Phần mềm tống tiền BlackHeart (MedusaLocker)
Ransomware vẫn là một trong những mối đe dọa mạng tàn khốc nhất, có khả năng mã hóa dữ liệu có giá trị và yêu cầu thanh toán lớn để phát hành. Trong số các loại ransomware mới nhất, BlackHeart, một biến thể của họ MedusaLocker, đã nổi lên như một mối đe dọa nguy hiểm. Loại ransomware tinh vi này không chỉ khóa người dùng khỏi các tệp của họ mà còn đe dọa tiết lộ dữ liệu bị đánh cắp, khiến nạn nhân phải chịu áp lực rất lớn để tuân thủ các yêu cầu của kẻ tấn công. Hiểu cách BlackHeart hoạt động và các biện pháp tốt nhất để giảm thiểu các cuộc tấn công như vậy là rất quan trọng trong việc bảo vệ dữ liệu cá nhân và dữ liệu của công ty.
Mục lục
Cách thức BlackHeart Ransomware mã hóa và tống tiền nạn nhân
Sau khi thực thi trên hệ thống bị nhiễm, BlackHeart Ransomware bắt đầu quá trình mã hóa mạnh mẽ, nhắm vào nhiều loại tệp khác nhau. Mỗi tệp được mã hóa được thêm phần mở rộng '.blackheart138', khiến tệp không thể truy cập được. Ví dụ, tệp có tên 'document.pdf' sẽ trở thành 'document.pdf.blackheart138', về cơ bản là khóa người dùng khỏi dữ liệu của họ.
Bên cạnh việc mã hóa các tập tin, BlackHeart thả một ghi chú đòi tiền chuộc có tiêu đề 'read_this_to_decrypt_files.html.' Tin nhắn thông báo cho nạn nhân rằng mạng công ty của họ đã bị xâm nhập và các tập tin quan trọng đã được mã hóa bằng mã hóa RSA và AES. Nó tuyên bố rằng chỉ những kẻ tấn công mới sở hữu các công cụ giải mã cần thiết và cảnh báo nạn nhân không được sửa đổi hoặc cố gắng khôi phục các tập tin bằng phần mềm của bên thứ ba, vì làm như vậy có thể dẫn đến mất dữ liệu vĩnh viễn.
Chiến thuật tống tiền kép được BlackHeart sử dụng
Một xu hướng đáng lo ngại trong các cuộc tấn công ransomware hiện đại là thực hành tống tiền kép, và BlackHeart cũng tuân theo mô hình này. Ghi chú đòi tiền chuộc cảnh báo rằng dữ liệu nhạy cảm của công ty đã bị rò rỉ và sẽ được bán hoặc công bố trực tuyến nếu nạn nhân từ chối tuân thủ các yêu cầu. Lớp ép buộc bổ sung này làm tăng áp lực lên nạn nhân, vì họ không chỉ phải đối mặt với tổn thất tài chính mà còn có thể bị tổn hại về danh tiếng và hậu quả pháp lý nếu dữ liệu bí mật bị rò rỉ.
Để thương lượng khoản tiền chuộc, những kẻ tấn công cung cấp thông tin liên lạc, bao gồm hai địa chỉ email (support1@contonta.com và support2@cavopo.com) cũng như liên kết đến dịch vụ trò chuyện dựa trên Tor. Chúng còn tuyên bố rằng nếu nạn nhân không liên lạc trong vòng 72 giờ, số tiền chuộc sẽ tăng lên. Chiến thuật này được thiết kế để tạo ra sự cấp bách và hoảng loạn, thúc đẩy nạn nhân hành động nhanh chóng trước khi họ có thể đánh giá đầy đủ tình hình.
Tại sao trả tiền chuộc lại là rủi ro
Mặc dù viễn cảnh khôi phục các tệp được mã hóa có thể khiến nạn nhân tuân thủ các yêu cầu đòi tiền chuộc, nhưng việc làm như vậy đi kèm với những rủi ro đáng kể. Tội phạm mạng không có nghĩa vụ phải thực hiện lời hứa của mình và nhiều nạn nhân đã trả tiền chỉ để nhận được các công cụ giải mã bị lỗi hoặc không tồn tại. Ngoài ra, việc gửi tiền cho những kẻ điều hành phần mềm tống tiền sẽ tài trợ cho các hoạt động bất hợp pháp của chúng, khuyến khích các cuộc tấn công tiếp theo vào các cá nhân và doanh nghiệp.
Cách duy nhất đáng tin cậy để khôi phục dữ liệu bị mất mà không cần phải can thiệp vào kẻ tấn công là thông qua các bản sao lưu an toàn, có sẵn. Tuy nhiên, nếu các bản sao lưu được lưu trữ trên cùng một mạng với thiết bị bị nhiễm, chúng cũng có thể bị mã hóa hoặc xóa, khiến các biện pháp bảo mật chủ động trở nên cần thiết.
Cách thức lây lan của BlackHeart Ransomware
Giống như các biến thể ransomware khác, BlackHeart dựa vào nhiều vectơ tấn công để xâm nhập vào thiết bị. Tội phạm mạng thường phân phối ransomware thông qua các chiến dịch lừa đảo, ngụy trang các tệp đính kèm hoặc liên kết độc hại thành các thông tin liên lạc kinh doanh hợp pháp. Người dùng không nghi ngờ gì khi mở tệp đính kèm email bị nhiễm hoặc nhấp vào các liên kết bị xâm phạm có thể vô tình thực thi ransomware trên hệ thống của họ.
Các phương pháp lây nhiễm tiêu chuẩn khác bao gồm khai thác các lỗ hổng phần mềm chưa vá, phân phối phần mềm tống tiền thông qua các trang web bị xâm phạm và ẩn các phần mềm độc hại trong các bản vá phần mềm hoặc các ứng dụng vi phạm bản quyền. Một số kẻ tấn công cũng sử dụng malvertising—quảng cáo trực tuyến lừa đảo, khi nhấp vào, sẽ dẫn đến nhiễm phần mềm độc hại. Trong môi trường doanh nghiệp, phần mềm tống tiền có thể lây lan theo chiều ngang trên các mạng, lây nhiễm nhiều thiết bị và làm tăng tác động của cuộc tấn công.
Các biện pháp bảo mật tốt nhất để phòng chống Ransomware
Để giảm nguy cơ của BlackHeart Ransomware và các mối đe dọa tương tự, người dùng và tổ chức phải áp dụng các biện pháp an ninh mạng mạnh mẽ. Việc triển khai các biện pháp thực hành tốt nhất sau đây có thể giúp tăng cường bảo mật và giảm thiểu khả năng trở thành nạn nhân của một cuộc tấn công:
- Duy trì sao lưu thường xuyên : Lưu trữ dữ liệu quan trọng ở nhiều vị trí an toàn, bao gồm sao lưu ngoại tuyến và lưu trữ đám mây với mã hóa mạnh. Đảm bảo sao lưu được cập nhật thường xuyên và kiểm tra tính toàn vẹn.
- Bật Xác thực đa yếu tố (MFA) : Tính năng này bảo vệ tài khoản trực tuyến và quyền truy cập hệ thống bằng cách yêu cầu nhiều bước xác minh, khiến việc đăng nhập trái phép trở nên khó khăn hơn.
- Cập nhật phần mềm và hệ điều hành : Thường xuyên cập nhật tất cả các ứng dụng, hệ điều hành và phần mềm bảo mật để vá các lỗ hổng mà kẻ tấn công ransomware có thể khai thác.
- Thực hành Thận trọng với Tệp đính kèm và Liên kết Email : Tránh mở email bất ngờ, đặc biệt là những email thúc giục hành động ngay lập tức. Xác minh danh tính người gửi và quét tệp đính kèm để tìm mối đe dọa tiềm ẩn trước khi tải xuống.
- Hạn chế quyền quản trị : Hạn chế quyền truy cập của người dùng vào các hệ thống quan trọng và vô hiệu hóa các quyền quản trị không cần thiết để giảm bề mặt tấn công trong trường hợp bị xâm phạm.
Suy nghĩ cuối cùng
BlackHeart Ransomware là ví dụ điển hình cho sự tinh vi ngày càng tăng của các mối đe dọa mạng hiện đại, kết hợp mã hóa tệp với việc đánh cắp dữ liệu để tối đa hóa áp lực lên nạn nhân. Việc trả tiền chuộc không đảm bảo khôi phục dữ liệu và chỉ thúc đẩy thêm hoạt động tội phạm. Thay vào đó, người dùng phải ưu tiên phòng ngừa bằng cách bảo mật hệ thống của họ, duy trì các bản sao lưu đáng tin cậy và luôn cảnh giác với các nỗ lực lừa đảo và phần mềm độc hại. Một cách tiếp cận năng động đối với an ninh mạng là biện pháp phòng thủ hiệu quả nhất chống lại ransomware và các mối đe dọa kỹ thuật số đang phát triển khác.
Phần mềm tống tiền BlackHeart (MedusaLocker) Video
Mẹo: BẬT âm thanh của bạn và xem video ở chế độ Toàn màn hình .
tin nhắn
Các thông báo sau được liên kết với Phần mềm tống tiền BlackHeart (MedusaLocker) đã được tìm thấy:
|
Your personal ID: - /!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\ All your important files have been encrypted! Your files are safe! Only modified. (RSA+AES) ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE WILL PERMANENTLY CORRUPT IT. DO NOT MODIFY ENCRYPTED FILES. DO NOT RENAME ENCRYPTED FILES. No software available on internet can help you. We are the only ones able to solve your problem. We gathered highly confidential/personal data. These data are currently stored on a private server. This server will be immediately destroyed after your payment. If you decide to not pay, we will release your data to public or re-seller. So you can expect your data to be publicly available in the near future.. We only seek money and our goal is not to damage your reputation or prevent your business from running. You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files back. Contact us for price and get decryption software. email: support1@contonta.com support2@cavopo.com * To contact us, create a new free email account on the site: protonmail.com IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER. * Tor-chat to always be in touch: |
