Xuất hiện mã độc tống tiền mới lây lan nhanh chóng

“Bad Rabbit” là mã độc tống tiền mới đang lây lan nhanh chóng tại Nga và Tây Âu.

Theo hãng bảo mật Group-IB, ransomware có tên Bad Rabbit đã tấn công 3 hãng truyền thông của Nga, trong đó có hãng tin Interfax. Một khi có mặt trên máy tính, Bad Rabbit hiển thị thông điệp với ký tự màu đỏ trên nền đen, khá giống với ransomware NotPetya. Hacker yêu cầu nạn nhân đăng nhập vào website Tor để trả 0,05 Bitcoin (tương đương 282 USD ở thời điểm bài viết). Trang web cũng hiển thị đồng hồ đếm ngược trước khi số tiền này tăng lên.

Không rõ ai đứng sau vụ tấn công, nạn nhân là ai, mã độc phát tán như thế nào hay có nguồn gốc từ đâu. Trên Twitter, Interfax cho biết do tấn công mạng, máy chủ của họ đang bị sập. Sân bay Odessa ở Ukraine cũng bị ảnh hưởng bởi cuộc tấn công hôm 24/10 nhưng không rõ có phải là Bad Rabbit không.

Mã độc tống tiền Bad Rabbit.

Cơ quan ứng cứu khẩn cấp máy tính Ukraine CERT-UA đã đăng cảnh báo sáng ngày 24/10 về một làn sóng tấn công mạng mới nhưng không nhắc đích danh Bad Rabbit. Người phát ngôn của Group-IB nói Bad Rabbit nhằm vào các hãng truyền thông Nga như Interfax và Fontanka cũng như các đối tượng ở Ukraine như sân bay Odessa, ga điện ngầm Kiev, Bộ Cơ sở tạ hầng Ukraine.

Kaspersky Lab cung cấp thông tin phần lớn các ca nhiễm Bad Rabbit là tại Nga, bên cạnh một số tại Ukraine, Thổ Nhĩ Kỳ và Đức. Hãng bảo mật gọi Bad Rabbit là “tấn công mục tiêu nhằm vào mạng doanh nghiệp, sử dụng phương thức tương tự phương thức được dùng trong cuộc tấn công ExPetr (NotPetya)”. Tuy nhiên, Kaspersky không thể xác nhận nó có liên quan đến NotPetya hay không.

ESET, một công ty an ninh mạng khác tại Cộng Hòa Séc, xác nhận đang có một chiến dịch ransomware. Trên blog, công ty viết ít nhất trường hợp của ga Kiev, mã độc này là “biến thể mới của ransomware Petya”. ESET đã xác định được hàng trăm ca lây nhiễm.

Một nhà nghiên cứu từ Proofpoint cho rằng Bad Rabbit được phát tán qua công cụ cài đặt Adobe Flash Player giả mạo. Các chuyên gia của Kaspersky Lab cũng xác nhận và bổ sung rằng malware dropper – tập tin phát động mã độc – được phân phối qua các trang hợp pháp nhưng bị cài bẫy, tất cả đều là trang tin hoặc truyền thông.

Adobe Flash Player giả không phải con đường duy nhất. Theo ESET, ransomware còn cố lây nhiễm máy tính trong cùng mạng nội bộ thông qua giao thức chia sẻ dữ liệu SMB của Windows rồi sau đó dùng công cụ Mimikatz.

Theo thư viện mã độc VirusTotal, ban đầu rất ít công ty bảo mật xác định Bad Rabbit là độc hại. Một nhà nghiên cứu của McAfee nói Bad Rabbit mã hóa nhiều loại tập tin khác nhau, bao gồm .doc, .docx, .jpg và các loại file phổ thông khác. Vài chuyên gia cho biết Bad Rabbit chứa một số quy chiếu đến loạt phim Games of Thrones, cụ thể là tên của 3 con rồng Drogon, Rhaegal, Viserion. Hacker cũng nhắc đến bộ phim Hackers (1995) trong code của chúng.

Như thường lệ, bất kỳ nạn nhân nào cũng không khuyến khích trả tiền chuộc. Không có gì bảo đảm bạn sẽ nhận lại được dữ liệu nhưng quan trọng hơn, từ chối làm giảm động lực của các cuộc tấn công mã độc đòi tiền chuộc trong tương lai.