này qua quảng cáo có chứa malware (malvertisement). Nuclear exploit kit là một trong những bộ dụng cụ phổ biến nhất được sử dụng ngày hôm nay, chỉ đứng thứ 2 sau  bộ công cụ khét tiếng Angler exploit kit.

Hiện nay, tất cả các máy chủ lưu trữ các malvertisements không thể bị tiếp cận. Một số báo cáo nói rằng CERBER đang được bày bán trong thị trường ngầm nước Nga điển hình là phần mềm ransomware như một dịch vụ (RAAS). Điều này không chỉ chứng minh đề nghị được trình bày bởi mã của tập tin cấu hình ở trên, nhưng cũng khẳng định rằng chúng tôi sẽ được nhìn thấy nhiều CERBER hơn trong tương lai gần.

Một bài học trong việc sao lưu các tập tin

Hãng phần mềm diệt virus tốt nhất Trend Micro khẳng định, Ransomware vẫn là một mối đe dọa phổ biến do sự kết hợp của mồi nhử và khả năng hiệu quả của Social Engineering. Nhận thức được cách hoạt động của những mối đe dọa này có thể giúp người sử dụng và các doanh nghiệp bảo mật dữ liệu quan trọng của họ. Các chuyên gia bảo mật Trend Micro khuyên người dùng, việc đơn giản nhất bạn nên làm là thường xuyên sao lưu các tập tin quan trọng một cách. Thực hiện các quy tắc 3-2-1 trong đó 3 bản được lưu trữ trong hai thiết bị khác nhau, và một số khác đến một vị trí an toàn. Một điều quan trọng nữa nên nhớ là không đầu hàng và trả tiền chuộc vì bọn tội phạm mạng có khả năng sẽ nhắm vào mục tiêu tương tự như bạn, vì chúng biết rằng họ có khả năng chi trả. Ngoài ra, giữ cho hệ thống của bạn cập nhật liên tục là điều nên làm để bảo vệ hệ thống của bạn chống lại exploit kit cung cấp tải trọng ransomware. Nhưng biện pháp tốt và an toàn nhất chính là tải phần mềm diệt virus phiên bản mới nhất của nhà cung cấp tin cậy như Trend Micro và cài đặt vào thiết bị cần được bảo vệ. Phần mềm này có thể phát hiện các tập tin độc hại và ngăn chặn tất cả các URL độc hại liên quan đến bảo vệ người dùng khỏi mối đe dọa này.



Tin liên quan