Ransomware Bitcoin tấn công 100 doanh nghiệp Mỹ và lan sang Trung Quốc

Theo một báo cáo gần đây của Tencent Security, virus Ransomware đã xâm nhập thành công hơn 100 doanh nghiệp nhà nước và tư nhân ở Hoa Kỳ và hiện đã lan sang Trung Quốc.

Theo Cục Điều tra Liên bang (FBI), mã độc hại Dubbed Ryuk nhắm vào “các công ty logistics, công ty công nghệ và thành phố tự trị nhỏ” có giá trị dữ liệu cao, yêu cầu tiền thưởng lên tới 5 triệu đô la được trả bằng Bitcoin.

Vào tháng 1, Ryuk được cho là đứng đằng sau một vụ hack Tribune Publishing, ảnh hưởng đến tất cả các cửa hàng của tập đoàn truyền thông. Vào tháng 6, các quan chức ở Lake City, Florida đã trả khoản tiền chuộc 460,000 đô la sau khi hệ thống máy tính của thành phố bị hack. Vụ việc này diễn ra sau hai tuần kể từ khi Bãi biển Riviera, Florida, bị cướp 600,000 đô la.

Ryuk được cho là phiên bản sửa đổi của virus Hermes, được ra mắt vào tháng 8/2018. Virus lây lan qua các phương thức botnet, spam thông thường và xâm nhập qua các cổng IP không được bảo vệ. Xem thêm: Libra coin

Sau khi cài đặt, phần mềm độc hại sẽ xóa tất cả các tệp liên quan đến xâm nhập và tiêu diệt các quy trình chống vi-rút, từ đó che khuất vectơ lây nhiễm. Tuy nhiên, trong một trường hợp, các đặc vụ FBI đã tìm thấy bằng chứng Ryuk xâm nhập vào hệ thống thông qua một cuộc tấn công giao thức điều khiển máy tính từ xa.

Cơ quan đã viết trên Flash:

“Sau khi kẻ tấn công đã giành được quyền truy cập vào mạng của nạn nhân, các công cụ khai thác mạng bổ sung có thể được tải xuống. Một khi công cụ được thực thi, Ryuk thiết lập sự kiên trì trong sổ đăng ký, đưa vào các quy trình đang chạy, tìm kiếm các hệ thống tệp được kết nối mạng và bắt đầu mã hóa các tệp”.

Virus này cũng làm rơi tệp tin “RyukReadMe”, mở thư tống tiền trên trình duyệt internet nạn nhân. Trang web html chỉ liệt kê hai địa chỉ email của hacker ở góc trên bên trái, tên của virus ở giữa trang và cụm từ khó hiểu về “sự cân bằng bóng của vũ trụ” ở góc dưới bên phải.

Sau khi cài đặt, phần mềm độc hại sẽ xóa tất cả các tệp liên quan đến xâm nhập và tiêu diệt các quy trình chống vi-rút, từ đó che khuất vectơ lây nhiễm. Tuy nhiên, trong một trường hợp, các đặc vụ FBI đã tìm thấy bằng chứng Ryuk xâm nhập vào hệ thống thông qua một cuộc tấn công giao thức điều khiển máy tính từ xa.

FBI đã theo dõi virus từ năm 2018 và nhận thấy một số điều chỉnh. Nó báo cáo biến thể được tìm thấy ở Trung Quốc đồng thời chạy mô-đun tống tiền 32 bit và 64 bit, có thể cho phép phát triển thêm lỗi.

Hiện vẫn chưa tiết lộ có bao nhiêu doanh nghiệp Trung Quốc đã bị lây nhiễm vào thời điểm hiện nay hoặc tổng số tiền mà tin tặc đã yêu cầu chuộc lại.

Tencent đã không bình luận về bài viết này.

Leave a Reply