ESET, nhà lãnh đạo toàn cầu về nghiên cứu và phát triển không gian mạng đã đưa ra các phát hiện mới về nguồn gốc có thể có của sự bùng nổ mới nhất của Pansa giống như Ransomware.
Nghiên cứu theo chiều dọc cho thấy sự giống nhau giữa nhiều chiến dịch bởi nhóm tội phạm mạng TeleBots ở Ukraine, và các khía cạnh của bộ công cụ phát triển của họ trong các cuộc tấn công giữa tháng 12 năm 2016 đến tháng 3 năm 2017 và vụ dịch Diskcoder.C (aka Petya) xảy ra ngày 27 tháng 6 năm 2017.
Ông Anton Cherepanov – Chuyên gia nghiên cứu về Malware của ESET:
“Sự tương đồng với cuộc tấn công tháng 12 năm 2016 chống lại các tổ chức tài chính và sự phát triển tiếp theo của một phiên bản Linux của phần mềm độc hại KillDisk được TeleBots sử dụng là những đầu mối mạnh mẽ. Đó là những chỉ số này, cùng với các cuộc tấn công gia tăng vào các hệ thống máy tính ở Ucraina, điều này cho phép TeleBots nhìn sâu hơn”.
Cách hoạt động của TeleBots đã liên tục sử dụng KillDisk để ghi đè lên các tệp tin có phần mở rộng cụ thể cho đĩa của nạn nhân.
Do đó, việc thu tiền chuộc dường như không phải là mục tiêu chính của họ, vì các tệp tin đích không phải là mật mã, mà là ghi đè lên. Trong khi, các cuộc tấn công tiếp theo đã thấy sự bổ sung của mã hóa, thông tin liên lạc và các tính năng khác của ransomware, sự cố vẫn còn đứng ngoài.
Vào năm 2017, từ tháng 1 đến tháng 3, những kẻ tấn công TeleBots đã xâm nhập vào một công ty phần mềm ở Ucraina sử dụng đường hầm VPN và truy cập vào các mạng nội bộ của một số tổ chức tài chính, cho thấy một kho vũ khí được tăng cường của Python.
Trong giai đoạn cuối cùng của chiến dịch đó, họ đã đẩy ransomware sử dụng các chứng chỉ Windows bị đánh cắp và SysInternals PsExec. Các sản phẩm của ESET đã phát hiện ra ransomware mới này như Win32 / Filecoder.NKH. Nó được theo sau bởi ransomware Linux, được phát hiện là Python / Filecoder.R, được tiên đoán bằng Python.
Tiếp theo, TeleBots đã phát hành Win32 / Filecoder.AESNI.C (gọi tắt là XData) vào ngày 18 tháng 5 năm 2017.
Phần lớn là ở Ukraine thông qua cập nhật của M.E.Doc một phần mềm tài chính được sử dụng rộng rãi ở Ukraine. Theo ESET LiveGrid®, phần mềm độc hại được tạo ra ngay sau khi thực hiện phần mềm, cho phép di chuyển theo chiều dọc, tự động, bên trong một mạng LAN công ty bị xâm nhập. Mặc dù ESET xuất bản một công cụ giải mã cho Win32 / Filecoder.AESNI, sự kiện này đã không nhận được nhiều sự chú ý.
Tuy nhiên, vào ngày 27 tháng 6, sự bùng phát Petaa (Diskcoder.C) đã xâm nhập rất nhiều hệ thống trong cả cơ sở hạ tầng quan trọng và các doanh nghiệp khác ở Ukraine và xa hơn.
Xuất hiện và hiển thị khả năng thay thế Master Boot Record (MBR) bằng mã độc hại, mã mượn từ Win32 / Diskcoder.Petaa ransomware.
Các tác giả của Diskcoder.C đã sửa đổi mã MBR để phục hồi không thể và trong khi hiển thị các hướng dẫn thanh toán, như chúng ta biết, thông tin là vô dụng.
Về mặt kỹ thuật, có nhiều cải tiến. Một cách nghiêm trọng, một khi malware đã được thực thi, nó sẽ cố gắng lây lan bằng cách khai thác EternalBlue nổi tiếng, tận dụng DoublePulsar backdoor của kernel mode. Chính xác cùng một phương pháp được sử dụng trong WannaCry ransomware.
Phần mềm độc hại cũng có khả năng lây lan giống như Win32 / Filecoder.AESNI.C (aka XData) ransomware, sử dụng một phiên bản nhẹ của Mimikatz để lấy mật khẩu, sau đó thực hiện các phần mềm độc hại bằng cách sử dụng SysInternals PsExec. Ngoài ra, kẻ tấn công đã thực hiện phương pháp thứ ba để lây lan bằng cách sử dụng một cơ chế WMI.
Tất cả ba phương pháp đã được sử dụng để lây lan phần mềm độc hại bên trong các mạng LAN.
Tuy nhiên, không giống như phần mềm độc hại WannaCry, trong trường hợp này khai thác EternalBlue được sử dụng bởi Diskcoder.C chỉ chống lại phần mềm độc hại máy tính trong không gian địa chỉ nội bộ.
Tying TeleBots cho hoạt động này cũng có nghĩa là hiểu tại sao các bệnh nhiễm trùng lại xảy ra ở các nước khác, có vẻ như đã phá vỡ sự tập trung mạnh vào Ukraine.
Chúng tôi đã không tham gia vào các kết nối VPN giữa người dùng của M.E.Doc, khách hàng và đối tác kinh doanh toàn cầu của họ. Ngoài ra, M.E.Doc có một hệ thống nhắn tin và trao đổi tài liệu nội bộ, do đó kẻ tấn công có thể gửi tin nhắn cho các nạn nhân. Những kẻ tấn công cũng có quyền truy cập vào máy chủ cập nhật cung cấp phần mềm hợp pháp. Sử dụng quyền truy cập vào máy chủ này, kẻ tấn công đẩy các bản cập nhật độc hại được áp dụng tự động mà không cần sự tương tác của người dùng.
Ông Anton Cherepanov – Chuyên gia cao cấp của ESET:
“Với sự xâm nhập sâu vào cơ sở hạ tầng của M.E.Doc và các khách hàng, những kẻ tấn công có nguồn lực sâu rộng để phát tán Diskcoder.C. Mặc dù có một số “thiệt hại về mặt pháp lý”, cuộc tấn công đã chứng tỏ sự hiểu biết sâu sắc về các nguồn lực mà họ sử dụng. Hơn nữa, các tính năng bổ sung của bộ công cụ EternalBlue khai thác đã thêm một chiều kích độc đáo mà cộng đồng an ninh mạng sẽ phải đương đầu với”.
Download phần mềm ESET tại đây.
Để biết thêm thông tin về sản phẩm vui lòng truy cập:
- https://www.pacisoft.com/bao-mat-security/phan-mem-diet-virus/eset.html
- https://www.pacisoft.com/mua-eset-ban-quyen
- https://www.iworld.com.vn/pacisoft-phan-phoi-eset-endpoint-security-cho-doanh-nghiep/
Để mua sản phẩm với giá ưu đãi lớn nhất vui lòng liên hệ:
CÔNG TY TNHH PACISOFT VIỆT NAM
Điện thoại: (84-8) 36 100816 – Fax: (84-8) 38 478 675
