End Ransomware

Bảo vệ thiết bị khỏi phần mềm độc hại là trách nhiệm quan trọng đối với cả cá nhân và tổ chức. Các hoạt động tấn công ransomware hiện đại được tổ chức rất bài bản, tiên tiến về mặt kỹ thuật và có động cơ tài chính mạnh mẽ. Một lần lây nhiễm thành công có thể dẫn đến mất dữ liệu nghiêm trọng, gián đoạn hoạt động, thiệt hại về uy tín và khó khăn tài chính. Một trong những mối đe dọa tinh vi như vậy là End Ransomware, một biến thể thể hiện các chiến thuật ngày càng tinh vi và cơ chế gây áp lực tâm lý phổ biến trong bối cảnh tội phạm mạng hiện nay.

Phần mềm tống tiền End Ransomware: Một biến thể của MedusaLocker với chiến thuật hung hăng.

Phân tích chuyên sâu đã xác định End Ransomware là một biến thể thuộc họ MedusaLocker. Các nhà nghiên cứu bảo mật đã phát hiện ra mối đe dọa này trong quá trình điều tra các chiến dịch phần mềm độc hại đang hoạt động nhắm mục tiêu vào cả người dùng cá nhân và môi trường doanh nghiệp.

Sau khi được thực thi trên một hệ thống bị xâm nhập, End Ransomware sẽ khởi động một quy trình tấn công nhiều giai đoạn. Nó mã hóa các tệp bằng cách sử dụng kết hợp các thuật toán mã hóa RSA và AES, đảm bảo rằng dữ liệu trở nên không thể truy cập được nếu không có khóa giải mã của kẻ tấn công. Các tệp được mã hóa sẽ được thêm phần mở rộng '.end11'. Ví dụ, '1.png' được đổi tên thành '1.png.end11', và '2.pdf' trở thành '2.pdf.end11'. Việc sửa đổi này báo hiệu rõ ràng quá trình mã hóa đã thành công và ngăn chặn việc truy cập tệp thông thường.

Ngoài việc mã hóa tập tin, phần mềm tống tiền còn thay đổi hình nền máy tính của nạn nhân và gửi một thông báo đòi tiền chuộc có tiêu đề 'HOW_TO_RECOVER_DATA.html'. Những hành động này được thiết kế để tối đa hóa sự chú ý và áp lực, đảm bảo rằng nạn nhân ngay lập tức hiểu được mức độ nghiêm trọng của sự việc.

Thư đòi tiền chuộc và chiến lược tống tiền kép

Thư đòi tiền chuộc khẳng định rằng các tập tin đã bị mã hóa nhưng không bị hư hại vĩnh viễn, và việc khôi phục chỉ có thể thực hiện được với sự trợ giúp của kẻ tấn công. Nạn nhân được cảnh báo không nên sử dụng các công cụ khôi phục của bên thứ ba hoặc cố gắng đổi tên hoặc sửa đổi các tập tin đã mã hóa, vì làm như vậy có thể gây ra thiệt hại không thể khắc phục.

Một khía cạnh đặc biệt đáng lo ngại của End Ransomware là việc sử dụng chiến thuật tống tiền kép. Thông báo cho biết dữ liệu bí mật và cá nhân đã bị đánh cắp và lưu trữ trên một máy chủ riêng do kẻ tấn công kiểm soát. Theo thông báo, dữ liệu bị đánh cắp sẽ bị xóa sau khi nhận được tiền chuộc. Tuy nhiên, việc từ chối thanh toán được cho là sẽ dẫn đến việc thông tin bị công khai hoặc bán đi.

Các nạn nhân được hướng dẫn liên hệ với những kẻ tấn công qua email tại địa chỉ 'doctorhelperss@gmail.com' hoặc 'korona@bestkoronavirus.com' để nhận hướng dẫn thanh toán. Thời hạn nghiêm ngặt là 72 giờ, sau đó số tiền chuộc được cho là sẽ tăng lên. Sự gấp gáp giả tạo này là một chiến thuật tâm lý phổ biến nhằm làm giảm khả năng ra quyết định lý trí và thúc đẩy việc thanh toán.

Điều quan trọng cần nhấn mạnh là việc trả tiền chuộc không đảm bảo khôi phục được dữ liệu. Kẻ tấn công có thể không cung cấp được công cụ giải mã hoạt động, yêu cầu thêm tiền hoặc biến mất hoàn toàn sau khi nhận được tiền.

Rủi ro dai dẳng và rủi ro lan rộng

Để phần mềm tống tiền hoạt động trên hệ thống bị nhiễm sẽ làm tăng đáng kể nguy cơ. Nếu không được gỡ bỏ đúng cách, phần mềm độc hại có thể tiếp tục mã hóa các tập tin mới được tạo hoặc chưa bị mã hóa trước đó. Trong môi trường mạng, nó cũng có thể cố gắng lây lan sang các hệ thống được kết nối và các tài nguyên lưu trữ dùng chung.

Do đó, việc khoanh vùng và loại bỏ là những bước thiết yếu sau khi phát hiện. Việc chỉ giải mã các tập tin, nếu có thể, mà không loại bỏ phần mềm độc hại có thể dẫn đến tái nhiễm và gây thêm thiệt hại.

Các tác nhân lây nhiễm phổ biến

Giống như nhiều loại mã độc tống tiền hiện đại khác, End Ransomware dựa vào nhiều kỹ thuật phát tán khác nhau để tối đa hóa phạm vi lây lan. Các kỹ thuật này thường bao gồm:

• Các email lừa đảo có chứa tệp đính kèm hoặc liên kết độc hại.
• Khai thác các lỗ hổng phần mềm chưa được vá
• Các vụ lừa đảo hỗ trợ kỹ thuật giả mạo
• Phần mềm lậu, công cụ bẻ khóa và trình tạo khóa
• Mạng ngang hàng và nền tảng tải xuống không chính thức
• Quảng cáo độc hại và trang web bị xâm nhập

Phần mềm độc hại thường được giấu kín trong các tệp thực thi, tập lệnh, tệp lưu trữ nén hoặc các định dạng tài liệu như Word, Excel hoặc PDF. Sau khi được mở hoặc sau khi người dùng tương tác thêm, chẳng hạn như bật macro, phần mềm tống tiền sẽ thực thi và bắt đầu mã hóa dữ liệu.

Tăng cường khả năng phòng thủ: Những biện pháp bảo mật thiết yếu nhất

Để phòng chống hiệu quả mã độc tống tiền, chẳng hạn như End, cần có chiến lược bảo mật nhiều lớp và chủ động. Các biện pháp sau đây giúp giảm đáng kể khả năng và tác động của việc lây nhiễm:

• Hãy thường xuyên sao lưu dữ liệu quan trọng bằng các bản sao lưu ngoại tuyến và không thể thay đổi. Các bản sao lưu nên được lưu trữ riêng biệt với mạng chính để ngăn chặn phần mềm tống tiền mã hóa chúng.
• Hãy nhanh chóng áp dụng các bản vá bảo mật và cập nhật phần mềm cho hệ điều hành, ứng dụng và firmware để loại bỏ các lỗ hổng có thể bị khai thác.
• Hãy triển khai các giải pháp bảo vệ điểm cuối uy tín, cập nhật, có khả năng phát hiện hành vi mã độc tống tiền và chặn các hoạt động đáng ngờ.
• Tắt macro theo mặc định trong các ứng dụng văn phòng và hạn chế việc thực thi các tập lệnh trái phép.

• Áp dụng các biện pháp kiểm soát truy cập chặt chẽ và nguyên tắc quyền hạn tối thiểu để hạn chế quyền của người dùng và giảm thiểu cơ hội di chuyển ngang.

• Hãy sử dụng xác thực đa yếu tố cho các dịch vụ truy cập từ xa và tài khoản quản trị.

• Thường xuyên tổ chức các buổi đào tạo nâng cao nhận thức về an ninh mạng để giúp người dùng nhận biết email lừa đảo, tệp đính kèm độc hại và các âm mưu tấn công phi kỹ thuật.

• Theo dõi hoạt động mạng để phát hiện các bất thường, bao gồm việc sửa đổi tệp tin hoặc truyền dữ liệu ra ngoài một cách bất thường.

Một chiến lược bảo mật toàn diện kết hợp các biện pháp kiểm soát kỹ thuật với việc giáo dục người dùng và thực thi chính sách nhất quán. Phòng ngừa luôn hiệu quả về chi phí và đáng tin cậy hơn so với việc khắc phục hậu quả sau sự cố.

Đánh giá cuối kỳ

End Ransomware là một mối đe dọa tinh vi và nguy hiểm thuộc họ MedusaLocker. Bằng cách kết hợp mã hóa mạnh, đánh cắp dữ liệu và các chiến thuật gây áp lực dựa trên thời gian, nó là một ví dụ điển hình cho mô hình ransomware hiện đại được xây dựng xung quanh việc tống tiền.

Các tổ chức và cá nhân cần nhận thức rằng phòng chống mã độc tống tiền không phải là một công cụ hay hành động đơn lẻ mà là một quá trình liên tục. Bảo vệ chủ động, phát hiện nhanh chóng và phản ứng sự cố có kỷ luật vẫn là những chiến lược hiệu quả nhất để giảm thiểu thiệt hại và đảm bảo khả năng phục hồi hoạt động trước các mối đe dọa mạng ngày càng tinh vi.