Đầu tháng này, một tổ chức chuyên phát triển mã độc có tên Avaddon đã được thành lập. Tuy nhiên, Avaddon không tự mình phân phối các mã độc họ tạo ra. Thay vào đó, Avaddon tuyển dụng một loạt tin tặc và đại lý giúp họ phát tán mã độc. Cách làm này giúp mã độc của Avaddon tiến công được rất là nhiều nạn nhân.
Đợt tiến công trước mắt sử dụng mã độc ransomware có tên Avaddon Ransomware đang khiến cả toàn cầu lo âu vì quy mô của nó. Với cái nháy mắt và nụ cười, Avaddon Ransomware đang spam, khủng bố hàng trăm ngàn con người và biết bao trong các kia đã trở thành nạn nhân của Avaddon.
Một loạt email chứa mã độc với chủ đề gợi sự tò mò như “Ảnh mới của bạn nè?” hoặc “Bạn có thích ảnh của tôi không?”, với nội dung chẳng có gì ngoài biểu trưng nháy mắt hoặc mặt cười đã được gửi đi. Kèm trong thư dĩ nhiên là trình tải xuống JavaScript mà khi kích vào ransomware sẽ có cài đặt trên máy tính của nạn nhân.
David Picket, nhà nghiên cứu bảo mật của AppRiver, chia sẻ rằng họ đã chặn 300.000 email chứa Avaddon Ransomware chỉ trong 1 khoảng thời gian ngắn. Các đại lý, hacker làm việc cho Avaddon kể cả cả các cái tên sừng sỏ như Phorpiex/Trik Botnet.
Trình cài đặt JavaScript được đính kèm trong email được ngụy trang giống như một tấm hình định dạng JPG bằng phương pháp đặt tên là IMG123101.jpg.js. Thiết lập ẩn phần mở rộng tập tin của Windows vô tình tiếp tay cho Avaddon Ransomware. Cụ thể, sau khi tải về máy, IMG123101.jpg.js sẽ chỉ hiển thị là IMG123101.jpg, khiến người sử dụng lầm tưởng đây chỉ là file ảnh và mở nó ra.
Khi được mở, IMG123101.jpg.js sẽ khởi chạy cả cửa sổ PowerShell và Bitsadmin để tải về và cài đặt Avaddon Ransomware vào thư mục %Temp%. Ransomware sẽ được khởi chạy ngay sau khi cài đặt xong.
Trong thí nghiệm được tiến hành bởi Bleeping Computer, sau khi chạy, Avaddon Ransomware sẽ tìm kiếm mọi thứ các dữ liệu trên máy và mã hóa chúng. Phần mở rộng .avdn sẽ được thêm vào các dữ liệu bị mã hóa.
Thư đòi tiền chuộc dữ liệu có tên [id]-readme.html cũng được tạo ra trong mọi thư mục. Trong thư có chứa link tới trang web thanh toán, chỉ có thể truy cập bằng trình duyệt TOR và ID của nạn nhân. Mỗi nạn nhân có một ID riêng, duy nhất.
Khi truy cập trang web thanh toán, nạn nhân sẽ thấy số tiền mà Avaddon yêu cầu là 900 USD, có thể tăng thêm tùy theo số lượng tài liệu. Hướng dẫn chi tiết về kiểu cách phải trả để nhận trình giải mã cũng được Avaddon liệt kê chi tiết.
Trang web cũng có thể có đầy đặn các phần như bổ trợ qua tin nhắn, giải mã thử miễn phí và trang trợ giúp vui nhộn với hình ảnh các nhân vật trong Harry Potter. Không may là sau khi triển khai phân tích Avaddon Ransomware, Michael Gillespie kết luận rằng trình giải mã thử miễn phí không hoạt động. Gillespie là người tạo ra trang định vị ransomware ID-Ransomware.
Phân phối ransomware theo như hình thức đại lý liên kết
Trong quảng cáo đăng trên một diễn đàn hacker của Nga, Avaddon phát biểu rằng họ vận hành theo phương thức Ransomware-as-an-Affiliate (RaaS). Đây là phương thức hoàn toàn mới trong thế giới tội phạm mạng.
RaaS hoạt động giống như một hệ thống buôn bán liên kết, trong đó Avaddon nhận trách nhiệm phát triển mã độc và vận hành, giải quyết qui trình thanh toán, giải mã cho nạn nhân. Các hacker và đại lý liên kết với Avaddon sẽ đảm nhận việc phân phối ransomware qua thư rác, xâm nhập mạng lưới nội bộ và các phương thức khác.
Nếu nạn nhân chi tiền chuộc lại dữ liệu, Avaddon sẽ trả 65% cho đại lý, giữ lại 35%. Các đại lý lớn cũng có thể đàm phán với Avaddon để nhận mức doanh số cao hơn, tùy theo quy mô của cuộc tấn công.
Tuy nhiên, các đại lý tham dự RaaS bắt buộc phải tuân theo 1 loạt quy định mà Avaddon đưa ra. Quy tắc quan trọng nhất mà Avaddon đem ra đó là các đại lý chưa được tấn công nạn nhân tại các quốc gia trong Cộng đồng các Quốc gia Độc lập (CIS).
Hiện tại, Avaddon vẫn đang tích cực tuyển dụng thêm hacker và các đại lý. Vì thế, trong sau này sẽ còn có thêm nhiều lần tiến công với quy mô lớn của Avaddon Ransomware. Mời các bạn truy cập trang bên dưới để tham khảo cách bảo quản dữ liệu trước các ransomware nguy hiểm.
- Hướng dẫn chung về giải mã ransomware
ransomware, mã độc tống tiền, avaddon
Bài viết (post) Nếu bạn nhận được email có icon nháy mắt 😉 hãy cẩn thận, đó có thể là ransomware rất nguy hiểm được tổng hợp và biên tập bởi: suamaytinhpci.com. Mọi ý kiến đóng góp và phản hồi vui lòng gửi Liên Hệ cho suamaytinhpci.com để điều chỉnh. suamaytinhpci.com xin cảm ơn.