Một loại ransomware mới đã được phát hiện gần đây, đã thu về hơn 4 triệu USD từ tháng 8 thông qua việc mã hóa dữ liệu và yêu cầu tiền chuộc. Tuy nhiên, đây không phải là cách hoạt động thông thường của các chương trình mã độc tống tiền khác.
Thay vì vậy, ransomware này lây nhiễm một cách đặc biệt. Khác với các loại ransomware khác, thường lan rộng một cách ngẫu nhiên, tấn công tất cả các máy tính mà nó có thể tiếp cận. Phần mềm độc hại này đã được các công ty bảo mật CrowdStrike và FireEye phát hiện.
Theo thông tin từ hai công ty bảo mật, ransomware Ryuk chỉ tấn công vào các doanh nghiệp có quy mô lớn. Lỗ hổng bảo mật đã tạo cơ hội cho việc lây nhiễm phần mềm độc hại Trickbot trong hệ thống của những công ty đó. Mặc dù cũng có doanh nghiệp nhỏ bị lây nhiễm Trickbot, nhưng chúng không bị tấn công bởi Ryuk.
The cybersecurity company CrowdStrike refers to this as "big-game hunting" attacks, targeting only large companies and enterprises. Initially, Ryuk relies on Trickbot to probe the target's system and identify the resources of the targeted company to determine if they are capable of paying a large ransom.
Sau đó là giai đoạn "kỳ lạ", theo CrowdStrike, phần mềm độc hại sẽ không ngay lập tức tiến hành tan phá và mã hóa dữ liệu của nạn nhân mà thay vào đó, nó hoạt động như một trình điều tra để theo dõi hệ thống quan trọng nhất. Cuối cùng, nó sẽ thực hiện một cuộc tấn công quy mô lớn mà khiến các công ty không còn khả năng ngăn chặn được.
The report by CrowdStrike and FireEye suggests that Ryuk has some ties to Russia. Security experts identified an IP address in Russia, which was used to upload files containing Ryuk malware code, and there were some traces indicating that the code segments were written in Russian.
Tham khảo: arstechnica
Sử dụng phần mềm bản quyền để tránh mã độc. Phát hiện phần mềm mã độc "có tâm", chỉ tấn công người giàu.
Viết bình luận