Mã độc Snatch Ransomware đưa Windows vào chế độ Safe Mode để vô hiệu hóa Anti-virus
Các nhà nghiên cứu an ninh mạng mới phát hiện ra một biến thể mã độc mới có tên ransomware Snatch, có khả năng tự khởi động lại windows vào chế độ Safe Mode để vô hiệu hóa phần mềm Antivirus, sau đó mới thực hiện mã hóa dữ liệu của nạn nhân.
Khi mà Safe Mode không hề “safe”
Không giống các malware phổ thông, mã độc tống tiền Snatch chạy trong Safe Mode bởi vì trong chế độ đó, hệ điều hành Windows sẽ khởi động với một số lượng hạn chế drivers và dịch vụ, bỏ qua phần lớn các phần mềm tự khởi động của bên thứ ba, bao gồm cả phần mềm diệt virus.
>> Tham khảo bài viết: Ransomware là gì?
Snatch đã hoạt động từ hè 2018, nhưng các nhà nghiên cứu ở SophosLabs mới chỉ phát hiện ra mã độc tống tiền này thời gian gần đây, khi họ đang điều tra những đối tượng bị ransomware này tấn công.
“Những nhà nghiên cứu tại SophosLabs đã điều tra một loạt các vụ tấn công ransomware mà những ransomware này có thể buộc Windows khởi động lại vào chế độ Safe Mode trước khi bắt đầu quá trình mã hóa dữ liệu của nạn nhân.” SophosLabs cho biết .
Cách hoạt động của ransomware Snatch
“Ransomware Snatch chạy dưới dạng một service [called SuperBackupMan with the help of Windows registry] that will run during a Safe Mode boot.”
“Khi máy tính reboot thành công vào chế độ Safe Mode, mã độc này sử dụng thành phần net.exe của Windows để trỏ tới service SuperBackupMan, sau đó sử dụng thành phần vssadmin.exe để xóa tất cả Volume Shadow Copies trong hệ thống, điều này khiến người dùng không thể sao lưu những dữ liệu đã bị mã hóa.”
Điều khiến Snatch khác biệt và nguy hiểm hơn các loại mã độc tống tiền khác là bản thân Snatch không chỉ là một ransomware, mà nó còn đánh cắp dữ liệu của người dùng. Snatch có chứa một module đánh cắp dữ liệu tinh vi, cho phép kẻ tấn công chiếm được phần lớn dữ liệu của tổ chức bị nhắm tới.
Mặc dù Snatch được viết bằng Go – một ngôn ngữ lập trình đa nền tảng – nhưng phần mềm này chỉ được viết để sử dụng cho Windows.
“Snatch có thể chạy trên các phiên bản Windows phổ biến, từ Windows 7 tới Windows 10, cả 32-bit và 64-bit. Bản mẫu mà chúng tôi tìm thấy cũng được đóng gói với phần mềm đóng gói mã nguồn mở UPX để che đậy đi nội dung của nó,” các nhà nghiên cứu cho biết.
Kẻ chủ mưu kêu gọi hợp tác
Bên cạnh đó, những kẻ tấn công phía sau Snatch ransomware cũng đưa ra lời đề nghị hợp tác dành cho các tội phạm mạng khác và những nhân viên trộm cắp – những người sở hữu tài khoản và cửa hậu ( backdoors ) tới những tổ chức lớn và có thể sử dụng chúng để phân phối ransomware.
Như trong hình dưới, được chụp lại từ một diễn đàn underground, một thành viên nhóm đăng tải nội dung “tìm kiếm những đối tác affiliate với quyền truy cập vào RDP / VNC / TeamViewer / WebShell / SQL injection vào mạng nội bộ của tập đoàn, các cửa hàng, và những công ty khác.”
Sử dung brute-force hoặc đánh cắp danh tính, kẻ tấn công có thể truy cập vào mạng nội bộ của công ty và chạy các phần mềm quản lý hệ thống hoặc công cụ pen-test hợp pháp, chúng có thể cài đặt ransomware vào toàn bộ các máy thuộc hệ thống network mà không gặp trở ngại nào.
Mạo danh các công cụ hợp pháp
“Chúng tôi cũng tìm thấy nhiều công cụ hợp pháp đã được hacker sử dụng để cài vào những mạng lưới máy tính bị tấn công, cụ thể là Process Hacker, IObit Uninstaller, PowerTool, PsExec. Kẻ tấn công thường sử dụng chúng để hủy kích hoạt phần mềm diệt virus,” các nhà nghiên cứu cho biết.
Coveware, một công ty chuyên thương lượng giữa kẻ tấn công và nạn nhân ransomware, cho biết họ đã từng thương lượng với kẻ đứng sau Snatch “vào hồi giữa tháng Bảy và tháng Mười 2019 dưới danh nghĩa khách hàng của họ” với mức tiền chuộc trong khoảng từ 2.000 USD tới 35.000 USD bằng bitcoin.
Để phòng chống các cuộc tấn công ransomware, các tổ chức được khuyến cáo không để lộ các dịch vụ quan trọng và port (cổng) an toàn trên Internet. Nếu cần thiết, bảo vệ chúng bằng mật khẩu mạnh với xác minh nhiều lớp (multi-factor authentication).
The post Mã độc Snatch Ransomware đưa Windows vào chế độ Safe Mode để vô hiệu hóa Anti-virus appeared first on SecurityDaily .
Related News
Top News
-
![]()
Google công bố cập nhật bảo mật sử dụng AI cho 3 tỷ người dùng GmailSự kiện Cloud Next 2024 của Google tuy đã kết thúc, nhưng nhiều tin tức quan trọng vẫn tiếp tục được hé lộ. Một trong số đó có thể chính là...
-
![]()
Nhiều botnet khai thác lỗ hổng cũ để tấn công router TP-LinkCó ít nhất sáu mạng botnet khác nhau đang nhắm vào các router TP-Link Archer AX21 (AX1800). Thiết bị này vốn chịu ảnh hưởng từ một lỗ hổng chèn...
-
![]()
Google Postpones Third-Party Cookie Deprecation Amid U.K. Regulatory ScrutinyGoogle has once again pushed its plans to deprecate third-party tracking cookies in its Chrome web browser as it works to address outstanding...
-
![]()
Alert! Cisco Releases Critical Security Updates to Fix 2 ASA Firewall 0-DaysCisco has released critical security updates to address multiple vulnerabilities in its Adaptive Security Appliance (ASA) devices and Firepower...
-
![]()
Phần mềm độc hại CoralRaider khai thác bộ nhớ cache CDN để đánh cắp thông tinMột chiến dịch phần mềm độc hại mới đang diễn ra đã được quan sát thấy phân phối ba kẻ đánh cắp khác nhau, chẳng hạn như...
-
![]()
BatBadBut: Lỗ hổng khiến bạn không thể thực thi lệnh một cách an toàn trên WindowsGiới thiệu Gần đây, RyotaK ( @ryotkak ) đã báo cáo chùm lỗ hổng ở một số ngôn ngữ lập trình cho phép kẻ tấn công khai thác lỗi Command Injection...