Biến thể mới nguy hiểm của ransomware GandCrab và CryptoMiner xuất hiện

0

Một khối liên kết ransomware GandCrab và CryptoMiner nguy hiểm nhất từ trước tới nay đang lây lan rộng rãi qua chiến dịch Love_You Malspam từ đầu tháng 1 năm 2019.

Chiến dịch này có tên Love_You Malware Spam hay MalSpam lây lan qua các tệp JavaScript (.js) đính kèm email. Đây là cách được rất nhiều tội phạm mạng sử dụng để phát tán mã độc. Các loại mã độc trong đó bao gồm ransomware GandCrab, công cụ khai thác tiền điện tử Monero (XMRig) và spambot Phorpiex.

Các tệp javascript đính kèm email này sẽ trích xuất ra 1 tệp có định dạng .exe. Tệp này sẽ âm thầm tải về các file độc hại và sau khi hoàn tất, chúng sẽ chạy ngầm trong hệ thống của nạn nhân. Đã có rất nhiều mẫu của loại mã độc mới này được tìm thấy, trong đó có nhiều mẫu đang được tải công khai lên các sandbox. Trong một sanbox công khai có tên “app.any.run”, có tới gần 1200 mẫu đã được tải lên và mức lộ lây lan dường như rất cao.

ransomware-gandcrab-hoat-dong

Phần mềm ransomware GandCrab cùng với CryptoMining dường như sẽ là dạng biến thể mới và cực kỳ nguy hiểm trong năm 2019. Cũng như các ransomware khác, mục đích của GandCrab là mã hóa các tệp trên hệ thống và yêu cầu nạn nhân trả tiền để chuộc lại các dữ liệu. Chúng yêu cầu nạn nhân phải thanh toán bằng tiền ảo, chủ yếu là DASH hoặc Bitcoin vì các loại tiền ảo khó bị theo dõi hơn.

Sự phát triển của ransomware GandCrab

Phiên bản đầu tiên của GandCrab được phát hiện vào đầu năm 2018. Trong vòng 1 tháng, đã có hơn 50.000 thiết bị đã bị nhiễm loại mã độc này. Chúng yêu cầu nạn nhân phải trả tiền chuộc bằng tiền điện tử.

Phiên bản thứ 2 của GandCrab được phát hiện vào tháng 5/2018 với phần mở rộng của tệp “.crab” và sử dụng nhiều tên miền tinh vi hơn như CnC.

GandCrab phiên bản thứ 3 và bản Ransomware 3.1 được tìm thấy vào cuối năm 2018 với nhiều kỹ thuật chống virus hơn.

GandCrab phiên bản thứ 4 đã mang lại nhiều thay đổi trong quá trình hoạt động. Tội phạm mạng sử dụng tiện ích mở rộng mới “.krab” với thuật toán mã hóa mới. Đáng ngạc nhiên là biến thể này không kết nối CnC.

GandCrab phiên bản thứ 5 và bản Ransomware 5.0.4 lại tiếp tục mạng nhiều thay đổi trong các mẫu giao tiếp và rất tiên tiến trong các tiêu chuẩn mã hóa. Vào cuối năm 2018, mã độc này đã gây ra ảnh hưởng với quy mô lớn và số nạn nhân cũng tăng lên đáng kể.

Phần mềm độc hại CryptoMining là gì?

CryptoMining là một phần mềm độc hại khai thác, mã hóa tiền điện tử. Ngày nay, CryptoMining được tội phạm mạng sử dụng rất nhiều nhờ vào khả năng khai thác sức mạnh xử lý của số lượng lớn máy tính, thiết bị thông minh để tạo ra doanh thu bằng cách khai thác tiền điện tử của nó.

Do đó, phần mềm độc hại này đang lây nhiễm và mã hóa nhiều máy tính và các loại thiết bị thông minh. Tội phạm mạng vẫn đang tiếp tục tìm kiếm nhiều cách khác nhau để tạo ra một nhóm gồm nhiều các phần mềm độc hại khác nhau và kết hợp chúng lại để đạt được mục tiêu của mình.

Malspam hoạt động như thế nào?

ransomware-gandcrab-hoat-dong

Nên làm gì để ngăn chặn Malspam này?

  1. Chặn các email với tệp đính kèm “Love”, “Love_You”, “Luv_You”, “Love_You_”, v.v…
  2. Chặn các tệp .js trong email của bạn nếu không cần thiết
  3. Chặn các IoC dựa trên URL và IP tại tường lửa, IDS, cổng web, bộ định tuyến hoặc các thiết bị dựa trên hàng bảo vệ vòng ngoài khác.
  4. Đảm bảo SOC của bạn vẫn đang theo dõi hoạt động của ransomware và các hoạt động bất thường của Powershell Executions.

Các dấu hiện nhận diện Malspam

IP

74.220.215[.]73

78.46[.]77.98

92.63[.]197.48

136.243.13[.]215

138[.]201.162.99

198.105.244[.]228

217[.]26.53.161

 

Domains

gandcrabmfe6mnef[.]onion

icanhazip[.]com

osheoufhusheoghuesd[.]ru

slpsrgpsrhojifdij[.]ru

suieiusiueiuiuushgf[.]ru

www[.]2mmotorsport[.]biz

www[.]bizziniinfissi[.]com

www[.]fliptray[.]biz

www[.]haargenau[.]biz

www[.]holzbock[.]biz

hxxp://92[.]63[.]197[.]48/m/5[[.]]exe

hxxp://92[.]63[.]197[.]48/m/3[[.]]exe

hxxp://92[.]63[.]197[.]48/m/1[[.]]exe

hxxp://92[.]63[.]197[.]48/m/4[[.]]exe

hxxp://92[.]63[.]197[.]48/m/2[[.]]exe

hxxp://92[.]63[.]197[.]48/2[[.]]exe

hxxp://92[.]63[.]197[.]48/1[[.]]exe

 

SHA-256

035ae8f389e0a4cb58428d892123bc3e3b646e4387c641e664c5552228087285

056b7eb0c06645e1f51ed77f4fa18a4bed47135108371a84f0482f141ae0d769

06e61032bccfe0ccd51ddbab480e1eb6392bccb318639ecac0092e96b9d794ad

0a27af16b991cbe0f5445022cb1d752a9144abeede6b8de0055247e6fd6c1698

0de30f9dbe37aea5932e5df85b4f1aa5cefe28f3bffb58d4d8ae40ccd040a4a7

12e3038b2ed0663cba3c6a05ac0a27b61dce694dffc27aafb4cb3f2f229ff6b8

27ac0e9011294c2152d224052280f7fa434df572809a6f96f9a306f3d5c965e3

32ee086fbc82ddd0675c0293656f813493ce6d96d02e0bcbeccee4d1a6adfb20

Bài viết liên quan Bài viết cùng tác giả