Strike Ransomware

Trong bối cảnh kỹ thuật số siêu kết nối hiện nay, việc bảo vệ thiết bị khỏi phần mềm độc hại không còn là tùy chọn mà là điều thiết yếu. Các cuộc tấn công ransomware ngày càng tinh vi, nhắm vào cả cá nhân và tổ chức với những hậu quả tàn khốc. Một mối đe dọa như vậy, được gọi là Strike Ransomware, cho thấy cách thức hoạt động của tội phạm mạng hiện đại kết hợp mã hóa mạnh, đánh cắp dữ liệu và áp lực tâm lý để tống tiền nạn nhân.

Phần mềm tống tiền Strike: Một thành viên nguy hiểm của gia đình MedusaLocker.

Phần mềm tống tiền Strike được xác định là một biến thể của dòng phần mềm độc hại MedusaLocker khét tiếng. Các nhà nghiên cứu bảo mật đã phát hiện ra mối đe dọa này trong quá trình điều tra các chiến dịch phần mềm độc hại đang hoạt động nhắm vào hệ thống người dùng. Sau khi được thực thi, Strike mã hóa các tệp được lưu trữ trên thiết bị bị xâm nhập và thêm phần mở rộng mới - '.strike7' (mặc dù số này có thể khác nhau). Ví dụ, các tệp như '1.png' và '2.pdf' được đổi tên thành '1.png.strike7' và '2.pdf.strike7', và không thể truy cập được.

Ngoài việc mã hóa, Strike còn sửa đổi hình nền máy tính để tăng cường cuộc tấn công và tạo ra một ghi chú đòi tiền chuộc có tiêu đề 'READ_NOTE.html'. Những thay đổi về mặt hình ảnh này đóng vai trò như một bằng chứng xác nhận ngay lập tức rằng hệ thống đã bị xâm nhập.

Chiến thuật mã hóa và chiến lược tống tiền

Thư đòi tiền chuộc tuyên bố rằng các tập tin đã bị mã hóa bằng cách kết hợp các thuật toán mã hóa RSA và AES, một chiến thuật thường được sử dụng trong các hoạt động tấn công ransomware cấp cao. Nạn nhân được cảnh báo rằng việc cố gắng sửa đổi, đổi tên hoặc khôi phục các tập tin bằng các công cụ của bên thứ ba có thể làm hỏng chúng vĩnh viễn. Thông điệp khẳng định rằng chỉ có những kẻ tấn công mới có phương tiện để khôi phục dữ liệu.

Một yếu tố đặc biệt đáng báo động của chiến dịch Strike là phương thức tống tiền kép. Thông báo cáo buộc rằng dữ liệu cá nhân nhạy cảm đã bị đánh cắp và lưu trữ trên một máy chủ riêng. Nếu không thanh toán, những kẻ tấn công đe dọa sẽ phát tán hoặc bán thông tin bị đánh cắp. Nạn nhân được hướng dẫn liên hệ qua các địa chỉ email được cung cấp tại 'stevensfalls@outlook.com' và 'richardfeuell@outlook.com', hoặc thông qua ID trò chuyện dựa trên Tor. Những kẻ tấn công tiếp tục gia tăng áp lực bằng cách tuyên bố rằng số tiền chuộc sẽ tăng lên nếu không liên lạc được trong vòng 72 giờ.

Khi không có bản sao lưu và không có công cụ giải mã hợp pháp nào, nạn nhân có thể cảm thấy buộc phải trả tiền chuộc. Tuy nhiên, việc trả tiền chuộc là điều không nên làm. Tội phạm mạng thường không cung cấp được công cụ giải mã hoạt động hiệu quả ngay cả sau khi nhận được tiền, khiến nạn nhân thiệt hại cả về tài chính và hoạt động.

Rủi ro hiện hữu và sự lây lan ngang

Nếu Strike vẫn hoạt động trên hệ thống, nó có thể tiếp tục mã hóa các tập tin mới được tạo hoặc khôi phục. Trong môi trường mạng, mối đe dọa có thể lây lan sang các thiết bị được kết nối, làm tăng mức độ ảnh hưởng. Việc loại bỏ phần mềm tống tiền ngay lập tức là rất quan trọng để ngăn chặn thiệt hại thêm nữa.

Giống như nhiều loại mã độc tống tiền khác, Strike được phát tán thông qua nhiều phương thức. Các tệp thực thi độc hại, tập lệnh, tệp lưu trữ nén (ZIP hoặc RAR) và các tài liệu cài bẫy như tệp Word, Excel hoặc PDF là những cơ chế phát tán phổ biến. Sự lây nhiễm thường bắt đầu khi nạn nhân mở hoặc thực thi tệp độc hại.

Tội phạm mạng cũng dựa vào email lừa đảo, các chiêu trò hỗ trợ kỹ thuật, phần mềm lậu, các công cụ bẻ khóa và trình tạo mã kích hoạt để dụ dỗ nạn nhân. Các con đường lây nhiễm khác bao gồm các lỗ hổng phần mềm lỗi thời, nền tảng chia sẻ tập tin ngang hàng (peer-to-peer), cổng tải xuống không chính thức, các trang web bị xâm nhập hoặc giả mạo, ổ USB bị nhiễm virus và các quảng cáo trực tuyến lừa đảo.

Tăng cường khả năng phòng thủ: Các biện pháp an ninh thiết yếu

Để phòng chống hiệu quả các loại mã độc tống tiền tinh vi như Strike, cần có một chiến lược bảo mật chủ động và nhiều lớp. Người dùng và các tổ chức nên thực hiện các biện pháp sau:

• Hãy thường xuyên sao lưu dữ liệu một cách an toàn và lưu trữ ngoại tuyến hoặc trong môi trường đám mây biệt lập để đảm bảo khôi phục dữ liệu mà không cần trả tiền chuộc.
• Luôn cập nhật hệ điều hành, ứng dụng và phần mềm bảo mật để vá các lỗ hổng đã biết.
• Hãy sử dụng các giải pháp chống phần mềm độc hại và bảo vệ điểm cuối uy tín với khả năng phát hiện mối đe dọa theo thời gian thực.
• Hãy thận trọng khi xử lý các tệp đính kèm email, liên kết và các tệp tải xuống từ các nguồn không rõ hoặc chưa được xác minh.
• Hãy tắt macro trong các tài liệu Office trừ khi thực sự cần thiết và đã được xác minh là an toàn.
• Hãy tránh sử dụng phần mềm lậu, phần mềm bẻ khóa và các nền tảng tải xuống không chính thức.
• Hạn chế quyền quản trị để giảm thiểu tác động của các nguy cơ lây nhiễm tiềm tàng.

Bên cạnh các biện pháp kiểm soát kỹ thuật này, nhận thức về an ninh mạng đóng vai trò quyết định. Cả nhân viên và người dùng cá nhân đều phải hiểu rõ các thủ đoạn lừa đảo, kỹ thuật tấn công phi kỹ thuật và các dấu hiệu cảnh báo phổ biến liên quan đến nội dung độc hại. Phân đoạn mạng và việc thực hiện các nguyên tắc quyền hạn tối thiểu sẽ giúp giảm thiểu hơn nữa khả năng lây lan của mã độc tống tiền trong môi trường tổ chức.

Đánh giá cuối kỳ

Tấn công mã độc tống tiền Strike là một ví dụ điển hình cho sự tinh vi ngày càng tăng của các hoạt động mã độc tống tiền hiện đại. Việc sử dụng mã hóa mạnh, các mối đe dọa đánh cắp dữ liệu và các chiến thuật gây áp lực thời gian quyết liệt nhấn mạnh tầm quan trọng của việc duy trì an ninh mạng toàn diện. Các biện pháp phòng ngừa, sao lưu thường xuyên, hành vi người dùng cảnh giác và phản ứng sự cố nhanh chóng cùng nhau tạo nên hệ thống phòng thủ hiệu quả nhất chống lại các mối đe dọa thuộc loại này.