Biến thể Ransomware Petya ngày càng nguy hiểm

Theo nghiên cứu mới từ Kaspersky Lab, họ đã phát hiện ra PetrWrap, một module đặc biệt để sửa đổi ransomware Petya ban đầu, làm cho người viết ra Petya không thể làm được gì trước việc sử dụng trái phép malware này. Đây có thể là dấu hiệu tăng sự cạnh tranh trên thị trường ransomware ngầm.

Các tác giả của Trojan PetrWrap, lần đầu tiên phát hiện hoạt động vào đầu năm 2017, đã vượt qua được những cơ chế này và tìm ra cách để sử dụng Petya mà không phải trả tiền cho người tạo ra nó.

Sau khi lây nhiễm, PetrWrap khởi chạy Petya để mã hóa dữ liệu của nạn nhân và sau đó đòi một khoản tiền chuộc.

Đáng chú ý, các tác giả của PetrWrap sử dụng một khóa mã hóa riêng của họ thay vì các phiên bản của Petya. Điều này có nghĩa là họ có thể hoạt động mà không cần một khóa riêng từ các nhà khai thác Petya để giải mã máy tính của nạn nhân, nếu tiền chuộc được thanh toán.

Nghiên cứu này cho biết, các nhà phát triển của PetrWrap đã chọn Petya là vì gia đình ransomware này hiện có một thuật toán mật mã hoàn thiện mà khó có thể phá vỡ được. Các nhà nghiên cứu bảo mật đã từng tìm ra cách giải mã các tập tin nhờ một số lỗi của Petya, sau đó các tác giả của Petya đã chỉnh sửa lại tất cả các lỗi này. Máy của nạn nhân sẽ hoàn toàn bị mã hóa khi bị phiên bản mới nhất của Petya tấn công. Đây là lý do tại sao tội phạm mạng đằng sau PetrWrap quyết định sử dụng Petya trong các hoạt động của chúng.

Màn hình khóa hiển thị cho nạn nhân của PetrWrap không hề đề cập đến Petya, làm cho các chuyên gia bảo mật khó đánh giá được tình hình cũng như xác định được loại ransomware nào đã được sử dụng.

Vào tháng 5 năm 2016 Kaspersky Lab phát hiện ra ransomware Petya, không chỉ mã hóa dữ liệu trên máy tính mà còn ghi đè lên bản ghi khởi động của ổ đĩa cứng, để các máy tính bị nhiễm không thể khởi động vào hệ điều hành.

Mã độc này là một ví dụ của mô hình dịch vụransomware, cụ thể người tạo raransomware cung cấp sản phẩm độc hại theo yêu cầu, các nhà phân phối lan truyền nó và làm giảm đi lợi nhuận. Để có được phần lợi nhuận của mình, các tác giả của Petya đã chèn một số “cơ chế bảo vệ” vào phần mềm này để tránh việc sử dụng trái phép.

Trước tình hình trên, các chuyên gia đưa ra lời khuyên, doanh nghiệp và cá nhân nên thực hiện sao lưu dữ liệu kịp thời và đúng cách. Cung cấp bảo vệ phạm vi bên trong và bên ngoài. Một chiến lược an ninh thích hợp cần cung cấp các nguồn lực để phát hiện tấn công và phản ứng kịp thời để ngăn chặn một cuộc tấn công trước khi nó xảy ra. Tiến hành đánh giá an ninh mạng kiểm soát để xác định và loại bỏ bất kỳ lỗ hổng bảo mật nào. Đồng thời, đào tạo nhân viên và nhận thức của họ về các mối đe dọa và các cuộc tấn công gần đây.

Gia Hưng