Trojan mới này gửi tập tin zip có chứa file .js độc hại đến nạn nhân. Phiên bản mới có thể mã hóa offline mà không cần key từ máy chủ. Các chuyên gia Kaspersky Lab tin rằng những kẻ tấn công sử dụng phiên bản này để tấn công doanh nghiệp.
Ransomware RAA xuất hiện vào tháng 6/2016 và là ransomware đầu tiên viết bằng JScript được biết đến. Vào tháng 8, chuyên gia tại Kaspersky Lab phát hiện phiên bản mới của ransomware này. Giống như phiên bản trước được phát tán thông qua email, nhưng giờ đây mã độc lại ẩn mật mã được bảo vệ trong tập tin zip được đính kèm. Tội phạm mạng dùng cách này chủ yếu để lừa các giải pháp chống virus vì khó có thể kiểm tra phần được bảo vệ.
 |
Trong quá trình phân tích email, chuyên gia tại Kaspersky Lab kết luận rằng những kẻ lừa đảo đang nhắm tới doanh nghiệp hơn là nhắm vào người dùng thông thường, khi email độc hại chứa thông tin về thanh toán quá hạn từ bên cung ứng. Để email đáng tin hơn, những kẻ lừa đảo lưu ý rằng vì lí do bảo mật mà tập tin đính kèm đã được bảo vệ (mật khẩu ghi bên dưới email) và cũng được bảo vệ bằng cách mã hóa bất đối xứng. Thông tin này nghe thì vô lí đối với người dùng hiểu biết về mạng nhưng lại đáng tin đối với những nạn nhân mù mờ về vấn đề này.
Quy trình lây nhiễm của ransomware RAA cũng giống với phiên bản trước. Nạn nhân sẽ mở file .js và quá trình lây nhiễm bắt đầu. Để đánh lạc hướng nạn nhân, Trojan cho hiển thị tập tin document chứa một loạt các nhân vật ngẫu nhiên. Trong khi nạn nhân còn đang cố gắng hiểu chuyện gì đang xảy ra thì ở ngoài màn hình, RAA đang thực hiện mã hóa tập tin trên máy. Cuối cùng, ransomware tạo ra ghi chú ngẫu nhiên trên desktop và toàn bộ những tập tin bị mã hóa sẽ có phần mở rộng mới bị khóa lại.
So với phiên bản trước, điểm khác biệt chính là RAA không cần liên lạc với máy chủ để mã hóa tập tin trên máy tính nạn nhân như nó đã làm trước đây. Thay vì yêu cầu master key từ máy chủ C&C thì Trojan sẽ tự tạo, mã hóa và lưu trữ key trên máy. Tội phạm mạng nắm giữ key bí mật dùng để giải mã key master đã bị mã hóa. Ngay khi đã được trả tiền chuộc, tội phạm mạng yêu cầu người dùng gửi cho bọn chúng master key đã bị mã hóa, sau này sẽ được hoàn trả lại, cùng với phần mềm mã hóa. Cách này đã từng được thực hiện để cho phép phần mềm độc hại mã hóa cả máy tính offline lẫn máy tính có kết nối Internet.
Tệ hơn nữa là, ngoài ransomware RAA, nạn nhân còn phải nhận thêm Trojan Pony. Pony có khả năng đánh cắp mật khẩu từ tất cả email của khách hàng, bao gồm doanh nghiệp và gửi chúng đến kẻ tấn công từ xa. Có được mật khẩu nghĩa là những kẻ lừa đảo có thể phát tán phần mềm độc hại thay cho người dùng bị lây nhiễm, khiến việc thuyết phục nạn nhân rằng email này hợp pháp càng dễ dàng hơn. Từ email nạn nhân, phần mềm độc hại có thể lan ra toàn bộ danh sách liên lạc. Từ đó, những kẻ lừa đảo có thể chọn ra liên hệ mà chúng có hứng thú và thực hiện tấn công.
Quy trình lây nhiễm của ransomware RAA cũng giống với phiên bản trước. Nạn nhân sẽ mở file .js và quá trình lây nhiễm bắt đầu. Để đánh lạc hướng nạn nhân, Trojan cho hiển thị tập tin document chứa một loạt các nhân vật ngẫu nhiên. Trong khi nạn nhân còn đang cố gắng hiểu chuyện gì đang xảy ra thì ở ngoài màn hình, RAA đang thực hiện mã hóa tập tin trên máy. Cuối cùng, ransomware tạo ra ghi chú ngẫu nhiên trên desktop và toàn bộ những tập tin bị mã hóa sẽ có phần mở rộng mới bị khóa lại.
So với phiên bản trước, điểm khác biệt chính là RAA không cần liên lạc với máy chủ để mã hóa tập tin trên máy tính nạn nhân như nó đã làm trước đây. Thay vì yêu cầu master key từ máy chủ C&C thì Trojan sẽ tự tạo, mã hóa và lưu trữ key trên máy. Tội phạm mạng nắm giữ key bí mật dùng để giải mã key master đã bị mã hóa. Ngay khi đã được trả tiền chuộc, tội phạm mạng yêu cầu người dùng gửi cho bọn chúng master key đã bị mã hóa, sau này sẽ được hoàn trả lại, cùng với phần mềm mã hóa. Cách này đã từng được thực hiện để cho phép phần mềm độc hại mã hóa cả máy tính offline lẫn máy tính có kết nối Internet.
Tệ hơn nữa là, ngoài ransomware RAA, nạn nhân còn phải nhận thêm Trojan Pony. Pony có khả năng đánh cắp mật khẩu từ tất cả email của khách hàng, bao gồm doanh nghiệp và gửi chúng đến kẻ tấn công từ xa. Có được mật khẩu nghĩa là những kẻ lừa đảo có thể phát tán phần mềm độc hại thay cho người dùng bị lây nhiễm, khiến việc thuyết phục nạn nhân rằng email này hợp pháp càng dễ dàng hơn. Từ email nạn nhân, phần mềm độc hại có thể lan ra toàn bộ danh sách liên lạc. Từ đó, những kẻ lừa đảo có thể chọn ra liên hệ mà chúng có hứng thú và thực hiện tấn công.
 |
Fedor Sinitsyn, Nhà phân tích phần mềm độc hạị tại Kaspersky Lab, cho biết: “Chúng tôi tin rằng ransomware RAA được tạo ra là để thực hiện tấn công vào doanh nghiệp. Sự phối hợp giữa ransomware và phần mềm đánh cắp mật khẩu mang lại cho tội phạm mạng công cụ nguy hiểm, giúp tăng cơ hội kiếm tiền cho chúng. Trước tiên là từ khoản tiền chuộc mà công ty sẽ trả để giải mã dữ liệu, sau đó là từ những nạn nhân tiềm năng có thể bị tấn công bằng cách sử dụng danh tín công tin mà Trojan Pony đã lấy được. Ngoài cách mã hóa offline, phiên bản mới của RAA đã tăng độ nguy hiểm của chúng lên”.
Để giảm thiểu nguy cơ bị lây nhiễm, doanh nghiệp nên cân nhắc những lời khuyên sau: Sử dụng công nghệ bảo mật endpoint và giải pháp chống virus mạnh mẽ, chắn chắn mọi chức năng phát hiện đều được kích hoạt; tăng nhận thức về mạng cho nhân viên; liên tục cập nhật phần mềm trên máy tính; thường xuyên kiểm toán an ninh; chú ý đến phần mở rộng của tập tin trước khi mở chúng ra; những tập tin ẩn chứa nguy hiểm bao gồm: .exe, .hta, .wsf, .js, v.v…
Hiện tại, ransomware RAA đang được phát tán tới những người dùng nói tiếng Nga. Tuy nhiên, không bao lâu nữa “tác giả” sẽ quyết định mở rộng ra toàn cầu. Sản phẩm của Kaspersly Lab đã phát hiện toàn bộ biến thể của ransomware RAA và Pony dưới những tên sau đây: Trojan-Ransom.JS.RaaCrypt, Trojan-PSW.Win32.Tepfer.
