SoTTTT AG - Ngày 24/10/2017, Tập đoàn Kaspersky của Nga cho biết, nhiều nước châu Âu như Nga, Ukraine, Đức và Thổ Nhĩ Kỳ đã trở thành mục tiêu tấn công của loại mã độc mang tên Bad Rabbit.
Tập đoàn an ninh mạng Kaspersky đã ghi nhận nhiều vụ tấn công mạng nhằm vào các công ty của Nga, Thổ Nhĩ Kỳ, Đức và Ukraine. Phần lớn nạn nhân của các vụ tấn công đều ở Nga.
Tin nhắn đòi tiền chuộc của Bad Rabbit
Không giống như các virus gần đây, Bad Rabbit yêu cầu nạn nhân tải xuống và thực hiện tệp tin cài đặt Adobe Flash giả mạo, từ đó lây nhiễm vào máy tính của họ.
Các máy tính bị nhiễm phần mềm độc hại chuyển người dùng đến một tên miền đuôi .onion, ở đó họ được yêu cầu phải trả 0,05 Bitcoin hoặc khoảng 276 USD để đổi lấy dữ liệu. Đồng hồ đếm ngược trên trang web cho thấy giá tiền chuộc tăng lên khi thời gian tăng lên.
Cơ quan phản ứng khẩn cấp máy tính của Chính phủ Ukraine đã phát đi cảnh báo về một đợt tấn công mạng mới, yêu cầu các mạng lưới vận tải phải được đặt trong tình trạng báo động đặc biệt.
Theo các chuyên gia an ninh mạng, Bad Rabbit dường như là một loại mã độc, một virus đòi tiền chuộc, mã hóa dữ liệu trên máy tính, làm cho chúng không sử dụng được. Thậm chí, loại virus này có thể làm tê liệt hoạt động của các tổ chức mà nó tấn công.
Ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách an ninh mạng Bkav nhận định, Bad Rabbit không nguy hiểm bằng WannaCry và Petya; do Bad Rabbit không khai thác lỗ hổng như hai loại mã độc mã hóa dữ liệu WannaCry và Petya nên phạm vi ảnh hưởng sẽ hẹp hơn, tốc độ lây lan chậm hơn. Bên cạnh đó, loại mã độc này nhắm vào đối tượng cụ thể nên mức độ ảnh hưởng cũng không lớn bằng WannaCry và Petya.
Thay vào đó, Bad Rabbit sử dụng các thông tin đăng nhập bị đánh cắp được mã hóa cứng thông qua SMB, trước tiên là từ xa ăn cắp mật khẩu từ máy tính bị nhiễm thông qua công cụ khai thác mật khẩu Mimikatz và sử dụng một danh sách tên người dùng/mật khẩu được mã hóa cứng trong mã nhị phân.
Ngoài ra còn có một kết nối Adobe Flash Player giả mạo: một dropper của Diskcoder.D hiện ra như một trình cài đặt Flash Player.
Theo các nhà nghiên cứu tại Kaspersky, đây là một cuộc tấn công nhắm mục tiêu vào các mạng công ty, sử dụng các phương pháp tương tự như trong cuộc tấn công ExPetr vào tháng 6/2017. Dropper của mã độc được phân phối với sự trợ giúp của các cuộc tấn công drive-by. Trong khi mục tiêu đang truy cập vào một trang web hợp pháp, một dropper độc hại được tải xuống từ hạ tầng của tin tặc. Nạn nhân sẽ phải tự thực thi dropper độc hại đang giả mạo là trình cài đặt Flash.
Adam Meyers, Phó chủ tịch tình báo tại CrowdStrike cho biết, Bad Rabbit dường như đã được lây nhiễm thông qua trang web argumentiru.com, một trang web về người nổi tiếng và tin tức ở Nga và Đông Âu.
Để phòng ngừa nguy cơ mã độc tấn công, các chuyên gia khuyến cáo người dùng nên chặn các tệp tin 'c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat.' để ngăn ngừa mã độc lây lan; sao lưu dữ liệu thường xuyên; cập nhật bản vá cho hệ điều hành; chỉ mở các tệp tin văn bản nhận từ Internet trong môi trường cách ly Safe Run. Người dùng cũng cần cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động.
Minh Thư (tổng hợp)
Theo Tạp chí an toàn thông tin
