Cảnh báo về các mã độc tống tiền miễn phí trên các trang Web đen.
6 Năm trước 1937

GandCrab ransomware,
Saturn ransomware và Data Kepper ransomware: những ransomware được phân phối
miễn phí thông qua chương trình liên kết Ransomware-as-a-Service (RaaS) trên
các trang Web đen.

1. GandCrab ransomware được phát hiện lần đầu tiên bởi nhà
nghiên cứu bảo mật David Montenegro vào tuần cuối tháng 01/2018. Hầu hết các
nhóm ransomware mã hóa đều sử dụng Bitcoin làm phương thức thanh toán tiền
chuộc, và một số trường hợp nhiễm ransomware đã được chuyển sang Monero hoặc
Ethereum.

Tuy nhiên, đây là
lần đầu tiên GandCrab thay đổi tiền chuộc và chấp nhận đồng tiền DASH (
GandCrab hiện đang yêu cầu tiền chuộc 1,54 DASH, tương đương 1.170 USD giá hiện
tại). GandCrab ransomware được phân phối thông qua một chiến dịch chống độc hại
gọi là Seamless, khi khách truy cập vào bộ công cụ phần mềm RIG exploit kit,
phần mềm độc hại sẽ sử dụng các lỗ hổng trong phần mềm của khách truy cập để
cài đặt GandCrab mà không cần sự cho phép. Ngoài ra GandCrab sử dụng các tên
miền .bit này làm địa chỉ cho các máy chủ Command & Control. Khi mã hóa các
tập tin, GandCrab ransomware sẽ nối thêm phần mở rộng .GDCB vào tên của tập tin được mã hóa.

Nhà nghiên cứu về an
ninh David Montenegro còn phát hiện ra rằng GandCrab được rao bán trên một diễn
đàn tội phạm mạng khét tiếng dành cho những người sử dụng tiếng Nga, và cũng
được cung cấp qua RaaS.

 

2. Saturn ransomware được phát hiện vào trung tuần tháng
02/2018, tác giả ransomware này cho phép bất cứ ai cũng có thể trở thành nhà
phân phối ransomware miễn phí thông qua chương trình liên kết
Ransomware-as-a-Service (RaaS). Cổng RaaS mới này cho phép truy cập dễ dàng và
tạo ra phiên bản mới của Saturn, bên cạnh đó những ai phân phối đều phải đăng
ký vào cổng thông tin mới này được lưu trữ trên Dark Web, Saturn RaaS này đang
áp dụng mô hình kinh doanh nhị phân và không nhất thiết phải trả tiền cho tác
giả của Saturn ransomware. Saturn ransomware sẽ nối thêm phần mở rộng .saturn vào tên của tập tin được mã
hóa.

Trích dẫn tạo ransomware của Saturn: Người dùng tạo ra
01 tập tin đó trong giao diện Saturn RaaS, sau đó nhúng tệp vào các tệp khác
như EXE, Office, PDF...hoặc các tài liệu khác. Các tệp này sau đó được gửi đến
người dùng như là một phần của các chiến dịch email spam hoặc các chiến dịch
quảng cáo độc hại. Đây là phương pháp phân phối ransomware phổ biến nhất. Nạn
nhân nhiễm bệnh sẽ phải trả lệ phí giải mã trên cổng thanh toán của Saturn tại:
su34pwhpcafeiztt[dot]onion. Số tiền chuộc này sẽ được vào tài khoản Bitcoin của
chính tác giả Saturn ransomware. Nhưng nếu tệp tin gây hại cho nạn nhân được
tạo ra trên cổng RaaS, người dùng đã tạo tệp tin và truyền phát cho nạn nhân sẽ
nhận được 70% tổng số thanh toán, trong khi người tạo Saturn giữ 30% (Trích dẫn
của tác giả Saturn ransomware: Sau khi đăng nhập vào tài khoản của bạn, tạo ra
virus mới và tải về nó. Với loại vi-rút bạn vừa tạo ra, bạn đã sẵn sàng bắt đầu
lây nhiễm cho mọi người. Bây giờ, đây mới phần quan trọng, 70% bitcoin được trả
bởi nạn nhân sẽ được ghi có vào tài khoản của bạn, ví dụ: nếu bạn đã chỉ định
300 đô la là một khoản tiền chuộc, bạn sẽ nhận được 210 đô la chúng tôi sẽ nhận
được 90 đô la) Hệ thống chi trả 70% -30% của Saturn ngang với chương trình
thanh toán Cerber RaaS, một trong những hoạt động ransomware lớn nhất hiện nay.

           

3. Data Keeper ransomware là loại ransomware
thứ ba được cung cấp như là một sản phẩm RaaS trong tháng 02/2018. Hai ngày sau
tác giả tạo ra Data Keeper và bắt đầu quảng cáo Ransomware-as-a-Service (RaaS)
trên Dark Web, các dòng ransomware được tạo ra trên cổng này đã được phát hiện
trong môi trường tự nhiên và lây nhiễm vào các máy tính của người dùng thực.

Cũng giống như
Saturn RaaS, Data Keeper RaaS cho phép mọi người đăng ký dịch vụ và cho phép họ
tạo ra các chương trình nhị phân ngay lập tức, mà không phải trả phí để kích
hoạt một tài khoản.

So với GandCrab, Saturn thì Data Keeper ransomware mã hóa
được trong môi trường .NET và sử dụng PsExec (một công cụ quản trị từ xa dựa
trên dòng lệnh) Data Keeper sử dụng PsExec để thực hiện việc mã hóa trên các
máy khác trên mạng LAN của nạn nhân. Các tệp tin được mã hóa bằng thuật toán
AES và RSA-4096 kép. Trình lưu trữ dữ liệu cũng liệt kê và cố gắng mã hóa tất
cả mạng chia sẻ mà nó có thể truy cập. Data Keeper không thêm một phần mở rộng
đặc biệt vào cuối các tập tin bị mã hóa, như vậy nạn nhân sẽ không thể  biết được các tập tin được mã hóa trừ khi họ
cố mở nó. Phí tiền chuộc cũng có thể được cấu hình trong RaaS, vì vậy giá trị
tiền chuộc cũng sẽ khác nhau từ các nạn nhân khác nhau. Người sử dụng bị nhiễm
bệnh được yêu cầu phải truy cập vào Dark Web URL để biết thêm thông tin về các
bước cần thiết để trả lệ phí chuộc và nhận được công cụ giải mã để mở khóa các
tệp tin của họ. Như vậy nếu Data Keeper truyền nhiễm vào hệ thống máy tính của
một công ty, nạn nhân sẽ phải trả tiền để mở khóa từng máy tính một, điều này
có nghĩa là một nhiễm trùng đơn giản có thể đạt đến một chi phí đáng kinh ngạc
cho một số công ty nếu không có bản sao lưu dự phòng để phục hồi dữ liệu.


(Panel đăng nhập Cổng Data Keeper RaaS) 

 BRAIN là người viết
chương trình (hay còn gọi là tác giả) tạo ra Ransomware và chỉ có người này mới
có quyền quyết định mở khóa dữ liệu đó hay không. BRAIN thông qua các trang Web
đen để quảng cáo và tuyển dụng những kẻ có âm mưu xấu khác gọi là HOST, các
HOST có trách nhiệm phân tán (phân phối) ransomware đến các nạn nhân, khi nạn
nhân thanh toán tiền chuộc về BRAIN thì các HOST sẽ được trích % hoa hồng từ số
tiền này tùy thuộc BRAIN quyết định.
Luật Hình sự sửa đổi và bổ sung đã được Quốc hội chính
thức thông qua, trong đó các điều khoản liên quan đến tội phạm công nghệ cao
cũng đã được điều chỉnh, trường hợp người nào cố ý phát tán virus, chương trình
tin học có tính năng gây hại cho mạng máy tính, mạng viễn thông, mạng Internet,
thiết bị số gây hậu quả đặc biệt nghiêm trọng hoặc làm xâm phạm đến hệ thống dữ
liệu thuộc bí mật nhà nước; hệ thống thông tin phục vụ an ninh, quốc phòng… có
thể được kết án với mức xử phạt từ 200 triệu đồng, bị phạt tù từ 5 năm đến 12
năm.