Phân phối phần mềm diệt virus Avast & AVG tại Việt Nam.

GandCrab ransomware, Saturn ransomware và Data Kepper ransomware: những ransomware được phân phối miễn phí thông qua chương trình liên kết Ransomware-as-a-Service (RaaS) trên các trang Web đen.

1. GandCrab ransomware được phát hiện lần đầu tiên bởi nhà nghiên cứu bảo mật David Montenegro vào tuần cuối tháng 01/2018. Hầu hết các nhóm ransomware mã hóa đều sử dụng Bitcoin làm phương thức thanh toán tiền chuộc, và một số trường hợp nhiễm ransomware đã được chuyển sang Monero hoặc Ethereum.

Tuy nhiên, đây là lần đầu tiên GandCrab thay đổi tiền chuộc và chấp nhận đồng tiền DASH ( GandCrab hiện đang yêu cầu tiền chuộc 1,54 DASH, tương đương 1.170 USD giá hiện tại). GandCrab ransomware được phân phối thông qua một chiến dịch chống độc hại gọi là Seamless, khi khách truy cập vào bộ công cụ phần mềm RIG exploit kit, phần mềm độc hại sẽ sử dụng các lỗ hổng trong phần mềm của khách truy cập để cài đặt GandCrab mà không cần sự cho phép. Ngoài ra GandCrab sử dụng các tên miền .bit này làm địa chỉ cho các máy chủ Command & Control. Khi mã hóa các tập tin, GandCrab ransomware sẽ nối thêm phần mở rộng .GDCB vào tên của tập tin được mã hóa.

Nhà nghiên cứu về an ninh David Montenegro còn phát hiện ra rằng GandCrab được rao bán trên một diễn đàn tội phạm mạng khét tiếng dành cho những người sử dụng tiếng Nga, và cũng được cung cấp qua RaaS.

 

2. Saturn ransomware được phát hiện vào trung tuần tháng 02/2018, tác giả ransomware này cho phép bất cứ ai cũng có thể trở thành nhà phân phối ransomware miễn phí thông qua chương trình liên kết Ransomware-as-a-Service (RaaS). Cổng RaaS mới này cho phép truy cập dễ dàng và tạo ra phiên bản mới của Saturn, bên cạnh đó những ai phân phối đều phải đăng ký vào cổng thông tin mới này được lưu trữ trên Dark Web, Saturn RaaS này đang áp dụng mô hình kinh doanh nhị phân và không nhất thiết phải trả tiền cho tác giả của Saturn ransomware. Saturn ransomware sẽ nối thêm phần mở rộng .saturn vào tên của tập tin được mã hóa.

Trích dẫn tạo ransomware của Saturn: Người dùng tạo ra 01 tập tin đó trong giao diện Saturn RaaS, sau đó nhúng tệp vào các tệp khác như EXE, Office, PDF...hoặc các tài liệu khác. Các tệp này sau đó được gửi đến người dùng như là một phần của các chiến dịch email spam hoặc các chiến dịch quảng cáo độc hại. Đây là phương pháp phân phối ransomware phổ biến nhất. Nạn nhân nhiễm bệnh sẽ phải trả lệ phí giải mã trên cổng thanh toán của Saturn tại: su34pwhpcafeiztt[dot]onion. Số tiền chuộc này sẽ được vào tài khoản Bitcoin của chính tác giả Saturn ransomware. Nhưng nếu tệp tin gây hại cho nạn nhân được tạo ra trên cổng RaaS, người dùng đã tạo tệp tin và truyền phát cho nạn nhân sẽ nhận được 70% tổng số thanh toán, trong khi người tạo Saturn giữ 30% (Trích dẫn của tác giả Saturn ransomware: Sau khi đăng nhập vào tài khoản của bạn, tạo ra virus mới và tải về nó. Với loại vi-rút bạn vừa tạo ra, bạn đã sẵn sàng bắt đầu lây nhiễm cho mọi người. Bây giờ, đây mới phần quan trọng, 70% bitcoin được trả bởi nạn nhân sẽ được ghi có vào tài khoản của bạn, ví dụ: nếu bạn đã chỉ định 300 đô la là một khoản tiền chuộc, bạn sẽ nhận được 210 đô la chúng tôi sẽ nhận được 90 đô la) Hệ thống chi trả 70% -30% của Saturn ngang với chương trình thanh toán Cerber RaaS, một trong những hoạt động ransomware lớn nhất hiện nay.

           

3. Data Keeper ransomware là loại ransomware thứ ba được cung cấp như là một sản phẩm RaaS trong tháng 02/2018. Hai ngày sau tác giả tạo ra Data Keeper và bắt đầu quảng cáo Ransomware-as-a-Service (RaaS) trên Dark Web, các dòng ransomware được tạo ra trên cổng này đã được phát hiện trong môi trường tự nhiên và lây nhiễm vào các máy tính của người dùng thực.

Cũng giống như Saturn RaaS, Data Keeper RaaS cho phép mọi người đăng ký dịch vụ và cho phép họ tạo ra các chương trình nhị phân ngay lập tức, mà không phải trả phí để kích hoạt một tài khoản.

So với GandCrab, Saturn thì Data Keeper ransomware mã hóa được trong môi trường .NET và sử dụng PsExec (một công cụ quản trị từ xa dựa trên dòng lệnh) Data Keeper sử dụng PsExec để thực hiện việc mã hóa trên các máy khác trên mạng LAN của nạn nhân. Các tệp tin được mã hóa bằng thuật toán AES và RSA-4096 kép. Trình lưu trữ dữ liệu cũng liệt kê và cố gắng mã hóa tất cả mạng chia sẻ mà nó có thể truy cập. Data Keeper không thêm một phần mở rộng đặc biệt vào cuối các tập tin bị mã hóa, như vậy nạn nhân sẽ không thể  biết được các tập tin được mã hóa trừ khi họ cố mở nó. Phí tiền chuộc cũng có thể được cấu hình trong RaaS, vì vậy giá trị tiền chuộc cũng sẽ khác nhau từ các nạn nhân khác nhau. Người sử dụng bị nhiễm bệnh được yêu cầu phải truy cập vào Dark Web URL để biết thêm thông tin về các bước cần thiết để trả lệ phí chuộc và nhận được công cụ giải mã để mở khóa các tệp tin của họ. Như vậy nếu Data Keeper truyền nhiễm vào hệ thống máy tính của một công ty, nạn nhân sẽ phải trả tiền để mở khóa từng máy tính một, điều này có nghĩa là một nhiễm trùng đơn giản có thể đạt đến một chi phí đáng kinh ngạc cho một số công ty nếu không có bản sao lưu dự phòng để phục hồi dữ liệu.


(Panel đăng nhập Cổng Data Keeper RaaS) 

 BRAIN là người viết chương trình (hay còn gọi là tác giả) tạo ra Ransomware và chỉ có người này mới có quyền quyết định mở khóa dữ liệu đó hay không. BRAIN thông qua các trang Web đen để quảng cáo và tuyển dụng những kẻ có âm mưu xấu khác gọi là HOST, các HOST có trách nhiệm phân tán (phân phối) ransomware đến các nạn nhân, khi nạn nhân thanh toán tiền chuộc về BRAIN thì các HOST sẽ được trích % hoa hồng từ số tiền này tùy thuộc BRAIN quyết định.
Luật Hình sự sửa đổi và bổ sung đã được Quốc hội chính thức thông qua, trong đó các điều khoản liên quan đến tội phạm công nghệ cao cũng đã được điều chỉnh, trường hợp người nào cố ý phát tán virus, chương trình tin học có tính năng gây hại cho mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số gây hậu quả đặc biệt nghiêm trọng hoặc làm xâm phạm đến hệ thống dữ liệu thuộc bí mật nhà nước; hệ thống thông tin phục vụ an ninh, quốc phòng… có thể được kết án với mức xử phạt từ 200 triệu đồng, bị phạt tù từ 5 năm đến 12 năm.

Công ty TNHH Tin Học Đô Nguyên
134/2B Thành Thái - Phường 12 - Quận 10 - Hồ Chí Minh - Việt Nam
Thông tin liên hệ

Công ty TNHH Tin Học Đô Nguyên

Phân phối phần mềm diệt virus Avast & AVG tại Việt Nam. © 2018