Phát hiện phần mềm mã độc “có tâm”, chỉ tấn công người giàu

Phần mềm mã độc này không sử dụng phương pháp thông thường, thay vào đó là chọn lọc và tối đa hóa thiệt hại.

Một ransomware mới vừa được phát hiện gần đây, đã kiếm được hơn 4 triệu USD kể từ tháng 8 bằng hình thức mã hóa dữ liệu và tống tiền. Tuy nhiên ransomware này lại không hoạt động theo cách thức phổ biến của các phần mềm mã độc tống tiền khác.

Thay vào đó, nó lây nhiễm một cách có chọn lọc. Khác với các ransomware khác, thường lây nhiễm một cách bừa bãi, tới tất cả các nạn nhân mà nó có thể lây nhiễm. Ransomware này đã được phát hiện bởi hai công ty bảo mật CrowdStrike và FireEye.

Phát hiện phần mềm mã độc “có tâm”, chỉ tấn công người giàu - Ảnh 1.

Theo báo cáo của hai công ty bảo mật này, ransomware Ryuk chỉ lây nhiễm đối với các doanh nghiệp lớn. Dựa trên một lỗ hổng bảo mật được tạo ra trước đó, khi các công ty này bị lây nhiễm một phần mềm mã độc khác có tên là Trickbot. Trong khi các doanh nghiệp nhỏ cũng bị lây nhiễm Trickbot, nhưng lại không bị Ryuk tấn công.

Công ty bảo mật CrowdStrike gọi đây là cách tấn công “big-game hunting”, chỉ nhằm vào những công ty và doanh nghiệp lớn. Ban đầu, Ryuk dựa trên Trickbot để thăm dò hệ thống của đối tượng cần tấn công và xác định nguồn lực của công ty đó, để xem họ có đủ khả năng chi trả một khoản tiền chuộc khổng lồ hay không.

Sau đó sẽ là thời gian “ủ bệnh”, theo CrowdStrike thì phần mềm mã độc này sẽ không ngay lập tức thực hiện hành vi phá hoại và mã hóa dữ liệu của nạn nhân. Thay vào đó, nó giống như một trinh sát để do thám hệ thống quan trọng nhất. Cuối cùng mới thực hiện một cuộc tấn công quy mô lớn, và khiến các công ty này không kịp trở tay.

Báo cáo của CrowdStrike và FireEye cho rằng Ryuk có một vài mối liên hệ với Nga. Các chuyên gia bảo mật phát hiện thấy một địa chỉ IP tại Nga, được sử dụng để tải lên các tập tin chứa mã độc Ryuk và có một vài dấu vết cho thấy các đoạn code được viết bằng tiếng Nga.

Tham khảo: arstechnica