Nguy cơ nhiều ransomware mới sử dụng phần mềm tống tiền Babuk

Hạnh Tâm | 28/12/2021 08:41
Theo dõi ICTVietnam trên

Hoạt động của ransomware có tên Rook mới được công bố gần đây đã đã gây nhiều sự chú ý của dư luận.

Một hoạt động ransomware mới có tên Rook được nhà nghiên cứu Zach Allen thông tin lần đầu tiên và thu hút sự chú ý của các chuyên gia vì tuyên bố trắng trợn rằng chúng có thể xâm nhập vào hệ thống mục tiêu và cần kiếm nhiều tiền bằng cách thâm nhập vào các mạng lưới của các công ty.

Vào ngày 30/11, băng đảng ransomware Rook đã công bố tên của nạn nhân đầu tiên là một tổ chức tài chính ở Kazkh, đánh cắp 1123 GB dữ liệu.

Các nhà nghiên cứu tại SentinelLabs đã phân tích phần mềm độc hại và nhận thấy có nhiều sự tương đồng với phần mềm tống tiền Babuk. Chuỗi tấn công bắt đầu bằng các tin nhắn lừa đảo, và các cuộc tấn công của chúng chủ yếu sử dụng khung (framework) của bên thứ ba như Cobalt Strike.

Cũng giống như các loại ransomware khác, Rook yêu cầu tiền chuộc để mở khóa các tệp được mã hóa. Nếu nạn nhân không tuân thủ yêu cầu đòi tiền chuộc chúng đe dọa công khai và làm lộ lọt dữ liệu mà chúng đã trích xuất được.

Phần mềm độc hại được đóng gói bằng trình đóng gói UPX (Ultimate Packer for eXecutable) và sử dụng các chương trình mã hóa để tránh bị phát hiện.

Khi thực thi, Rook nỗ lực ngắt các tiến trình liên quan đến phần mềm bảo mật hoặc ứng dụng khác có thể can thiệp vào quá trình mã hóa và cố gắng xóa các bản sao để ngăn nạn nhân khôi phục từ bản sao lưu để tránh phải trả tiền chuộc.

Theo phân tích của SentinelLabs thì phần mềm tống tiền cố gắng chấm dứt bất kỳ quy trình nào có thể gây trở ngại cho việc mã hóa của chúng. Chúng sử dụng trình điều khiển (như kph.sys) để vô hiệu hóa một số giải pháp bảo mật cục bộ nhất định trên các giao dịch cụ thể.

Các biến thể ban đầu của Rook có thêm phần mở rộng .TOWER, trong khi tất cả các biến thể hiện tại đều sử dụng phần mở rộng .ROOK.

Các chuyên gia nhận thấy nhiều điểm tương đồng về mã giữa Rook và Babuk khi mã nguồn của nó đã bị rò rỉ trên một diễn đàn hack vào tháng 9/2021.

 "Babuk và Rook sử dụng API  EnumDependentServicesA để truy xuất tên và trạng thái của từng dịch vụ theo chỉ định trước khi chấm dứt. Chúng liệt kê tất cả các dịch vụ trong hệ thống và ngăn chặn tất cả những dịch vụ tồn tại trong danh sách mã hóa cứng trên phần mềm độc hại. Bằng cách sử dụng API OpenSCManagerA, mã nhận trình quản lý và kiểm soát dịch vụ, xử lý và sau đó liệt kê tất cả các dịch vụ trong hệ thống. Ngoài ra, cả Rook và Babuk đều sử dụng các chức năng CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, OpenProcess và TerminaProcess để liệt kê những tiến trình đang chạy và hủy bất kỳ tiến trình nào được tìm thấy cho phù hợp việc đã thực hiện một thao tác trong code tạm thời (hardcoded)."

Với sự sẵn có của mã nguồn từ các vụ rò rỉ như Babuk, các nhà nghiên cứu dự báo sự gia tăng của các nhóm ransomware mới sẽ tiếp tục tiếp diễn. Rook sẽ không phải là phần mềm độc hại cuối cùng mà chúng ta thấy khi mã Babuk bị rò rỉ. Do vậy, các nhóm bảo mật doanh nghiệp sẽ còn nhiều công việc phải bận rộn hơn trong năm tới./.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Bưu điện Việt Nam đảm bảo không gián đoạn dịch vụ khi thay đổi địa giới hành chính
    Bưu điện Việt Nam đã chủ động triển khai hàng loạt giải pháp đồng bộ để đảm bảo dịch vụ không gián đoạn, người dân không bị ảnh hưởng và không phát sinh thêm chi phí trong bối cảnh thay đổi địa giới hành chính từ ngày 1/7/2025.
  • AI có thể giúp giảm thiểu khoảng 70 tỷ USD chi phí tổn thất thiên tai trực tiếp
    Trí tuệ nhân tạo (AI) có thể giúp giảm thiểu khoảng 70 tỷ USD chi phí tổn thất thiên tai trực tiếp hàng năm đến năm 2050. Điều này đã được Deloitte Toàn cầu đưa ra trong báo cáo mới đây.
  • AI lõi "Make in Viet Nam" được xếp hạng Top 12 thế giới
    Trong bối cảnh chuyển đổi số, chuyển đổi AI tại Việt Nam đang diễn ra, công nghệ OCR (Nhận dạng ký tự quang học) ngày càng giữ vai trò quan trọng trong việc số hóa tài liệu, tự động hóa quy trình nghiệp vụ, tiết kiệm chi phí và nâng cao hiệu quả quản trị.
  • Làm sao để tăng hiệu quả bảo mật môi trường đa đám mây?
    Khi cuộc tranh luận về việc nên triển khai hệ thống máy chủ tại chỗ hay trên đám mây đã dần lắng xuống, doanh nghiệp (DN) giờ đây lại phải đối mặt với một bài toán khác khó khăn hơn: làm thế nào để bảo mật hiệu quả môi trường đa đám mây (multicloud)?
  • Cỗ máy gia tốc từ Nghị quyết 57: Một bài học sống động
    Sau nửa năm triển khai Nghị quyết 57-NQ/TW của Bộ Chính trị (2/1/2025 – 29/6/2025), CT Group đã tổ chức Lễ Sơ kết 6 tháng triển khai Nghị quyết 57-NQ/TW với hàng loạt sản phẩm hoàn thiện rất phong phú từ Khoa học, Công nghệ, Chuyển đổi số đến Đổi mới sáng tạo. Thành tựu đạt được chính là minh chứng sống động cho khát vọng làm chủ công nghệ lõi, tạo lực đẩy đột phá và nâng cao năng lực cạnh tranh, cùng vị thế quốc gia trên tiến trình hội nhập, vì một Việt Nam hùng cường.
Đừng bỏ lỡ
Nguy cơ nhiều ransomware mới sử dụng phần mềm tống tiền Babuk
POWERED BY ONECMS - A PRODUCT OF NEKO