Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm tống tiền Phần mềm tống tiền BARADAI

Phần mềm tống tiền BARADAI

Đến năm Mezo năm Phần mềm tống tiền
Dịch sang:

Các hoạt động tấn công mã độc tống tiền hiện đại ngày càng tinh vi, khiến các biện pháp an ninh mạng chủ động trở nên quan trọng hơn bao giờ hết. Cả các tổ chức và người dùng cá nhân đều phải đối mặt với rủi ro thường trực từ các tác nhân độc hại tìm cách mã hóa dữ liệu nhạy cảm, làm gián đoạn hoạt động và tống tiền nạn nhân. Một ví dụ đặc biệt nguy hiểm là mã độc tống tiền BARADAI, một biến thể phần mềm độc hại liên quan đến dòng mã độc tống tiền MedusaLocker khét tiếng. Mối đe dọa này kết hợp mã hóa tiên tiến với các chiến thuật đánh cắp dữ liệu, gây ra hậu quả nghiêm trọng về hoạt động, tài chính và uy tín cho các tổ chức bị ảnh hưởng.

Bên trong hoạt động mã độc tống tiền BARADAI

BARADAI được thiết kế để xâm nhập hệ thống, mã hóa các tập tin quan trọng và gây áp lực buộc nạn nhân phải trả tiền chuộc. Sau khi được thực thi trên máy tính bị xâm nhập, phần mềm tống tiền này bắt đầu mã hóa các tập tin và thêm phần mở rộng '.BARADAI' vào tên các tập tin bị ảnh hưởng. Ví dụ, một tập tin có tên 'document.pdf' sẽ trở thành 'document.pdf.BARADAI', khiến người dùng không thể truy cập được nếu không có khóa giải mã phù hợp.

Sau khi quá trình mã hóa hoàn tất, phần mềm độc hại sẽ tạo ra một thông báo đòi tiền chuộc dạng HTML có tên 'read_to_decrypt_files.html'. Thông báo này cho nạn nhân biết rằng mạng lưới doanh nghiệp của họ được cho là đã bị 'xâm phạm và mã hóa' bằng các thuật toán mã hóa RSA-4096 và AES-256. Các tiêu chuẩn mã hóa này được coi là rất an toàn và hầu như không thể bị bẻ khóa bằng phương pháp tấn công vét cạn.

Thông báo đòi tiền chuộc cũng cảnh báo nạn nhân không nên sử dụng phần mềm khôi phục của bên thứ ba hoặc chỉnh sửa các tập tin đã mã hóa, vì những hành động như vậy có thể làm hỏng dữ liệu vĩnh viễn. Mặc dù những cảnh báo này chủ yếu nhằm mục đích đe dọa nạn nhân, nhưng các nỗ lực khôi phục không đúng cách thực sự có thể làm phức tạp thêm quá trình khôi phục trong một số trường hợp tấn công bằng mã độc tống tiền.

Chiến thuật tống tiền kép làm tăng áp lực.

BARADAI sử dụng chiến thuật "tống tiền kép" ngày càng phổ biến được nhiều nhóm ransomware hiện đại áp dụng. Ngoài việc mã hóa tập tin, kẻ tấn công còn tuyên bố sẽ đánh cắp thông tin nhạy cảm từ các mạng bị xâm nhập trước khi triển khai phần mềm tống tiền. Theo thông báo đòi tiền chuộc, dữ liệu bị đánh cắp có thể bao gồm các tài liệu kinh doanh bí mật, hồ sơ tài chính và thông tin cá nhân.

Các nạn nhân bị đe dọa sẽ bị công khai thông tin này thông qua các phương tiện truyền thông hoặc các nhà môi giới dữ liệu nếu yêu cầu thanh toán bị phớt lờ. Chiến thuật này làm tăng đáng kể áp lực lên các tổ chức, đặc biệt là những tổ chức xử lý thông tin khách hàng nhạy cảm, dữ liệu được quản lý hoặc tài sản trí tuệ độc quyền.

Để củng cố độ tin cậy, những kẻ tấn công đề nghị giải mã miễn phí một số tập tin không thiết yếu. Mục đích của việc này là chứng minh rằng việc giải mã về mặt kỹ thuật là khả thi nếu tiền chuộc được trả. Các kênh liên lạc được cung cấp trong thông báo bao gồm địa chỉ email, cổng thông tin dựa trên Tor và ID nhắn tin qTox. Nạn nhân cũng được khuyến khích sử dụng ProtonMail để liên lạc "an toàn", trong khi thời hạn 72 giờ nhằm tạo ra sự khẩn cấp bằng cách cảnh báo rằng yêu cầu tiền chuộc sẽ tăng lên sau thời gian quy định.

Vì sao Baradai đặc biệt nguy hiểm

BARADAI представляет mối đe dọa đáng kể vì nó thuộc họ mã độc tống tiền MedusaLocker, một nhóm nổi tiếng với việc nhắm mục tiêu vào các doanh nghiệp và môi trường doanh nghiệp lớn hơn là người dùng cá nhân tại nhà. Các hoạt động này thường được lên kế hoạch và thực hiện cẩn thận sau khi kẻ tấn công giành được quyền truy cập sâu vào mạng lưới doanh nghiệp.

Phần mềm tống tiền này thường lây lan qua các dịch vụ Giao thức Máy tính Từ xa (RDP) bị xâm nhập. Kẻ tấn công tìm kiếm các điểm cuối RDP hướng ra internet được bảo vệ bởi thông tin đăng nhập yếu hoặc được sử dụng lại, sau đó sử dụng các cuộc tấn công vét cạn để giành quyền truy cập trái phép. Sau khi xâm nhập, chúng di chuyển ngang qua mạng, xâm nhập thêm các hệ thống khác, vô hiệu hóa các biện pháp phòng thủ và triển khai phần mềm tống tiền trên nhiều máy cùng một lúc.

Các chiến dịch lừa đảo qua email vẫn là một phương thức lây nhiễm chính. Nhân viên có thể vô tình mở các tệp đính kèm độc hại được ngụy trang dưới dạng hóa đơn, báo cáo hoặc thư từ kinh doanh. Các tệp này thường chứa macro độc hại, mã độc nhúng hoặc liên kết dẫn đến tải xuống phần mềm độc hại. Các tệp nén như ZIP hoặc RAR thường được sử dụng để vượt qua các biện pháp bảo vệ lọc email cơ bản.

Các phương thức lây nhiễm khác bao gồm phần mềm độc hại Trojan, phần mềm lậu, công cụ kích hoạt bất hợp pháp, bản cập nhật phần mềm giả mạo và các nền tảng tải xuống không đáng tin cậy. Trong các mạng được phân vùng kém, một thiết bị đầu cuối bị nhiễm có thể nhanh chóng dẫn đến sự xâm phạm trên diện rộng trong toàn bộ tổ chức.

Những thách thức trong mã hóa và phục hồi dữ liệu

Việc khôi phục các tập tin bị mã hóa bởi BARADAI mà không có sự hợp tác của kẻ tấn công thường là không khả thi. Phần mềm tống tiền này sử dụng các cơ chế mã hóa mạnh mẽ mà không thể vượt qua được nếu không có quyền truy cập vào khóa giải mã riêng do kẻ tấn công kiểm soát. Trừ khi có một lỗi nghiêm trọng trong chính phần mềm độc hại, các tùy chọn giải mã miễn phí khó có thể xảy ra.

Các chuyên gia an ninh mạng kịch liệt phản đối việc trả tiền chuộc. Kẻ tấn công thường không cung cấp được công cụ giải mã hoạt động hiệu quả ngay cả sau khi nhận được tiền chuộc. Trong một số trường hợp, nạn nhân trở thành mục tiêu tấn công nhiều lần vì kẻ tấn công xác định họ là những tổ chức sẵn sàng tuân thủ các yêu cầu tống tiền.

Mặc dù việc loại bỏ phần mềm tống tiền khỏi các hệ thống bị nhiễm là rất cần thiết để ngăn chặn các hoạt động mã hóa bổ sung, nhưng chỉ loại bỏ phần mềm độc hại thôi thì không thể khôi phục các tệp đã bị khóa. Chiến lược khôi phục đáng tin cậy nhất vẫn là sử dụng các bản sao lưu sạch được lưu trữ ngoại tuyến hoặc trong cơ sở hạ tầng từ xa được bảo mật đúng cách và cách ly khỏi mạng chính.

Tăng cường khả năng phòng thủ chống lại BARADAI và các mối đe dọa tương tự

Các tổ chức có thể giảm đáng kể nguy cơ bị tấn công bằng mã độc tống tiền bằng cách triển khai các biện pháp kiểm soát an ninh nhiều lớp và duy trì các quy trình an ninh mạng bài bản. Phòng thủ hiệu quả đòi hỏi cả các biện pháp bảo vệ kỹ thuật và nhận thức của nhân viên.

Các biện pháp bảo vệ chính bao gồm:

  • Áp dụng chính sách mật khẩu mạnh và xác thực đa yếu tố, đặc biệt đối với RDP và các dịch vụ truy cập từ xa khác.
  • Hạn chế hoặc vô hiệu hóa quyền truy cập RDP lộ thiên bất cứ khi nào có thể.
  • Duy trì các bản sao lưu ngoại tuyến và trên đám mây thường xuyên, được tách biệt khỏi hệ thống sản xuất.
  • Áp dụng các bản vá bảo mật kịp thời cho hệ điều hành, ứng dụng và thiết bị mạng.
  • Sử dụng các giải pháp bảo vệ điểm cuối và giám sát mạng uy tín có khả năng phát hiện hành vi đáng ngờ.
  • Phân chia mạng lưới để hạn chế sự di chuyển ngang trong quá trình thỏa hiệp.
  • Đào tạo nhân viên nhận biết email lừa đảo, tệp đính kèm độc hại và các thủ đoạn tấn công phi kỹ thuật.

Ngoài các biện pháp trên, các tổ chức nên áp dụng chiến lược ứng phó sự cố chủ động. Giám sát liên tục, săn lùng mối đe dọa, đánh giá lỗ hổng và kiểm thử xâm nhập có thể giúp xác định điểm yếu trước khi kẻ tấn công khai thác chúng. Việc thiết lập và diễn tập kế hoạch ứng phó sự cố cũng cho phép các nhóm bảo mật phản ứng hiệu quả hơn trong một cuộc tấn công ransomware, giảm thiểu gián đoạn hoạt động và mất dữ liệu.

Bối cảnh các mối đe dọa ngày càng gia tăng

BARADAI cho thấy các hoạt động tấn công bằng mã độc tống tiền đã phát triển thành các tổ chức tội phạm mạng có tổ chức và gây thiệt hại nghiêm trọng. Bằng cách kết hợp mã hóa mạnh, đánh cắp dữ liệu, áp lực tâm lý và nhiều phương thức lây nhiễm, kẻ tấn công tối đa hóa khả năng thu lợi tài chính trong khi gây thiệt hại nghiêm trọng cho nạn nhân.

Khi các nhóm ransomware tiếp tục tinh chỉnh chiến thuật của mình, việc duy trì vệ sinh an ninh mạng mạnh mẽ trở nên thiết yếu đối với các tổ chức thuộc mọi quy mô. Các biện pháp bảo mật phòng ngừa, giáo dục nhân viên, sao lưu dữ liệu đáng tin cậy và khả năng ứng phó sự cố nhanh chóng vẫn là những biện pháp phòng thủ mạnh mẽ nhất chống lại các mối đe dọa như BARADAI và hệ sinh thái ransomware MedusaLocker rộng lớn hơn.

System Messages

The following system messages may be associated with Phần mềm tống tiền BARADAI:

NETWORK SECURITY NOTIFICATION
YOUR PERSONAL ID: -
YOUR CORPORATE NETWORK HAS BEEN
COMPROMISED & ENCRYPTED
Your files are secured with military-grade encryption (RSA-4096 + AES-256)
WARNING: ANY ATTEMPT TO RESTORE FILES WITH THIRD-PARTY SOFTWARE WILL CAUSE PERMANENT DATA CORRUPTION. DO NOT MODIFY OR RENAME ENCRYPTED FILES.

We have successfully infiltrated your network and encrypted critical data. All compromised information including confidential documents, financial records, and personal data is securely stored on our private servers. This server will be permanently destroyed upon confirmation of your payment. Failure to comply will result in public release of all data to media outlets and data brokers.

We operate purely for financial gain, not to damage your operations. To verify our capability, we offer free decryption of 2–3 non-critical files as proof of our solution.

Contact us immediately for pricing and decryption software
EMAIL:
recovery1@salamati.vip
recovery1@amniyat.xyz

For secure communication, create a new account at: hxxps://protonmail[.]com

CONTACT US WITHIN 72 HOURS TO PREVENT PRICE INCREASE
TOR CHAT (24/7 SUPPORT):
hxxp://qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd[.]onion
qTox ID: -

hxxp://t33zoj4qwv455fog7qnb2azi5xcdxkixughmmduzbw2rtdgryqfbh6id[.]onion

xu hướng

Xem nhiều nhất

Đang tải...