Các nhóm bảo mật doanh nghiệp có thể thêm ba biến thể ransomware khác vào danh sách các mối đe dọa ransomware ngày càng tăng mà họ cần theo dõi.
Ba biến thể — Vohuk, ScareCrow và AESRT — giống như hầu hết các công cụ ransomware, nhắm mục tiêu vào các hệ thống Windows và dường như đang phát triển tương đối nhanh chóng trên các hệ thống của người dùng ở nhiều quốc gia. Các nhà nghiên cứu bảo mật tại FortiGuard Labs của Fortinet, những người đang theo dõi các mối đe dọa trong tuần này đã mô tả các mẫu mã độc tống tiền đang thu hút sự chú ý trong cơ sở dữ liệu mã độc tống tiền của công ty.
Phân tích của Fortinet trong số ba mối đe dọa cho thấy chúng là các công cụ ransomware tiêu chuẩn thuộc loại tuy nhiên vẫn rất hiệu quả trong việc mã hóa dữ liệu trên các hệ thống bị xâm nhập. Cảnh báo của Fortinet không xác định cách thức những kẻ vận hành các mẫu mã độc tống tiền mới phân phối phần mềm độc hại của họ, nhưng lưu ý rằng email lừa đảo thường là vật trung gian lây nhiễm mã độc tống tiền phổ biến nhất.
Số lượng biến thể ngày càng tăng
Fred Gutierrez, kỹ sư bảo mật cấp cao tại Phòng thí nghiệm FortiGuard của Fortinet cho biết: “Nếu sự phát triển của mã độc tống tiền vào năm 2022 cho thấy tương lai sẽ ra sao, thì các nhóm bảo mật ở khắp mọi nơi sẽ thấy phương thức tấn công này thậm chí còn trở nên phổ biến hơn vào năm 2023”.
Ông cho biết chỉ trong nửa đầu năm 2022, số lượng biến thể ransomware mới mà FortiGuard Labs xác định đã tăng gần 100% so với khoảng thời gian sáu tháng trước đó. Nhóm FortiGuard Labs đã ghi nhận 10,666 biến thể ransomware mới trong nửa đầu năm 2022 so với chỉ 5,400 vào nửa cuối năm 2021.
Ông nói: “Sự gia tăng các biến thể ransomware mới này chủ yếu là nhờ có nhiều kẻ tấn công lợi dụng ransomware-as-a-service (RaaS) trên Dark Web.
Ông cho biết thêm: “Ngoài ra, có lẽ khía cạnh đáng lo ngại nhất là chúng ta đang chứng kiến sự gia tăng của các cuộc tấn công bằng mã độc tống tiền có sức tàn phá lớn hơn trên quy mô lớn và hầu như trên tất cả các loại lĩnh vực, mà chúng tôi dự kiến sẽ tiếp tục vào năm 2023.”
Các chủng ransomware tiêu chuẩn nhưng hiệu quả
Biến thể ransomware Vohuk mà các nhà nghiên cứu của Fortinet đã phân tích dường như đang ở phiên bản thứ ba, cho thấy các tác giả của nó đang tích cực phát triển nó.
Fortinet cho biết phần mềm độc hại này gửi một ghi chú đòi tiền chuộc, “README.txt,” trên các hệ thống bị xâm nhập, yêu cầu nạn nhân liên hệ với kẻ tấn công qua email bằng một ID duy nhất. Ghi chú thông báo cho nạn nhân rằng kẻ tấn công không có động cơ chính trị mà chỉ quan tâm đến lợi ích tài chính — có lẽ để trấn an nạn nhân rằng họ sẽ lấy lại dữ liệu nếu trả khoản tiền chuộc được yêu cầu.
Trong khi đó, “ScareCrow là một ransomware điển hình khác mã hóa các tệp trên máy của nạn nhân,” Fortinet cho biết. “Ghi chú đòi tiền chuộc của nó, cũng có tên là 'readme.txt,' chứa ba kênh Telegram mà nạn nhân có thể sử dụng để nói chuyện với kẻ tấn công.”
Fortinet cho biết mặc dù thông báo đòi tiền chuộc không chứa bất kỳ yêu cầu tài chính cụ thể nào, nhưng có thể an toàn khi cho rằng nạn nhân sẽ cần trả tiền chuộc để khôi phục các tệp đã được mã hóa.
Nghiên cứu của nhà cung cấp bảo mật cũng cho thấy một số điểm trùng lặp giữa ScarCrow và kẻ khét tiếng Biến thể ransomware Conti, một trong những công cụ ransomware phổ biến nhất từ trước đến nay. Chẳng hạn, cả hai đều sử dụng cùng một thuật toán để mã hóa tệp và giống như Conti, ScareCrow xóa các bản sao ẩn bằng tiện ích dòng lệnh WMI (wmic) để làm cho dữ liệu không thể khôi phục được trên các hệ thống bị nhiễm.
Nội dung gửi tới VirusTotal cho thấy rằng ScareCrow đã lây nhiễm các hệ thống ở Hoa Kỳ, Đức, Ý, Ấn Độ, Philippines và Nga.
Và cuối cùng, AESRT, dòng ransomware mới thứ ba mà Fortinet vừa phát hiện trong thực tế, có chức năng tương tự như hai mối đe dọa còn lại. Sự khác biệt chính là thay vì để lại ghi chú đòi tiền chuộc, phần mềm độc hại sẽ cung cấp một cửa sổ bật lên với địa chỉ email của kẻ tấn công và một trường hiển thị khóa để giải mã các tệp được mã hóa sau khi nạn nhân đã thanh toán khoản tiền chuộc được yêu cầu.
Crypto-Collapse sẽ làm chậm mối đe dọa Ransomware?
Các biến thể mới bổ sung vào danh sách dài — và không ngừng phát triển — các mối đe dọa ransomware mà các tổ chức hiện phải đối phó hàng ngày, vì những kẻ vận hành ransomware liên tục tấn công các tổ chức doanh nghiệp.
Dữ liệu về các cuộc tấn công ransomware mà LookGlass đã phân tích vào đầu năm nay cho thấy có một số 1,133 cuộc tấn công ransomware đã được xác nhận chỉ trong nửa đầu năm 2022 — hơn một nửa (52%) trong số đó ảnh hưởng đến các công ty Hoa Kỳ. LookGlass đã tìm thấy nhóm ransomware hoạt động mạnh nhất là nhóm đằng sau biến thể LockBit, tiếp theo là các nhóm đằng sau ransomware Conti, Black Basta và Alphy.
Tuy nhiên, tốc độ hoạt động không ổn định. Một số nhà cung cấp bảo mật đã báo cáo quan sát thấy hoạt động của phần mềm tống tiền chậm lại một chút trong một số thời điểm nhất định của năm.
Ví dụ, trong một báo cáo giữa năm, SecureWorks cho biết các cam kết ứng phó sự cố của họ vào tháng XNUMX và tháng XNUMX cho thấy tốc độ xảy ra các cuộc tấn công ransomware mới thành công đã chậm lại một chút.
SecureWorks đã xác định xu hướng có thể xảy ra, ít nhất là một phần, với sự gián đoạn hoạt động của Conti RaaS trong năm nay và các yếu tố khác như tác động tiêu cực của cuộc chiến ở Ukraine trên băng nhóm ransomware.
Một báo cáo khác, từ Identity Theft Resource Center (ITRC), báo cáo giảm 20% trong các cuộc tấn công ransomware dẫn đến vi phạm trong quý hai năm 2022 so với quý đầu tiên của năm. ITRC, giống như SecureWorks, đã xác định sự suy giảm này có liên quan đến cuộc chiến ở Ukraine và đáng chú ý là sự sụp đổ của các loại tiền điện tử mà các nhà khai thác ransomware ưa chuộng để thanh toán.
Bryan Ware, Giám đốc điều hành của LookGlass, cho biết ông tin rằng sự sụp đổ của tiền điện tử có thể cản trở các nhà khai thác ransomware vào năm 2023.
Ông nói: “Vụ bê bối FTX gần đây đã khiến tiền điện tử tăng vọt và điều này ảnh hưởng đến việc kiếm tiền từ ransomware và về cơ bản khiến nó trở nên khó lường. “Điều này không tốt cho các nhà khai thác ransomware vì họ sẽ phải xem xét các hình thức kiếm tiền khác trong thời gian dài.”
Ware nói xu hướng xung quanh tiền điện tử có một số nhóm ransomware đang cân nhắc sử dụng tiền điện tử của riêng họ: “Chúng tôi không chắc điều này sẽ thành hiện thực, nhưng nhìn chung, các nhóm ransomware lo lắng về cách họ sẽ kiếm tiền và duy trì một số mức độ ẩn danh trong tương lai.”
