Một chiến dịch ransomware mới lại tiếp tục diễn ra và nhanh chóng lây lan tại các nước Đông Âu, được xem là một biến thể của ransomware Petya trước đó, với tên gọi Bad Rabbit (được Trend Micro gọi là RANSOM_BADRABBIT.A).
Phần mềm diệt virus Trend Micro đã phát hiện mã độc này là TROJ.Win32.TRX.XXPE002FF019. Cuộc tấn công này xảy ra chỉ vài tháng sau vụ bùng phát của Petya trước đó, tại các nước châu Âu vào tháng 6 năm nay.
Các báo cáo ban đầu đưa ra nhận định rằng Bad Rabbit nhắm vào hệ thống giao thông và phương tiện truyền thông tại Ukraine và Nga. Cơ quan ứng phó máy tính khẩn cấp của nhà nước Ukraine (CERT – UA) cũng đã đưa ra một lời cảnh báo về các đợt tấn công ransomware tiềm ẩn khác.
Những phân tích ban đầu
Bad Rabbit lây lan thông qua một chương trình cài đặt Flash giả mạo có tên “install_flash_player.exe”. Người bị nhiễm ransomware sẽ phải làm theo hướng dẫn tại đường dẫn “hxxp://1dnscontrol.com/flash_install” thì mới có quyền truy cập lại tất cả files bị khóa.
Đây là những nhận định ban đầu sau khi Trend Micro quan sát một số website bị thâm nhập từ Đan Mạch, Thổ Nhĩ Kỳ, Ireland và Nga – nơi phán tán các trình cài đặt Flash giả.
Ngay khi tải chương trình cài đặt Flash giả mạo, tệp tin được mã hóa infpub.dat sẽ được cài vào cùng với quá trình chạy rundll32.exe, cùng với quá trình mã hóa và giải mã tệp dispci.exe. Sau đó, Bad Rabbit sẽ tiến hành chạy file thứ nhất “rhaegal.job”, sẽ giải mã toàn bộ tệp tin. Tiếp theo sẽ là file Drogon.job để tự động tắt máy tính của nạn nhân. Trong thời gian này, ransomware sẽ tiếp tục mã hóa các tệp tin còn lại trong hệ thống và xuất hiện thông báo đòi tiền chuộc ngay trên màn hình.
Tệp thứ ba với tên gọi viserion_23.job sẽ khởi động máy bị nhiễm lần thứ hai. Màn hình sau đó sẽ bị khóa lại và một ghi chú được hiển thị như sau:
Dựa trên phân tích ban đầu của Trend Micro, Bad Rabbit lây lan sang các máy tính khác trong mạng bằng cách tự hủy bản sao của chính nó trong mạng bằng cách sử dụng tên ban đầu và thực hiện hủy các bản sao bằng cách sử dụng Windows Management Instrumentation (WMI) và giao thức Service Remote Manager. Khi mà Service Control Manager Remote Protocol được sử dụng, nó dùng dictionary attacks cho các thông tin.
Trong số các công cụ được Bad Rabbit tích hợp, tiện ích mã nguồn mở Mimikatz được sử dụng để khai thác thông tin trong máy tính. Trend Micro cũng nhận thấy mã độc này sử dụng Diskcryptor, một công cụ mã hóa đĩa hợp pháp, để mã hóa các hệ thống đích.
Điều quan trọng cần lưu ý là Bad Rabbit không khai thác bất kỳ lỗ hổng, không giống như Petya sử dụng EternalBlue như một phần trong hoạt động của nó.
Tính năng XGen của Trend Micro cung cấp sự kết hợp giữa các kỹ thuật phòng chống đe dọa đến từ các trung tâm dữ liệu, điện toán đám mây, mạng kết nối và các điểm cuối. Tính năng này có khả năng “tự học” để luôn đảm bảo an toàn các dữ liệu truyền tải từ gateway đến endpoints và các ứng dụng.
Với các tính năng như lọc website/URL, phân tích hành vi và tùy chọn sandboxing, XGen bảo vệ máy chống lại các mối đe dọa có mục đích hiện nay, vượt qua kiểm soát của các phương tiện truyền thống, khai thác các lỗ hổng hiện hành hoặc chưa xác định, cũng như ý định ăn cắp hoặc mã hóa dữ liệu nhận dạng cá nhân. Thông minh, được tối ưu hóa và kết nối, XGen hỗ trợ các giải pháp bảo mật của Trend Micro như Bảo mật đám mây Hybrid, Bảo vệ người dùng và Bảo vệ Mạng.
Theo Trend Micro
