Duy Linh
Writer
Một chiến dịch tấn công bằng mã độc tống tiền mới đang nhắm vào người dùng Windows tại Nam Mỹ, sử dụng chiến thuật gần giống với nhóm ransomware Akira. Theo điều tra từ ESET, các đối tượng đứng sau đang cố tình mạo danh Akira nhằm tăng độ tin cậy và gây áp lực buộc nạn nhân trả tiền chuộc.
Chúng sao chép thương hiệu, nội dung thư đòi tiền chuộc và cả các tham chiếu đến hạ tầng dark web của Akira. Các URL dựa trên Tor được thiết kế tương tự, cùng với cách diễn đạt và cấu trúc thông điệp khiến nạn nhân dễ nhầm lẫn đây là chiến dịch chính thức của Akira.
Phần mềm độc hại tự động thêm phần mở rộng “.akira” vào các tệp bị mã hóa, tạo cảm giác nạn nhân đang đối mặt với Akira thật. Tuy nhiên, cơ chế mã hóa bên trong lại khác biệt đáng kể, phản ánh việc tái sử dụng và chỉnh sửa mã Babuk.
Việc tận dụng mã nguồn Babuk cho thấy xu hướng ngày càng phổ biến: tội phạm mạng tái sử dụng các framework có sẵn để triển khai nhanh các chiến dịch mới. Khi kết hợp khả năng mã hóa của Babuk với thương hiệu Akira, kẻ tấn công tăng hiệu quả đe dọa và khả năng thu tiền chuộc.
Sau khi xâm nhập, mã độc sẽ mã hóa dữ liệu và hiển thị thông báo đòi tiền chuộc, yêu cầu nạn nhân liên hệ qua Tor. Theo ESET, đây là một trường hợp điển hình của “mạo danh thương hiệu” trong tội phạm mạng, không liên quan trực tiếp đến nhóm Akira gốc.
Diễn biến này cho thấy không thể chỉ dựa vào dấu hiệu bề ngoài để nhận diện ransomware. Các tổ chức cần phân tích kỹ thuật sâu để xác định chính xác mối đe dọa và đưa ra biện pháp ứng phó phù hợp.
Chuyên gia khuyến nghị người dùng và doanh nghiệp nên:
Chúng sao chép thương hiệu, nội dung thư đòi tiền chuộc và cả các tham chiếu đến hạ tầng dark web của Akira. Các URL dựa trên Tor được thiết kế tương tự, cùng với cách diễn đạt và cấu trúc thông điệp khiến nạn nhân dễ nhầm lẫn đây là chiến dịch chính thức của Akira.
Chiến dịch giả mạo Akira và nguồn gốc thực sự
Dù bề ngoài giống Akira, phân tích kỹ thuật cho thấy mã độc này không sử dụng mã nguồn gốc. Thay vào đó, nó dựa trên mã nguồn ransomware Babuk đã bị rò rỉ từ năm 2021.Phần mềm độc hại tự động thêm phần mở rộng “.akira” vào các tệp bị mã hóa, tạo cảm giác nạn nhân đang đối mặt với Akira thật. Tuy nhiên, cơ chế mã hóa bên trong lại khác biệt đáng kể, phản ánh việc tái sử dụng và chỉnh sửa mã Babuk.
Việc tận dụng mã nguồn Babuk cho thấy xu hướng ngày càng phổ biến: tội phạm mạng tái sử dụng các framework có sẵn để triển khai nhanh các chiến dịch mới. Khi kết hợp khả năng mã hóa của Babuk với thương hiệu Akira, kẻ tấn công tăng hiệu quả đe dọa và khả năng thu tiền chuộc.
Cách thức tấn công và khuyến nghị bảo mật
Chiến dịch chủ yếu nhắm vào tổ chức và cá nhân tại Nam Mỹ, dù phương thức xâm nhập ban đầu chưa được xác định rõ. Các kỹ thuật phổ biến có thể bao gồm email lừa đảo, tệp đính kèm độc hại hoặc khai thác lỗ hổng chưa vá trên hệ thống Windows.Sau khi xâm nhập, mã độc sẽ mã hóa dữ liệu và hiển thị thông báo đòi tiền chuộc, yêu cầu nạn nhân liên hệ qua Tor. Theo ESET, đây là một trường hợp điển hình của “mạo danh thương hiệu” trong tội phạm mạng, không liên quan trực tiếp đến nhóm Akira gốc.
Diễn biến này cho thấy không thể chỉ dựa vào dấu hiệu bề ngoài để nhận diện ransomware. Các tổ chức cần phân tích kỹ thuật sâu để xác định chính xác mối đe dọa và đưa ra biện pháp ứng phó phù hợp.
Chuyên gia khuyến nghị người dùng và doanh nghiệp nên:
- Cập nhật hệ thống và phần mềm thường xuyên
- Triển khai giải pháp bảo vệ điểm cuối mạnh
- Duy trì sao lưu ngoại tuyến định kỳ
- Nâng cao nhận thức người dùng, đặc biệt với email lừa đảo
Nguồn: gbhackers
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối bởi điều hành viên: