Mã độc tống tiền mới chiếm quyền điều khiển Windows BitLocker để mã hóa và đánh cắp tập tin
20:18 29/05/2024(VietQ.vn) - Các nhà nghiên cứu an ninh mạng đã phát hiện ra một loại mã độc tống tiền (ransomware) mới có tên ShrinkLocker đang lợi dụng Windows BitLocker để khóa nạn nhân khỏi thiết bị của họ.
Sự kiện: AN TOÀN THÔNG TIN
Giải pháp phòng chống mã độc mã hóa dữ liệu Ransomware
Giải pháp hiệu quả để ứng phó với tấn công mã độc tống tiền
Phát hiện mã độc chuyên gửi email lừa đảo đến doanh nghiệp để đánh cắp dữ liệu
Các doanh nghiệp lớn trở thành mục tiêu hàng đầu của tin tặc lừa đảo mã độc qua email
Cảnh giác trước mã độc GoldPickaxe tấn công iPhone tại Việt Nam
Theo báo cáo của trang BleepingComputer, hãng bảo mật Kaspersky đặt tên cho ransomware mới là ShrinkLocker vì khi tấn công, nó sẽ thu nhỏ các phân vùng không khởi động có sẵn xuống 100 MB và tạo ra các ổ đĩa khởi động chính mới có cùng kích thước. Sau đó, nó sử dụng BitLocker, một tính năng mã hóa toàn bộ ổ đĩa có trong một số phiên bản Microsoft Windows, để mã hóa các tệp trên điểm cuối đích.
Cho đến nay Kaspersky đã ghi nhận loại mã độc này tấn công các cơ quan chính phủ và các công ty trong lĩnh vực sản xuất và dược phẩm.
Dành cho những ai chưa biết, BitLocker là một tính năng hợp pháp của Windows, được thiết kế để bảo vệ dữ liệu bằng cách cung cấp mã hóa cho toàn bộ ổ đĩa.
ShrinkLocker không phải là biến thể ransomware đầu tiên sử dụng BitLocker để mã hóa hệ thống. BleepingComputer nhấn mạnh rằng một bệnh viện ở Bỉ đã gặp phải chủng ransomware sử dụng BitLocker để mã hóa 100 TB dữ liệu trên 40 máy chủ và vào năm 2022, một nhà sản xuất và phân phối thịt ở Nga có tên Miratorg Holding, cũng chịu số phận tương tự.
Nhưng ShrinkLocker cũng đi kèm “các tính năng chưa được báo cáo trước đây để tối đa hóa thiệt hại của cuộc tấn công”, Kaspersky cảnh báo.
Trong một vài trường hợp, bộ mã hóa không gửi thông báo đòi tiền chuộc, đây là thông lệ tiêu chuẩn. Thay vào đó, nó gắn nhãn các phân vùng khởi động mới dưới dạng địa chỉ email, có khả năng mời nạn nhân thử và liên lạc theo cách đó.
Hơn nữa, sau khi mã hóa thành công, ransomware sẽ xóa tất cả các trình bảo vệ BitLocker, từ chối mọi tùy chọn của nạn nhân để khôi phục khóa mã hóa BitLocker. Người duy nhất nắm giữ chìa khóa là những kẻ tấn công.
Đây cũng là một công cụ hợp pháp mà các nhà phát triển sử dụng để kiểm tra đường hầm của CloudFlare (dịch vụ trung gian, giúp điều phối lượng truy cập giữa máy chủ và các khách hàng qua lớp bảo vệ CloudFlare) mà không cần thêm trang web vào DNS (Domain Name Server) của CloudFlare.
Theo Kaspersky, đến nay ShrinkLocker đã xâm nhập vào các hệ thống thuộc các tổ chức sản xuất thép và vắc xin ở Mexico, Indonesia và Jordan.
Duy Trinh
