Minh chứng rõ nhất cho sự phát triển của ransomware là việc phân chia và hình thành những xu hướng rõ ràng. Trong đó có 3 xu hướng được phát triển mạnh mẽ nhất. Đó là gì?
Từ các biến thể nâng cấp lên thành phiên bản sửa lại được bán với giá rẻ trên web đen (dark web), các ransomware đang phát triển mạnh mẽ và không có dấu hiệu dừng lại. Dưới đây là bản tin tổng kết của Trend Micro về ransomware mới cùng những xu hướng phát triển đáng chú ý trong tháng 7 và dự đoán sẽ phát triển mạnh hơn trong tương lai:
# Xu hướng tái tạo: Các chủng ransomware lấy cảm hứng từ các chủng tiền nhiệm
Stampado
Giữa tháng 7, hãng bảo mật Trend Micro phát hiện Stampado có nhiều điểm tương đồng với Crypto Locker. Stampado đã được quảng cáo và rao bán trong thế giới ngầm với giá 39 USD. Với giá tương đối thấp nhưng lại được sử dụng với “bản quyền trọn đời”, Stampado đã thu hút sự chú ý từ các nhà nghiên cứu và các nhà báo. Sau khi phân tích sâu hơn, Stampado cũng cho thấy điểm tương đồng với các hành vi của Jigsaw khi cả hai đều mã hóa tập tin bằng AES và tự động xóa các tập tin sau một khoảng thời gian mất hiệu lực mà không phải trả tiền chuộc.
CrypMIC
Khi CrypMIC được phát hiện, Trend Micro đã nhanh chóng nhận ra điểm tương đồng của nó với CryptXXX. Đây được xem là nỗ lực để nhân rộng thành công của chủng ransomware này với hàng loạt điểm tương tự như hiển thị ghi chú đòi tiền chuộc hay thậm chí thanh toán qua giao diện người dùng. Tuy nhiên, CrypMIC không thêm bất kỳ tên mở rộng tập tin nào mà nó đã mã hóa. Điều này làm việc phát hiện các tập tin bị ảnh hưởng khá khó khăn.
# Xu hướng cập nhật: Ransomware với các phiên bản cập nhật
Cerber
Sau nhiều thông tin cập nhật để nâng cao khả năng, tháng 7 này chứng kiến sự xuất hiện phiên bản mới nhất của Cerber. Nó đã đặt người dùng Office 365 cá nhân và doanh nghiệp trong hàng loạt cuộc tấn công bằng cách sử dụng các tài liệu Office vĩ mô đính kèm độc hại trong thư rác. Khi nhấp vào tập tin đính kèm, các biến thể sẽ mã hóa 442 loại tập tin bằng cách sử dụng kết hợp mã hóa AES-256 và RSA. Trend Micro còn phát hiện phiên bản mới này được thực hiện bởi quá trình khai thác lỗ hổng Rig và Magnitude – hai quá trình dựa trên việc tận dụng lỗ hổng zero-day.
CryptXXX
Gần đây, một làn sóng các trang web kinh doanh hợp pháp đã bị xâm nhập bởi một mạng botnet có tên SoakSoak cung cấp ransomware cho khách ghé thăm trang web. Hệ thống quản lý nội dung dễ bị tổn thương và chưa được vá đã bị ảnh hưởng bởi các cuộc tấn công tự động. Các trang web bị tấn công sau đó chuyển hướng truy cập vào một trang web độc hại, nơi các tải trọng đã được tìm thấy là CryptXXX, một trong những chủng ransomware khét tiếng.
# Xu hướng thay máu: Xuất hiện nhiều biến thể ransomware mới
cuteRansomware, CTB Faker, Alfa, và Ranscam
Bốn biến thể này được hãng bảo mật Trend Micro phát hiện cùng một tuần trong tháng. cuteRansomware sử dụng Google Docs để truyền tải các khóa mã hóa và thu thập thông tin người dùng để tránh bị phát hiện.
Alfa xuất hiện không lâu sau đó. Được cho là hậu duệ của Cerber, phần mềm độc hại này quét ổ đĩa nội bộ trên hệ thống bị nhiễm và mã hóa trên 142 loại tập tin, chèn thêm phần mở rộng “.bin” của tập tin bị khóa.
Sau Alfa là CTB Faker nổi lên và gần như bắt chước CTB Locker. Phiên bản này được lan truyền thông qua thông tin giả mạo từ các trang web người lớn lừa đảo người dùng với sự hứa hẹn về quyền truy cập mật khẩu vào một video thoát y. Các liên kết độc sau đó dẫn đến việc tải các ransomware lưu trữ trên JottaCloud.
Ranscam cũng được phát hiện cùng thời điểm, đe dọa sẽ xóa các tập tin nếu không nhận được 0,2 Bitcoin tiền chuộc. Tuy cấu hình thấp và không tràn lan rộng rãi, thế nhưng những chủng ransomware này vẫn cho thấy nỗ lực không ngừng của tội phạm mạng để thực hiện những tham vọng đen tối to lớn hơn trong cảnh quan ransomware.
Sự phát triển vượt bậc của ransomware theo những xu hướng định hình đã gây ảnh hưởng không nhỏ tới người dùng cá nhân, tổ chức và các nhà bảo mật. Các chuyên gia dự đoán, nhiều chủng ransomware cùng những xu hướng mới sẽ xuất đầu lộ diện trong tháng 8 và những tháng tiếp theo.
NHƯ QUỲNH (theo Trend Micro)