Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm tống tiền Prinz Eugen Ransomware

Prinz Eugen Ransomware

Đến năm Mezo năm Phần mềm tống tiền
Dịch sang:

Phần mềm độc hại không ngừng phát triển, và mã độc tống tiền vẫn là một trong những mối đe dọa mạng nguy hiểm nhất đối với cá nhân và tổ chức. Chỉ một lần nhiễm bệnh cũng có thể dẫn đến mất dữ liệu vĩnh viễn, gián đoạn hoạt động và hậu quả tài chính nghiêm trọng. Vì các chiến dịch mã độc tống tiền hiện đại thường sử dụng các kỹ thuật tinh vi để né tránh phát hiện và tối đa hóa thiệt hại, việc duy trì các biện pháp an ninh mạng mạnh mẽ là điều cần thiết để bảo vệ thông tin quý giá và các hệ thống quan trọng.

Một hoạt động mã độc tống tiền âm thầm

Prinz Eugen là một biến thể mã độc tống tiền được viết bằng ngôn ngữ lập trình Go, một khung phát triển ngày càng phổ biến trong giới tội phạm mạng do tính di động và hiệu quả của nó. Phần mềm độc hại này có liên quan đến một nhóm tội phạm mạng được biết đến với tên gọi ROOTBOY và được thiết kế với một mục tiêu chính: mã hóa dữ liệu và khiến nạn nhân không thể truy cập được.

Sau khi được thực thi, Prinz Eugen sẽ mã hóa các tệp và thêm phần mở rộng '.prinzeugen' vào mỗi tên tệp bị ảnh hưởng. Ví dụ, một tệp có tên '1.png' sẽ trở thành '1.png.prinzeugen', trong khi '2.pdf' được đổi tên thành '2.pdf.prinzeugen'. Sau quá trình này, các tệp không thể được mở bình thường nữa.

Một trong những đặc điểm bất thường nhất của Prinz Eugen là việc nó hoàn toàn không có thư đòi tiền chuộc. Không giống như hầu hết các loại mã độc tống tiền khác thường hiển thị hướng dẫn thanh toán thông qua các tệp văn bản, hình nền máy tính hoặc trang HTML, phần mềm độc hại này không để lại bất kỳ thông điệp nào. Nạn nhân không được thông báo trực tiếp về những gì đã xảy ra hoặc cách tiếp tục, gây ra sự nhầm lẫn và làm phức tạp phản ứng ban đầu.

Mã hóa được thiết kế để ngăn chặn việc khôi phục

Prinz Eugen dựa vào thuật toán mã hóa ChaCha20-Poly1305 để khóa các tập tin. Phần mềm độc hại này tạo ra một giá trị ngẫu nhiên duy nhất cho mỗi tập tin được mã hóa, có nghĩa là việc khôi phục một tập tin không giúp giải mã bất kỳ tập tin nào khác. Cách thức này làm giảm đáng kể khả năng khôi phục thành công thông qua phân tích mật mã.

Để gây khó khăn hơn nữa cho quá trình điều tra, phần mềm tống tiền này sử dụng cơ chế tự xóa trì hoãn sau khi hoàn tất quy trình mã hóa. Bằng cách tự loại bỏ khỏi hệ thống bị xâm nhập, Prinz Eugen làm giảm lượng bằng chứng pháp y có sẵn cho các nhà điều tra và làm phức tạp thêm các nỗ lực ứng phó sự cố.

Thật không may, việc khôi phục các tập tin mà không có công cụ giải mã của kẻ tấn công được coi là không khả thi. Ngay cả khi đó, việc trả tiền chuộc vẫn là một canh bạc nguy hiểm vì tội phạm mạng thường không cung cấp được công cụ giải mã hoạt động sau khi nhận được tiền. Loại bỏ phần mềm độc hại có thể ngăn chặn thiệt hại thêm, nhưng nó không khôi phục được dữ liệu đã bị mã hóa. Trong hầu hết các trường hợp, phương pháp khôi phục đáng tin cậy duy nhất là khôi phục các tập tin từ các bản sao lưu sạch được lưu trữ ngoại tuyến hoặc trên các máy chủ từ xa an toàn.

Cách kẻ tấn công giành quyền truy cập

Phân tích cho thấy thông tin đăng nhập Giao thức Máy tính Từ xa (RDP) bị xâm phạm là một trong những điểm xâm nhập chính được những kẻ điều hành Prinz Eugen sử dụng. Kẻ tấn công có thể lấy được thông tin đăng nhập này thông qua việc đánh cắp thông tin đăng nhập, sử dụng lại mật khẩu hoặc tấn công vét cạn (brute-force) vào các dịch vụ RDP được kết nối với internet. Sau khi có được quyền truy cập, chúng có thể trực tiếp điều khiển máy tính mục tiêu và chuẩn bị môi trường để triển khai phần mềm tống tiền.

Theo báo cáo, các nhà điều hành sử dụng các công cụ quản lý từ xa trong giai đoạn chuẩn bị trước khi khởi động quá trình mã hóa. Hành vi này phản ánh một phương pháp tấn công có chủ đích và được lên kế hoạch kỹ lưỡng, thường thấy trong các vụ xâm nhập nhằm vào các doanh nghiệp và tổ chức.

Giống như nhiều loại mã độc tống tiền khác, Prinz Eugen cũng có thể lây nhiễm cho nạn nhân thông qua các phương thức truyền thống hơn. Email lừa đảo, mã độc Trojan, phần mềm lậu và các công cụ kích hoạt phần mềm bất hợp pháp vẫn là những cơ chế lây nhiễm phổ biến. Các phần mềm độc hại có thể được ngụy trang dưới dạng các tệp lưu trữ, tệp thực thi, tài liệu Microsoft Office và các nội dung có vẻ hợp pháp khác.

Giao tiếp không cần hướng dẫn

Mặc dù không có thư đòi tiền chuộc nào được gửi đến các thiết bị bị nhiễm, nhưng các phân tích hiện có cho thấy những kẻ điều hành tin tặc kỳ vọng nạn nhân sẽ tự liên lạc. Theo báo cáo, có thể liên lạc với chúng qua các địa chỉ email prinzeugen@mail2tor.co và standardbankcc@cock.li. Chưa có yêu cầu tiền chuộc cụ thể nào được công khai, khiến các nạn nhân không chắc chắn về cả chi phí và khả năng khôi phục dữ liệu của mình.

Cách tiếp cận không theo lối mòn này làm nổi bật các chiến thuật ngày càng đa dạng được sử dụng bởi những kẻ điều hành mã độc tống tiền và chứng minh rằng việc không có thông báo đòi tiền chuộc không bao giờ nên được hiểu là dấu hiệu cho thấy các tập tin có thể được khôi phục dễ dàng.

Tăng cường khả năng phòng thủ chống lại phần mềm tống tiền

Để bảo vệ hiệu quả trước các mối đe dọa như Prinz Eugen, cần có chiến lược bảo mật nhiều lớp. Các tổ chức và người dùng cá nhân nên tập trung vào việc giảm thiểu cơ hội cho kẻ tấn công giành quyền truy cập ban đầu, đồng thời đảm bảo các tùy chọn khôi phục vẫn khả dụng nếu xảy ra sự cố.

Các biện pháp sau đây giúp tăng cường đáng kể khả năng chống lại các cuộc tấn công bằng mã độc tống tiền:

  • Hãy thường xuyên sao lưu dữ liệu và lưu trữ bản sao ngoại tuyến hoặc trong môi trường đám mây an toàn mà các hệ thống bị nhiễm không thể trực tiếp sửa đổi.
  • Hãy sử dụng mật khẩu mạnh, độc đáo và bảo vệ các dịch vụ truy cập từ xa như RDP bằng xác thực đa yếu tố.
  • Vô hiệu hóa các dịch vụ truy cập từ xa không cần thiết và tránh để lộ trực tiếp giao thức RDP ra internet.
  • Hãy cài đặt các bản cập nhật hệ điều hành và phần mềm kịp thời để loại bỏ các lỗ hổng bảo mật đã biết.
  • Hãy triển khai phần mềm bảo mật uy tín có khả năng phát hiện hành vi đáng ngờ và hoạt động mã độc tống tiền.
  • Hãy thận trọng khi mở tệp đính kèm email, tải xuống tập tin hoặc cài đặt phần mềm từ các nguồn không đáng tin cậy.
  • Tránh sử dụng các chương trình lậu, phần mềm bẻ khóa và công cụ kích hoạt trái phép.

    • Nâng cao nhận thức về an ninh mạng cũng quan trọng không kém. Người dùng nên giám sát hệ thống để phát hiện các hành vi bất thường, thiết lập kiểm soát truy cập dựa trên nguyên tắc quyền hạn tối thiểu và thường xuyên kiểm tra quy trình khôi phục dữ liệu sao lưu. Các tổ chức cũng nên duy trì kế hoạch ứng phó sự cố và đào tạo nhân viên nhận biết các nỗ lực lừa đảo trực tuyến và các kỹ thuật tấn công phi kỹ thuật khác.

    Lời kết

    Prinz Eugen là một mối đe dọa ransomware tinh vi và khó phát hiện, kết hợp mã hóa mạnh mẽ, kỹ thuật xâm nhập có chủ đích và khả năng tự xóa để tối đa hóa thiệt hại đồng thời giảm thiểu bằng chứng pháp y. Việc thiếu thông báo đòi tiền chuộc khiến nó trở nên đặc biệt bất thường và có thể làm chậm phản ứng thích hợp từ phía nạn nhân. Vì việc giải mã mà không có công cụ của kẻ tấn công được coi là không khả thi, nên phòng ngừa, bảo mật truy cập mạnh mẽ và sao lưu đáng tin cậy vẫn là những biện pháp phòng thủ hiệu quả nhất chống lại phần mềm độc hại này.

    Đang tải...