Luna và Black Basta: Mã độc tống tiền mới trên các hệ thống Windows, Linux và ESXi

18:13 | 16/08/2022

Hiện nay, các chiến dịch tấn công sử dụng mã độc tống tiền không chỉ nhắm mục tiêu vào hệ điều hành Windows, mà còn cả trên Linux và hệ thống ảo hóa ESXi. Các nhà nghiên cứu bảo mật của Kaspersky cho biết về sự xuất hiện gần đây của hai dòng mã độc tống tiền có khả năng mã hóa các hệ thống trên là Luna và Black Basta.

Luna: Mã độc tống tiền mới được phát triển bằng Rust

Được phát hiện bởi các nhà nghiên cứu bảo mật của Kaspersky thông qua hệ thống giám sát hoạt động Darknet Threat Intelligence của công ty an ninh mạng này, Luna dòng mã độc tống tiền mới dường như được thiết kế để dành riêng cho các tin tặc Nga.

Kaspersky cho biết: “Một đoạn quảng cáo trên diễn đàn dark web chỉ ra rằng Luna chỉ làm việc với các chi nhánh của Nga. Ngoài ra, ghi chú tiền chuộc được mã hóa cứng bên trong tệp binary mắc một vài lỗi chính tả. Do đó, chúng tôi đưa ra giả thuyết các tin tặc phát triển Luna là những người đến từ Nga. Mã độc Luna thêm phần mở rộng .luna vào tất cả các tệp được mã hóa, với khả năng hạn chế dựa trên các tùy chọn dòng lệnh có sẵn, có thể thấy Luna còn khá đơn giản và vẫn đang trong quá trình phát triển".

Tùy chọn dòng lệnh của mã độc tống tiền Luna

Tuy nhiên, Luna sử dụng một lược đồ mã hóa không phổ biến, kết hợp trao đổi khóa Elliptic Curve Diffie-Hellman X25519 nhanh chóng và an toàn bằng cách sử dụng Curve25519 với thuật toán mã hóa đối xứng Advanced Encryption Standard (AES). Luna được phát triển dựa trên ngôn ngữ đa nền tảng Rust và có thể lây nhiễm sang nhiều nền tảng với rất ít thay đổi đối với mã nguồn, đồng thời tránh các nỗ lực phân tích tĩnh.

Các nhà nghiên cứu của Kaspersky cho biết thêm: “Phiên bản mã độc Luna trên Linux và ESXi đều được biên dịch bằng cùng một mã nguồn, với một số thay đổi nhỏ so với phiên bản Windows. Phần còn lại của mã không có thay đổi đáng kể”.

Vì mã độc Luna mới được phát hiện nên vẫn còn ít dữ liệu về nạn nhân của mã độc tống tiền này, Kaspersky đang tích cực để theo dõi và điều tra thêm về hoạt động của Luna. Với sự xuất hiện của Luna giúp xác nhận thêm rằng xu hướng mới nhất được các băng nhóm tội phạm mạng áp dụng, đó là phát triển mã độc tống tiền đa nền tảng sử dụng các ngôn ngữ như Rust và Golang để tạo ra mã độc hại có khả năng nhắm mục tiêu vào nhiều hệ điều hành với rất ít hoặc không có thay đổi nào.

Black Basta: Hỗ trợ mã hóa một tệp cụ thể

Black Basta là một biến thể mã độc tống tiền tương đối mới được viết bằng C++, phát hiện lần đầu tiên vào tháng 2/2022. Nó tồn tại ở 2 phiên bản, phiên bản đầu tiên dành cho Windows và Linux, phiên bản thứ hai chủ yếu nhắm mục tiêu đến ảnh các máy ảo ESXi.

Một tính năng nổi bật của phiên bản Windows là nó khởi động hệ thống ở chế độ an toàn (safe mode) trước khi mã hóa. Điều này cho phép mã độc tránh bị phát hiện bởi các giải pháp bảo mật, khi nhiều giải pháp trong số đó không hoạt động ở chế độ an toàn. Để bắt đầu ở chế độ này, Black Basta thực hiện các lệnh sau:

C:\Windows\SysNative\bcdedit /set safeboot networkChanges

C:\Windows\System32\bcdedit /set safeboot networkChanges

Đáng chú ý, Black Basta hỗ trợ tùy chọn dòng lệnh “-forcepath” và được sử dụng để mã hóa chỉ các tệp trong một thư mục cụ thể. Bất cứ khi nào Black Basta mã hóa tệp, nó cũng sẽ sửa đổi tên gốc của tệp đó. Các nạn nhân có thể thấy rằng phần lớn các tệp được lưu trữ đều có phần mở rộng tệp “.basta”.

Bên cạnh đó, mã độc này sẽ thay đổi nền màn hình bằng một hình ảnh mới, đồng thời tạo một tệp văn bản có tên là “readme.txt”, với mục đích thông báo và hướng dẫn nạn nhân thực hiện các thao tác để nhận thêm thông tin về các bước xử lý tiếp theo. Trong thông báo này, dữ liệu sẽ được các tin tặc công bố trên trang web chuyên dụng được lưu trữ trên mạng TOR nếu nạn nhân không trả tiền chuộc.

Ghi chú thông báo mã hóa dữ liệu Black Basta của phiên bản trước và hiện tại

Các phiên bản trước của Black Basta chứa một thông báo khác với thông báo hiện đang được sử dụng, cho thấy những điểm tương đồng với ghi chú đòi tiền chuộc được mã độc tống tiền Conti sử dụng. Điều này không quá bất thường bởi vì Black Basta vẫn đang trong chế độ phát triển vào thời điểm đó.

Trong một báo cáo khác được công bố vào tháng 6/2022, Kaspersky đã thảo luận về phiên bản Black Basta trên Linux. Nó được thiết kế đặc biệt để nhắm mục tiêu các hệ thống ESXi, nhưng cũng có thể được sử dụng để mã hóa chung cho các hệ thống Linux, mặc dù điều đó sẽ hơi khó khăn.

Tương tự như phiên bản trên Windows, phiên bản Linux chỉ hỗ trợ một tùy chọn dòng lệnh: “-forcepath”. Khi nó được sử dụng, chỉ thư mục được chỉ định mới được mã hóa. Nếu không có tùy chọn nào được đưa ra, mã độc sẽ mã hóa thư mục “/vmfs/volume”. Cấu trúc mã hóa cho phiên bản này sử dụng ChaCha20 và đa luồng để tăng tốc quá trình mã hóa với sự trợ giúp của các bộ xử lý khác nhau trong hệ thống. Trước khi mã hóa tệp, Black Basta sử dụng lệnh “chmod” để truy cập vào tệp đó.

Thông tin về các nạn nhân được công bố bởi Black Basta cho thấy, nhóm tin tặc này đã tấn công hơn 40 nạn nhân khác nhau trong một khoảng thời gian rất ngắn, trong số đó có các công ty hoạt động trong các lĩnh vực sản xuất, điện tử,… Theo Kaspersky, mục tiêu của Black Basta là một số quốc gia như Mỹ, Australia, các khu vực Mỹ Latinh, châu Âu và châu Á.

Các khu vực tấn công của Black Basta

Phòng tránh các cuộc tấn công mã độc tống tiền

Để bảo vệ bản thân và doanh nghiệp trước các cuộc tấn công bằng mã độc tống tiền, Kaspersky đề xuất và khuyến nghị như sau:

  • Không để các dịch vụ truy cập từ xa (chẳng hạn như RDP) sử dụng mạng công cộng, trừ khi thực sự cần thiết và luôn sử dụng mật khẩu mạnh cho chúng.
  • Tập trung chiến lược phòng thủ vào việc phát hiện các chuyển động ngang hàng và đánh cắp dữ liệu trái phép. Đặc biệt chú ý đến lưu lượng gửi đi để phát hiện các kết nối của tin tặc.
  • Sử dụng các giải pháp bảo mật điểm cuối có thể giúp xác định và ngăn chặn cuộc tấn công trong giai đoạn đầu tiên.
  • Sử dụng các giải pháp Threat Intelligence để nâng cao khả năng kiểm soát an toàn thông tin và khả năng điều tra với dữ liệu liên tục cập nhật.