VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phiên bản nâng cao của phần mềm tống tiền Qilin có nhiều tính năng tinh vi và chiến thuật hơn để tránh bị phát hiện.

Biến thể mới đang được công ty an ninh mạng Halcyon theo dõi dưới biệt danh Qilin.B.


"Đáng chú ý, Qilin.B hiện hỗ trợ mã hóa AES-256-CTR cho các hệ thống có khả năng AESNI, trong khi vẫn giữ lại Chacha20 cho các hệ thống không có hỗ trợ này", Nhóm nghiên cứu Halcyon cho biết trong báo cáo chia sẻ với The Hacker News.

"Ngoài ra, RSA-4096 với phần đệm OAEP được sử dụng để bảo vệ khóa mã hóa, khiến việc giải mã tệp mà không có khóa riêng của kẻ tấn công hoặc giá trị hạt giống đã thu thập được là không thể."

Qilin, còn được gọi là Agenda, lần đầu tiên được cộng đồng an ninh mạng chú ý vào tháng 7/tháng 8 năm 2022, với các phiên bản đầu tiên được viết bằng Golang trước khi chuyển sang Rust.

Một báo cáo vào tháng 5 năm 2023 từ Group-IB tiết lộ rằng chương trình ransomware-as-a-service (RaaS) cho phép các chi nhánh của nó nhận được từ 80% đến 85% mỗi khoản tiền chuộc sau khi xâm nhập vào nhóm và bắt đầu trò chuyện với một kẻ tuyển dụng Qilin.

Các cuộc tấn công gần đây liên quan đến hoạt động tống tiền đã đánh cắp thông tin đăng nhập được lưu trữ trong trình duyệt Google Chrome trên một nhóm nhỏ các điểm cuối bị xâm phạm, báo hiệu sự khác biệt so với các cuộc tấn công tống tiền kép thông thường.

Các mẫu Qilin.B được Halcyon phân tích cho thấy nó được xây dựng dựa trên các phiên bản cũ hơn với khả năng mã hóa bổ sung và chiến thuật hoạt động được cải thiện.

Điều này bao gồm việc sử dụng AES-256-CTR hoặc Chacha20 để mã hóa, ngoài ra còn thực hiện các bước để chống phân tích và phát hiện bằng cách chấm dứt các dịch vụ liên quan đến công cụ bảo mật, liên tục xóa Nhật ký sự kiện Windows và tự xóa chính nó.

Nó cũng tích hợp các tính năng để hủy các tiến trình được liên kết với các dịch vụ sao lưu và ảo hóa như Veeam, SQL và SAP, cũng như xóa các bản sao lưu ổ đĩa, do đó làm phức tạp thêm các nỗ lực khôi phục.

Halcyon cho biết: "Sự kết hợp giữa các cơ chế mã hóa nâng cao, chiến thuật né tránh phòng thủ hiệu quả và sự gián đoạn liên tục của các hệ thống sao lưu của Qilin.B khiến nó trở thành một biến thể ransomware đặc biệt nguy hiểm".

Bản chất nguy hiểm và dai dẳng của mối đe dọa do phần mềm tống tiền gây ra được chứng minh qua các chiến thuật tiến hóa liên tục được các nhóm phần mềm tống tiền thể hiện.


Điều này được minh họa bằng việc phát hiện ra một bộ công cụ mới dựa trên Rust đã được sử dụng để phân phối phần mềm tống tiền Embargo mới ra đời, nhưng trước đó đã chấm dứt các giải pháp phát hiện và phản hồi điểm cuối (EDR) được cài đặt trên máy chủ bằng kỹ thuật Bring Your Own Vulnerable Driver (BYOVD).

Cả phần mềm diệt virus EDR, được ESET đặt tên mã là MS4Killer do có nhiều điểm tương đồng với công cụ mã nguồn mở s4killer, và phần mềm tống tiền này đều được thực thi thông qua trình tải độc hại được gọi là MDeployer.

"MDeployer là trình tải độc hại chính mà Embargo cố gắng triển khai vào các máy trong mạng bị xâm phạm – nó tạo điều kiện cho phần còn lại của cuộc tấn công, dẫn đến việc thực thi ransomware và mã hóa tệp", các nhà nghiên cứu Jan Holman và Tomáš Zvara cho biết. "MS4Killer dự kiến sẽ chạy vô thời hạn".

"Cả MDeployer và MS4Killer đều được viết bằng Rust. Phần mềm tống tiền cũng vậy, cho thấy Rust là ngôn ngữ được các nhà phát triển của nhóm sử dụng."

Theo dữ liệu được chia sẻ bởi Microsoft, 389 tổ chức chăm sóc sức khỏe của Hoa Kỳ đã bị tấn công bằng phần mềm tống tiền trong năm tài chính này, khiến họ thiệt hại tới 900.000 đô la mỗi ngày do thời gian ngừng hoạt động. Một số băng nhóm phần mềm tống tiền nổi tiếng tấn công các bệnh viện bao gồm Lace Tempest, Sangria Tempest, Cadenza Tempest và Vanilla Tempest.

Gã khổng lồ công nghệ cho biết : "Trong số 99 tổ chức chăm sóc sức khỏe thừa nhận đã trả tiền chuộc và tiết lộ số tiền chuộc đã trả, số tiền trung bình là 1,5 triệu đô la, còn số tiền trung bình là 4,4 triệu đô la".