Mức tiền chuộc "khủng"
Theo các tổ chức bảo mật quốc tế, gần đây đã xuất hiện thêm một chủng ransomware mới có tên DarkSide. Được ghi nhận lần đầu tiên vào ngày 10/8 vừa qua, các cuộc tấn công của DarkSide hiện đang diễn ra mạnh mẽ, chủ yếu nhắm mục tiêu đến các tổ chức, doanh nghiệp trên toàn thế giới dưới dạng các cuộc tấn công tùy chỉnh, mã hóa dữ liệu trên quy mô lớn với yêu cầu mức tiền chuộc lên đến hàng triệu USD.
Theo ghi nhận của BleepingComputer, mức tiền chuộc của DarkSide dao động từ 200.000 - 2.000.000 USD, khá cao so với mức trung bình. Con số thực tế có thể thấp hơn hoặc cao hơn tùy thuộc vào nạn nhân. Thậm chí, BleepingComputer cho biết hiện có trường hợp đã chấp nhận trả tới 1 triệu USD tiền chuộc.
Một "thông cáo báo chí" do chính các tác nhân đứng sau DarkSide đưa ra cho biết việc phát tán mã độc của mình trên toàn cầu đang "hoạt động tích cực hơn bao giờ hết" và đã kiếm được hàng triệu USD từ tiền chuộc dữ liệu của các tổ chức, doanh nghiệp.
Những kẻ đứng sau DarkSide tuyên bố rằng chúng chỉ nhắm mục tiêu vào các công ty lớn có khả năng chi trả được khoản tiền chuộc do chúng đưa ra. Theo đó, không nhắm mục tiêu vào công ty nhỏ cũng như những tổ chức hoạt động trong một số lĩnh vực sau: Y tế (bệnh viện, trung tâm nghiên cứu, chăm sóc sức khỏe); Giáo dục (trường học, trung tâm nghiên cứu giáo dục); Các tổ chức phi lợi nhuận và các tổ chức chính phủ.
Tuy nhiên, theo các chuyên gia bảo mật còn quá sớm để biết liệu chúng có tôn trọng tuyên bố này hay không. Trước đó, cả hai băng nhóm ransomware DoppelPaymer và Maze đều đưa ra tuyên bố về một cuộc đình chiến trong thời điểm khủng hoảng do Covid-19. Nhưng không phải nhóm ransomware nào cũng làm như vậy. Bệnh viện Đại học California San Francisco phải trả cho tin tặc 1,14 triệu USD bitcoin sau vụ tấn công hồi đầu tháng 6. Nhóm tin tặc Netwalker được cho là đứng sau vụ mã hóa toàn bộ dữ liệu trên máy chủ của bệnh viện, khiến hệ thống không thể truy cập.
Đánh cắp dữ liệu trước khi tiến hành mã hóa
Giống như đa số các cuộc tấn công ransomware điển hình khác, khi DarkSide xâm nhập vào hệ thống mạng, chúng sẽ phát tán và lây nhiễm trên toàn mạng cho đến khi nắm được quyền truy cập vào tài khoản quản trị viên và bộ điều khiển miền Windows (Windows domain controller). Trong quá trình đó, những kẻ tấn công cũng sẽ tranh thủ thu thập cả những dữ liệu không được mã hóa từ máy chủ của nạn nhân và tải lên thiết bị của chúng.
Sau đó, dữ liệu bị đánh cắp sẽ được đưa lên các trang web rò rỉ, các tác nhân đe dọa sẽ liệt kê tên công ty, ngày chúng bị xâm phạm, số lượng dữ liệu bị đánh cắp, ảnh chụp màn hình của dữ liệu và thông tin về các loại dữ liệu bị đánh cắp để thực hiện âm mưu tống tiền.
Nếu nạn nhân không trả tiền, chúng sẽ công bố công khai tất cả dữ liệu trên trang web của chúng trong ít nhất 6 tháng. Chiến lược tống tiền này được lên kế hoạch để khiến nạn nhân cảm thấy hoang mang, sợ hãi và trả tiền chuộc ngay cả khi họ có thể tự phục hồi hệ thống của mình từ các bản sao lưu.
Trong trường hợp nếu nạn nhân chấp nhận trả tiền chuộc, nhóm DarkSide tuyên bố rằng chúng sẽ xóa dữ liệu bị đánh cắp khỏi website của mình.
Những cuộc tấn công tùy chỉnh
Khi thực hiện tấn công, DarkSide sẽ tạo ra một phiên bản ransomware có thể tùy chỉnh riêng cho công ty mà chúng nhắm mục tiêu. Khi được thực thi, ransomware sẽ thực hiện lệnh PowerShell xóa các Shadow Volume Copies trên hệ thống để ngăn chặn quá trình khôi phục dữ liệu.
Theo nhà nghiên cứu bảo mật Vitali Kremez của Advanced Intel: Ransomware này sẽ tiến hành dừng các cơ sở dữ liệu, ứng dụng văn phòng, máy chủ mail để chuẩn bị cho quá trình mã hóa.
Khi mã hóa máy tính, ransomware này sẽ tránh dừng một số tiến trình nhất định: vmcompute.exe; vmms.exe; vmwp.exe; svchost.exe; TeamViewer.exe; explorer.exe.
Việc không dừng tiến trình TeamViewer cho thấy rằng kẻ tấn công có thể đang sử dụng nó để truy cập từ xa vào máy tính. Điều này không thường thấy trong các cuộc tấn công ransomware.
Michael Gillespie, người đã phân tích quá trình mã hóa nói với BleepingComputer rằng ransomware đã sử dụng một khóa SALSA20 để mã hóa các tệp. Khóa này lại được mã hóa bằng khóa RSA-1024 công khai có trong tệp thực thi.
Mỗi nạn nhân sẽ có phần mở rộng tệp tùy chỉnh, được tạo bằng cách sử dụng checksum tùy chỉnh từ địa chỉ MAC của nạn nhân.
Mỗi tệp thực thi cũng được tùy chỉnh để thêm vào thông báo tiền chuộc có tên "Welcome to Dark" dành riêng cho nạn nhân. Thông báo này sẽ bao gồm lượng dữ liệu bị đánh cắp, loại dữ liệu và liên kết đến trang web rò rỉ dữ liệu.
Tại thời điểm này, vẫn chưa có cách nào để khôi phục các tệp đã bị ransomware DarkSide mã hóa.
Mối liên hệ với ransomware REvil
Khi phân tích DarkSide, người ta phát hiện ra rằng nó có một số điểm tương đồng với ransomware REvil. Điểm tương đồng rõ ràng nhất là thông báo tiền chuộc, sử dụng gần như cùng một mẫu, như được hiển thị trong thông báo đòi tiền chuộc REvil bên dưới.
Phân tích của BleepingComputer cho thấy đầu tiên DarkSideó sẽ thực thi một tập lệnh PowerShell được mã hóa. Tiến hành giải mã, các nhà nghiên cứu phát hiện lệnh PowerShell này được sử dụng để xóa Shadow Volume Copies trên máy trước khi mã hóa nó.
Sử dụng PowerShell để thực hiện lệnh trên là phương pháp tương tự được sử dụng bởi REvil.
Cuối cùng, MalwareHunterTeam phát hiện ra rằng DarkSide cố tình tránh lây nhiễm cho các nạn nhân ở các nước CIS. Mã để thực hiện việc này tương tự như những gì được sử dụng trong REvil và GandCrab.
Giảm thiểu mối đe dọa từ Dark Side
Giảm nguy cơ tổn thất, mất mát dữ liệu là chìa khóa để sử dụng lực lượng an ninh mạng chống lại Dark Side.
Dù là cái gì và đến từ đâu, thì DarkSide là một chủng ransomware rất nguy hiểm. Điều đó có nghĩa là cần triển khai ngay các biện pháp bảo mật phù hợp, chứ không chỉ đơn giản là sao lưu dữ liệu. Bạn phải giảm nguy cơ tấn công, giảm bề mặt tấn công, đặt bảo mật thực sự trở thành ưu tiên hàng đầu trong hoạt động của doanh nghiệp.
Vì vậy, hãy đảm bảo cập nhật các bản vá và phần mềm kịp thời, đảm bảo rằng xác thực mạnh được sử dụng ở mọi nơi có thể. Đồng thời, giáo dục và đào tạo nhân viên các phòng, ban nhận thức và "cảnh giác" với các mối đe dọa từ những kẻ tấn công ransomware.
