Ransomware dựa trên Python mới giống như Locky

An toàn thông tin - Ngày đăng : 15:25, 17/09/2018

Các nhà nghiên cứu của Trend Micro đã phát hiện một họ ransomware được sử dụng trong các cuộc tấn công vào tháng 7 và tháng 8 giống như ransomware Locky không mấy nổi tiếng đã hoạt động mạnh vào năm 2016.


Phần mềm độc hại (malware) mới này mang tên PyLocky, được viết bằng ngôn ngữ lập trình Python và được “đóng gói” cùng với PyInstaller, một công cụ chuyển các ứng dụng Python thành các ứng dụng thực thi độc lập.

Theo các nhà nghiên cứu bảo mật,  PyLocky khác biệt so với nhiều phần mềm độc hại khác của Python là do khả năng chống học máy. PyLocky cũng sử dụng trình cài đặt Inno dựa trên tập lệnh nguồn mở và tạo ra một thách thức thực sự cho các phương pháp phân tích tĩnh.

Hơn nữa, PyLocky có sự phát tán tập trung cao, với nhiều email spam nhắm vào các nước châu Âu, đặc biệt là Pháp. Ban đầu số lượng email spam thấp, sau tăng dần lên theo thời gian.

Một hoạt động spam được quan sát hồi đầu tháng 8 đã nhắm mục tiêu vào các doanh nghiệp ở Pháp, dùng phương pháp phi kỹ thuật đột nhập vào hệ thống hoặc mạng công ty (social engineering) trong nỗ lực dụ các nạn nhân tiềm năng nhấp vào một liên kết rồi chuyển hướng các nạn nhân tới một URL độc hại để họ tải về một tệp tin nén (ZIP) chứa PyLocky.

Một khi được cài đặt trên máy của nạn nhân, PyLocky sẽ cố gắng mã hóa hình ảnh, video, âm thanh, tài liệu, trò chơi, cơ sở dữ liệu và các tập tin lưu trữ cùng nhiều thứ khác. Tổng cộng, mã độc này nhắm mục tiêu vào danh sách hơn 150 loại tệp tin để mã hóa.

Mã độc này lợi dụng dịch vụ Windows Management Instrumentation (WMI) để kiểm tra các đặc tính của hệ thống bị ảnh hưởng. Nó cũng có các tính năng chống sandbox (kỹ thuật rất quan trọng trong bảo mật giúp hạn chế việc truy cập vào tài nguyên hệ thống của các ứng dụng ngoài), làm hệ thống "ngủ" trong 999.999 giây (khoảng 11,5 ngày) nếu hệ thống bị ảnh hưởng có tổng dung lượng bộ nhớ khả dụng dưới 4GB.

Đoạn mã hóa của ransomware này được triển khai nhờ sử dụng thư viện PyCrypto và tận dụng mã 3DES (Triple DES). PyLocky lặp lại các bước trên từng ổ đĩa logic, tạo ra một danh sách các tệp tin và sau đó ghi đè lên các tập tin được nhắm mục tiêu bằng một phiên bản đã được mã hóa.

Sau khi hoàn thành quá trình mã hóa, PyLocky đưa ra một thông báo đòi tiền chuộc và cũng thiết lập giao tiếp với máy chủ điều khiển bằng lệnh (command and control - C&C). Thông báo tiền chuộc của malware này bằng tiếng Anh, tiếng Pháp, tiếng Hàn Quốc và tiếng Ý, cho thấy rằng các bên khai thác mã độc này đang nhắm tới các chiến dịch rộng lớn hơn.

Theo kết luận của Trend Micro: “Những kỹ thuật lẩn tránh của PyLocky và việc lợi dụng các công cụ hợp pháp thường được giới hạn cho các quản trị viên, chứng minh rõ hơn ý nghĩa của việc phòng thủ theo chiều sâu. Ví dụ, học máy là một công cụ bảo mật có giá trị trong việc phát hiện malware duy nhất, nhưng nó không phải là một viên "đạn bạc" (silver bullet). Với những mối đe dọa hiện nay, khi các cuộc tấn công đa hướng khác nhau được kẻ tấn công sử dụng tùy ý, thì một phương pháp tiếp cận nhiều lớp về bảo mật trở nên quan trọng", TrendMicro cho biết.

Linh Anh