Thông tin về ransomware Bad Rabbit: dụ tải về Adobe Flash để lây nhiễm, đang lây lan ở Nga & Đông Âu

Thông tin về ransomware Bad Rabbit: dụ tải về Adobe Flash để lây nhiễm, đang lây lan ở Nga & Đông Âu

Discussion in 'Đám mây, Dịch vụ trực tuyến' started by bk9sw, 27/10/17. Replies: 42. Views: 15,356.

bk9sw
Theo dõi

Thông tin về ransomware Bad Rabbit: dụ tải về Adobe Flash để lây nhiễm, đang lây lan ở Nga & Đông Âu

Thảo luận trong 'Đám mây, Dịch vụ trực tuyến' bắt đầu bởi bk9sw, 27/10/17. Trả lời: 42, Xem: 15356.

Chia sẻ

  1. bk9sw

    bk9sw Moderator

    Tham gia:
    30/3/08
    Được thích:
    62,987
    Best Answers:
    0
    bk9sw
    VIP
    #1 bk9sw, 27/10/17
    Sửa lần cuối: 28/10/17
    Một loại ransomware mới có tên Bad Rabbit đã xuất hiện và hiện đang bắt đầu lây lan tại Nga và nhiều nước Đông Âu. Loại ransomware này được phát hiện hôm thứ 4 ngày 24 tháng 10 vừa qua khi nhiều tổ chức, doanh nghiệp ở Nga và Ukraine bị tấn công cùng lúc, giống như thảm họa WannaCryPetya cách đây vài tháng. Mặc dù phạm vi tấn công không lớn, quy mô tấn công không dữ dội bằng 2 loại ransomware vừa nêu nhưng chúng ta cũng cần xem qua "Thỏ xấu" cụ thể là gì, nó nguy hiểm tới đâu và chuyện gì đã xảy ra.

    Bắt đầu lây nhiễm vào các hệ thống máy tính của nhiều tổ chức tại Nga và Đông Âu:

    Đang tải Bad Rabbit (4).jpg…
    Ban đầu nhiều tổ chức, doanh nghiệp tại Nga và Ukraine cũng như một số lượng nhỏ tổ chức tại Đức và Thổ Nhĩ Kỳ đã trở thành mục tiêu tấn công của Bad Rabbit. Không lâu sau, các nhà nghiên cứu bảo mật tại Avast cho biết họ cũng đã phát hiện ra loại malware bắt cóc dữ liệu đòi tiền chuộc này tại Ba Lan và Hàn Quốc.

    Công ty nghiên cứu bảo mật của Nga - Group-IB đã xác nhận có ít nhất 3 tổ chức truyền thông tại nước này đã bị Bad Rabbit tấn công và trong cùng thời điểm, công ty truyền thông nổi tiếng Interfax thông báo hệ thống máy tính của họ cũng bị hacker tấn công và dường như bị đánh sập.

    Các tổ chức khác trong khu vực bao gồm sân bay quốc tế Odessa và hệ thống tàu điện ngầm tại Kiev cũng báo bị tấn công trong khi CERT-UA - đội phản ứng khẩn cấp về các vấn đề an ninh máy tính tại Ukraine đã phát đi thông báo "một đợt tấn công bảo mật mới nhằm vào các tài nguyên thông tin của Ukraine" đã xảy ra và lúc này, những báo cáo về Bad Rabbit cũng bắt đầu xuất hiện nhiều hơn.

    Tính đến hiện tại, có gần 200 mục tiêu được Bad Rabbit nhắm đến, nó không hẳn là một cuộc tấn công toàn cầu như WannaCry hay Petya nhưng vẫn gây ra nhiều vấn đề đối với các tổ chức có hệ thống bị lây nhiễm.

    Bad Rabbit không phải là "thỏ" mà là ransomware:

    Đang tải Bad Rabbit (2).png…
    Cũng giống như những loại ransomware khác, Bad Rabbit sau khi lây nhiễm và mã hóa thành công dữ liệu trên máy tính thì màn hình sẽ hiện lên thông điệp quen thuộc cho biết dữ liệu đã bị mã hóa, không thể truy xuất được nữa, không ai có thể phục hồi dữ liệu trừ dịch vụ giải mã của hacker phát tán Bad Rabbit. Ngoài ra, hacker cũng để lại đường link .onion và đảm bảo rằng một khi đã đưa tiền thì nạn nhân có thể lấy lại dữ liệu một cách an toàn.

    Đang tải Bad Rabbit (1).png…
    Nếu như truy xuất vào đường dẫn .onion bằng trình duyệt deep web như Tor Browser thì nó sẽ mở ra một trang thanh toán, có đồng hồ đếm ngược cho biết nếu thanh toán ngay thì chỉ mất 0,05 bitcoin tức 285 đô la Mỹ. Nếu thời gian này hết thì số tiền sẽ tăng lên.

    Theo các nhà nghiên cứu bảo mật thì Bad Rabbit dùng DiskCrypter - một phần mềm nguồn mở hợp pháp để mã hóa toàn bộ ổ cứng. Các khóa mã hóa được tạo bằng CryptGenRandom sau đó được bảo mật bởi mã RSA 2048 rất mạnh.

    "Thỏ Xấu" được phát triển dựa trên Petya/Not Petya:

    Thông điệp được Bad Rabbit để lại khá giống với thông điệp mà các nạn nhân của Petya nhận được khi loại ransomware này phát tán hồi tháng 6. Và không chỉ dừng lại ở thông điệp hay cách bày trí nội dung mà đằng sau đó, nhiều thành phần của Bad Rabbit được cho là rất giống với Petya.

    Các nhà nghiên cứu tại Crowdstrike đã phân tích và phát hiện ra rằng thư viện liên kết động (DLL - dynamic link library) của Bad Rabbit và NotPetya - một biến thể của Petya dùng chung đến 67% mã nguồn, điều này cho thấy 2 loại ransomware này rất giống nhau và tiềm năng được viết bởi cùng một tác giả.

    Bad Rabbit được phát tán thông qua một thông điệp cập nhật Adobe Flash giả mạo:

    Đang tải Bad Rabbit (3).png…
    Cách thức phát tán chính của Bad Rabbit là dụ người dùng truy cập vào các trang web đã bị hack và tải về một file cài đặt. Nó không khai thác lỗ hổng vốn có trên trình duyệt hay các hệ điều hành mà người ghé thăm những trang web đã bị chiếm quyền điều khiển này sẽ được yêu cầu cài đặt hoặc cập nhật Adobe Flash.

    Nghe tới đây hẳn anh em sẽ giật mình bởi chúng ta vẫn thường thấy những bảng thông báo kiểu vậy khi vào những trang web cần dùng Adobe Flash. Như vậy nếu không cảnh giác thì nguy cơ dính Thỏ Xấu rất cao bởi bảng thông báo Flash này thực chất là để mồi chào người dùng nhấn vào, một tập tin có tên tương tự như phần mềm Adobe Flash cũng được tải về, khi nhấp đúp để cài đặt thì Bad Rabbit bắt đầu lây nhiễm.

    Những trang web bị hack chủ yếu đến từ Nga, Bulgaria và Thổ Nhĩ Kỳ, hacker đã tấn công thành phần JavaScript trong HTML body hoặc một tập tin .js có trong trang web.

    Bad Rabbit có thể lây lan trong toàn mạng lưới máy tính qua hình thức brute-force:

    Đang tải Bad Rabbit (5).jpg…
    Sơ đồ các bước lây nhiễm của Bad Rabbit theo phân tích của TrendMicro.
    Cũng giống như Petya, Bad Rabbit cũng tích hợp một thành phần SMB (Server Message Block) cho phép nó lây lan trong mạng máy tính và tấn công các máy khác mà không cần đến sự tương tác của người dùng, theo công ty bảo mật Cisco Talos.

    Cụ thể hơn, Bad Rabbit có thể phát tán một danh sách gồm nhiều tên đăng nhập và mật khẩu đơn giản để tấn công vào các máy khác thông qua hình thức brute-force khi nó bắt đầu lây lan trong hệ thống mạng.Tuy nhiên điều may mắn là Bad Rabbit không khai thác lỗ hổng EternalBlue - một lỗ hổng có trong giao thức SMB của Microsoft vốn được WannaCry sử dụng để phát tán trên quy mô lớn. Cisco Talos cho biết họ vẫn chưa phát hiện bằng chứng cho thấy lỗ hổng này được Bad Rabbit sử dụng để lây nhiễm trong mạng máy tính.

    Bad Rabbit tấn công có chọn lọc:

    Vào thời điểm WannaCry phát tán, hàng trăm ngàn hệ thống máy tính trên thế giới đã bị lây nhiễm. Tuy nhiên Bad Rabbit lại không lây nhiễm theo kiểu đụng đâu nhiễm đó, các nhà nghiên cứu cho rằng nó chỉ lây nhiễm những mục tiêu được chọn.

    Kaspersky Lab cho biết: "Những quan sát của chúng tôi gợi ý rằng Bad Rabbit chủ yếu tấn công vào mạng máy tính của các tập đoàn, doanh nghiệp và tổ chức." Trong khi đó, các nhà nghiên cứu tại ESET nói những chỉ thị trong đoạn mã được hacker tấn công chiếm quyền một trang web có thể xác định người vào trang web đó có phải là đối tượng tấn cộng hay không, sau đó nó sẽ tự động nạp nội dung đánh lừa người dùng tải về malware nếu mục tiêu được chọn.

    Tuy nhiên, tính đến thời điểm này thì vẫn chưa thể hiểu được tại sao Bad Rabbit lại nhằm vào nhiều tổ chức truyền thông tại Nga và Ukraine như vậy?

    Chưa rõ ai đứng đằng sau Bad Rabbit:

    Hiện tại vẫn chưa rõ ai phát tán Thỏ Xấu và tại sao. Nhiều nhà nghiên cứu cho rằng Bad Rabbit cũng giống như Petya, khả năng là từ một nhóm tấn công. Mặc dù vậy họ vẫn chưa thể xác định được động cơ tấn công bởi như trường hợp của Petya hồi tháng 6, kẻ đứng đằng sau có lẽ không bao giờ được xác định.

    Có một điều là nhóm tấn công này khả năng cao không phải của Nga bởi các nhóm hacker thường có xu hướng tránh gây tác động lên quê nhà, ở đây là Nga cũng như nhiều nước Đông Âu.

    Mã nguồn của Bad Rabbit có nhiều thành phần liên quan đến "Game of Thrones"?

    Đang tải Bad Rabbit (1).jpg…
    Chưa rõ ai tạo ra Bad Rabbit nhưng có một điều chắc chắn là người này hẳn là một fan của series phim ăn khách Games of Thrones. Mã nguồn của Bad Rabbit có nhiều thành phần có tên như Viserion, Drogon và Rhaegal. Đây là những con rồng trong tiểu thuyết A Games of Thrones cùng series phim cùng tên.

    Bạn có thể tự bảo vệ mình trước khả năng lây nhiễm Thỏ Xấu:

    Đến lúc này vẫn chưa thể giải mã dữ liệu bị khóa bởi Bad Rabbit ngoài cách đưa tiền chuột cho hacker để lấy khóa giải mã. Mặc dù vậy các nhà nghiên cứu cho rằng nạn nhân không nên trả tiền chuộc dữ liệu bởi hành động này chỉ khiến ransomware phát triển mạnh mẽ hơn mà thôi.

    Nhiều công ty bảo mật cho biết sản phẩm của họ có thể bảo vệ người dùng hiệu quả trước Bad Rabbit nhưng nếu ai không an tâm thì có thể tự mình bảo vệ bằng cách tắt quyền thực thi các tập tin như C:\Windows\infpub.dat và C:\Windows\cscc.dat để ngăn Bad Rabbit lợi dung 2 file này để mã hóa dữ liệu.

    *Mình đã thử tìm 2 file này trong C:\Windows nhưng không thấy, mình đang dùng Windows 10 Fall Creators và BitDefender Internet Security nên khả năng cả 2 file này đã bị ẩn đi, anh em thử tìm xem có không nhé :D.

    Theo: ZDNet
     

    File đính kèm:

    Chia sẻ

    vietchub, Chit Lee, nakheel3 người khác thích nội dung này.
    #1 bk9sw, 27/10/17
    Sửa lần cuối: 28/10/17
  2. Xukaa

    Xukaa Dự bị

    Tham gia:
    21/10/17
    Được thích:
    2
    Best Answers:
    0
    Xukaa
    Trứng
    Flash h ai tải nữa tr
     
    1. Security1

      Security1 Thành viên

      Tham gia:
      31/1/17
      Được thích:
      191
      Best Answers:
      0
      Security1
      Security1 @Xukaa bác cài thử win10 xem có sẵn flash trong đó k ^^
       
    2. bango123

      Tham gia:
      8/3/12
      Được thích:
      1,303
      Best Answers:
      0
      bango123
      TÍCH CỰC
    3. Xukaa

      Xukaa Dự bị

      Tham gia:
      21/10/17
      Được thích:
      2
      Best Answers:
      0
      Xukaa
      Trứng
      Xukaa @Xukaa Máy nhà vẫn còn win 7 :v
       
  3. Security1

    Security1 Thành viên

    Tham gia:
    31/1/17
    Được thích:
    191
    Best Answers:
    0
    Security1
    cứ để avast lo :D
     
    1. bango123

      Tham gia:
      8/3/12
      Được thích:
      1,303
      Best Answers:
      0
      bango123
      TÍCH CỰC
      bango123 @Security1 Nên nhớ công nghệ hack của virus luôn đi trước các biện pháp phát hiện virus :D
       
    2. Security1

      Security1 Thành viên

      Tham gia:
      31/1/17
      Được thích:
      191
      Best Answers:
      0
      Security1
      Security1 @bango123 em sài avast từ thời còn giao diện nghe nhạc mp3 chưa dính bao giờ , trừ khi nó cảnh báo em cố tình mở :D
       
    3. bango123

      Tham gia:
      8/3/12
      Được thích:
      1,303
      Best Answers:
      0
      bango123
      TÍCH CỰC
      bango123 @Security1 Chả liên quan gì cả :D Vì những con đó đã được Avast! phát hiện và đưa vào cơ sở dữ liệu nhận diện (malware definition database) rồi
      Những con malware, ransomware đến khi báo đài đăng rầm rộ mới update, hoặc nếu họ làm tốt thì sau khi malware, ransomware đó phát tán được vài ngày, nhưng như thế là đã có hàng nghìn máy bị dính rồi :D
       
  4. Tonkenn

    Tham gia:
    11/10/15
    Được thích:
    32
    Best Answers:
    0
    Tonkenn
    ĐẠI BÀNG
    Nga ngố bị vậy cũng đáng rồi , nong lây thêm thằng Trung Cộng
     
    rungxanh2901thanhlam thích nội dung này.
    1. utadakenji2136

      utadakenji2136 Dự bị

      Tham gia:
      17/8/15
      Được thích:
      1
      Best Answers:
      0
      utadakenji2136
      Trứng
      utadakenji2136 @Tonkenn @Tonkenn: Nga nó làm gì nhà chú à.
       
    2. NatvPa

      Tham gia:
      12/1/17
      Được thích:
      458
      Best Answers:
      0
      NatvPa
      ĐẠI BÀNG
      NatvPa @@ ict Đọc là biết fan Mỹ rồi.
       
    3. holale

      Tham gia:
      20/7/16
      Được thích:
      311
      Best Answers:
      0
      holale
      ĐẠI BÀNG
      holale @Tonkenn Dạ thưa a mẽo anh ấy còn cướp của giết người gấp mấy lần ngố với tàu
       
      @ ict thích nội dung này.
    4. nightmoonlight

      Tham gia:
      17/5/10
      Được thích:
      591
      Best Answers:
      0
      nightmoonlight
      TÍCH CỰC
      nightmoonlight @Tonkenn Sao thế? Mai nó lây qua bố Mỹ thì chú có nói thế luôn ko? Hay khóc như cháy nhà?
       
  5. J_Android

    J_Android Anh Duong Talents

    Tham gia:
    27/7/09
    Được thích:
    2,827
    Best Answers:
    0
    J_Android
    VIP
    năm hoạt động của ransomware...chắc sẽ còn nhiều biến thể nguy hiểm hơn xuất hiện
     
  6. mkien80

    Tham gia:
    8/6/09
    Được thích:
    262
    Best Answers:
    0
  7. Betakkuma

    Betakkuma Dự bị

    Tham gia:
    13/9/17
    Được thích:
    2
    Best Answers:
    0
    Betakkuma
    Trứng
    Bây giờ Nga nguy hiểm quá các bác nhỉ?
     
  8. xấu-là-cái-tội

    Tham gia:
    3/8/17
    Được thích:
    978
    Best Answers:
    0
    xấu-là-cái-tội
    TÍCH CỰC
    Người dùng bình thường thì né. Còn mấy doanh nghiệp hàng không - truyền thông thì hét 1trUSD họ cũng cắn răng chi, mà hacker chỉ lấy giá khoảng 6tr, sao hiền vậy ? :D
     
    khuong_ND thích nội dung này.
    1. lightness

      Tham gia:
      5/5/10
      Được thích:
      90
      Best Answers:
      0
      lightness
      ĐẠI BÀNG
      lightness @xấu-là-cái-tội Tiền ít nhưng số lượng bị nhiễm nhiều :D
       
      xấu-là-cái-tội thích nội dung này.
  9. BBLand

    Tham gia:
    11/6/17
    Được thích:
    153
    Best Answers:
    0
    BBLand
    ĐẠI BÀNG
    flash vẫn còn ăn sâu nhỉ :|
     
  10. maulanh322

    Tham gia:
    31/1/14
    Được thích:
    2,122
    Best Answers:
    0
  11. kingalex85

    kingalex85 Dự bị

    Tham gia:
    17/6/17
    Được thích:
    0
    Best Answers:
    0
    kingalex85
    Trứng
    vửa cài update flash player xong thì đọc đc bài này. Bác ơi, nếu đúng là đã nhiễm thì nó hiện lên cái thông báo đếm ngược ngay ah? Hay phải tắt đi bặt lại mới bị?
     
    1. ThThLam

      Tham gia:
      13/1/14
      Được thích:
      256
      Best Answers:
      0
      ThThLam
      ĐẠI BÀNG
      ThThLam @kingalex85 tắt nguồn, trùm mền, ủ 3 đêm mới lên men nha bác.
       
      HuynhPhamLamHoang thích nội dung này.
  12. Tuyênnnnn

    Tham gia:
    29/3/16
    Được thích:
    12
    Best Answers:
    0
    Tuyênnnnn
    ĐẠI BÀNG
    Máy mình thấy báo update Java không biết có giống bị Flash hay không?
     
  13. Manh Nam SHBC

    Tham gia:
    26/10/12
    Được thích:
    446
    Best Answers:
    0
    Manh Nam SHBC
    TÍCH CỰC
    Dùng Macbook chay MacOS yên tâm hẳn :D
     
    D.makoto thích nội dung này.
  14. lucasjun

    lucasjun Dự bị

    Tham gia:
    9/8/16
    Được thích:
    2
    Best Answers:
    0
    lucasjun
    Trứng
    Máy mình liên tục mời down flash cho dù mình chưa kết nối mạng cảm thấy nghi nghờ
     
    D.makoto thích nội dung này.
  15. hieuvn12

    Tham gia:
    27/2/11
    Được thích:
    847
    Best Answers:
    0
    hieuvn12
    TÍCH CỰC
    Con này đang tấng công máy mình, tranh thủ comment anh em trước khi bị nó nén hết files. Tạm biện 500 anh em Tinh Tế
     
    Lực Cui 2kk thích nội dung này.
    1. MAIKHA

      Tham gia:
      19/5/10
      Được thích:
      50
      Best Answers:
      0
      MAIKHA
      ĐẠI BÀNG
      MAIKHA @hieuvn12 Ông về khám bác sĩ ngay đi. Nó lây đến ngón tay rồi kìa
       
  16. Tên Hiển Thị

    Tham gia:
    24/8/11
    Được thích:
    182
    Best Answers:
    0
    Tên Hiển Thị
    ĐẠI BÀNG
    Mac có bị k mà có screenshot của máy Mac dính trên bài vậy anh em? Hôm trước cũng vừa có thông báo update flash...
     
  17. @ ict

    Tham gia:
    13/11/13
    Được thích:
    141
    Best Answers:
    0
    @ ict
    ĐẠI BÀNG
    Khả năng từ Mỹ hoặc trung quốc
     
    1. holale

      Tham gia:
      20/7/16
      Được thích:
      311
      Best Answers:
      0
      holale
      ĐẠI BÀNG
      holale @@ ict Dạ con này của anh Ủn nhé. A ấy đang cần tiền làm tên lửa
       
  18. IIIIIIIIIIII

    Tham gia:
    12/8/17
    Được thích:
    5
    Best Answers:
    0
    IIIIIIIIIIII
    ĐẠI BÀNG
    Thỏ hư đã bị nhốt vào chuồng.

    BadRabbit.png
     
    1. Nguyễn Lê Anh Thư

      Tham gia:
      10/6/12
      Được thích:
      787
      Best Answers:
      1
      Nguyễn Lê Anh Thư
      TÍCH CỰC
  19. tuanchuoi01

    Tham gia:
    4/12/11
    Được thích:
    300
    Best Answers:
    0
    tuanchuoi01
    TÍCH CỰC
    Nhìn mã unlock password y như là mã unlock bootloader của các dòng smartphone HTC nhỉ.
     
  20. locls

    Tham gia:
    11/7/11
    Được thích:
    44
    Best Answers:
    0
    locls
    ĐẠI BÀNG
    Mình hay gặp thông báo này và luôn kiếm cách tắt nó, k làm theo, chắc hành xử như vậy nên máy hay bị hành, mà data trỏng có gì đâu mà mấy ảnh dòm ngó, từ đây cần phải để ý hơn nữa, thx mod n `
     

Chia sẻ

Đang tải...