Một dòng ransomware mới vừa bị phát hiện nhắm mục tiêu vào các ổ cứng mạng NAS (Network Attached Storage) trên nền tảng Linux do QNAP Systems sản xuất.
NAS là thiết bị lưu trữ chuyên dụng được kết nối mạng, phù hợp sử dụng cho các hộ gia đình và doanh nghiệp nhỏ. NAS cho phép người dùng lưu trữ, chia sẻ và sao lưu dữ liệu trên nhiều máy tính.
Mã độc mới phát hiện được đặt tên QNAPCrypt, nhắm mục tiêu vào các máy chủ QNAP NAS bằng tấn công Bruteforce hoặc thông qua khai thác các lỗ hổng cũ.
QNAPCrypt được viết bằng ngôn ngữ lập trình Go, sử dụng chuẩn AES để mã hóa các tệp tin mục tiêu, sau đó thêm đuôi .encrypt vào mỗi file đã mã hóa.
Điểm thú vị là nếu thiết bị bị nhiễm NAS được đặt tại Belarus, Ukraine hoặc Nga, Ransomware sẽ chấm dứt quá trình mã hóa file và thoát ra mà không gây hại cho các tập tin.
Sau khi thực thi, việc đầu tiên Ransomware này thực hiện là kết nối tới máy chủ C&C từ xa được bảo vệ bởi mạng Tor, sử dụng proxy SOCKS5 Tor để thông báo tới kẻ tấn công về nạn nhân mới.
Trước khi mã hóa, Ransomware sẽ yêu cầu địa chỉ ví Bitcoin ‘độc quyền’ để các nạn nhân chuyển tiền chuộc đến. Nếu máy chủ không còn địa chỉ bitcoin thỏa mãn yêu cầu, Ransomware sẽ không tiến hành mã hóa tệp tin ngay mà chờ cho đến khi được cung cấp địa chỉ mới.
Khi đã được gán địa chỉ ví Bitcoin, Ransomware sẽ sinh một chuỗi ngẫu nhiên gồm 32 ký tự để tạo khóa bí mật AES-256. Sau đó, mã độc mã hóa tất cả các tệp được lưu trữ trên thiết bị NAS mục tiêu bằng thuật toán AES trong chế độ Cipher Feedback Mode (CFB).
Vì mô-đun mã hóa sử dụng gói tin toán học để tạo khóa bí mật, các nhà nghiên cứu cho biết có thể sẽ phải viết một bộ giải mã cho dòng Ransomware mới này.
Các nhà nghiên cứu cũng lưu ý rằng trước khi mã hóa các tệp được lưu trữ trên các thiết bị NAS mục tiêu, Ransomware cố tình loại bỏ một loạt tiến trình bao gồm Apache2, Httpd, Nginx, MySQL và PostgreQuery.
Nguồn: The Hacker News


- Viet Nam cyber security overview in 2017 and predictions for 2018
- New variant of Mirai malware targeting IoT devices in Vietnam
- More than 5,000 Linux system in Vietnam affected by serious flaw Dirty COW
- Malware attacking Vietnam Airlines appears in many other agencies
- Warning on malware hijacking smartphones in fake Pokémon GO
- Luật ATTT mạng số 86/2015/QH13 ra đời năm 2015
- Nghị định 85/2016/NĐ-CP
- Chỉ thị 14/CT-TTg năm 2018
- CT 14/2019, BTTT-CATTT
- Công văn số 2973/BTTTT-CATTT năm 2019 Hướng dẫn triển khai hoạt động giám sát an toàn thông tin trong cơ quan, tổ chức nhà nước hướng dẫn CQNN
- Công văn số 235/CATTT-ATHTTT năm 2020 hướng dẫn mô hình bảo đảm an toàn thông tin cấp Bộ, Tỉnh.