Một biến thể mới của nhóm ransomware Vega, được đặt tên là Zeppelin , gần đây đã được phát hiện nhắm vào các công ty công nghệ và chăm sóc sức khỏe trên khắp châu Âu, Hoa Kỳ và Canada.

Theo một báo cáo BlackBerry Cylance chia sẻ với The Hacker News, Zeppelin là một ransomware dựa trên Delphi có cấu hình tinh vi, có thể dễ dàng tùy chỉnh để bật hoặc tắt các tính năng khác nhau, tùy thuộc vào đối tượng nạn nhân hoặc theo yêu cầu của kẻ tấn công.

Zeppelin có thể được triển khai dưới dạng EXE, DLL hoặc được ẩn trong trình tải PowerShell và bao gồm các tính năng sau:

· IP Logger — để theo dõi địa chỉ IP và vị trí của nạn nhân

· Startup — để tăng tính bền bỉ trong chiến dịch tấn công

· Delete backups — để ngừng một số dịch vụ nhất định, vô hiệu hóa việc khôi phục file, xóa các bản sao lưu, …

· Task-killer —để hủy các tiến trình được kẻ tấn công chỉ định

· Auto-unlock — để mở khóa các file trong quá trình giải mã

· Melt — để chèn lệnh tự xóa vào notepad.exe

· UAC prompt — để cố gắng chạy ransomware với các đặc quyền leo thang

Dựa trên các cấu hình đã được kẻ tấn công thiết lập từ giao diện người dùng của Zeppelin trong quá trình tạo ransomware binary, mã độc này quét các tệp trên tất cả các ổ đĩa và mạng chia sẻ và mã hóa chúng bằng thuật toán tương tự như các biến thể Vega khác sử dụng.

Các nhà nghiên cứu cho biết: "[Zeppelin] sử dụng kết hợp tiêu chuẩn mã hóa tệp đối xứng (symmetric file encryption) với các key được tạo ngẫu nhiên cho mỗi tệp (AES-256 ở chế độ CBC) và mã hóa bất đối xứng (asymmetric encryption) được sử dụng để bảo vệ khóa phiên (sử dụng triển khai RSA tùy chỉnh, có thể tự phát triển)”.

Bên cạnh việc lựa chọn các tính năng được kích hoạt và các file nào được mã hóa, mã độc Zeppelin cũng cho phép kẻ tấn công cấu hình nội dung của file văn bản thông báo bị nhiễm ransomware để đưa vào hệ thống và hiển thị cho nạn nhân sau khi mã hóa các file. Tất cả các tin nhắn hướng dẫn nạn nhân liên hệ với kẻ tấn công thông qua địa chỉ email được cung cấp và trích dẫn số ID cá nhân của họ.

Để tránh bị phát hiện, Zeppelin ransomware dựa vào nhiều lớp ẩn thân, bao gồm sử dụng các key giả ngẫu nhiên, chuỗi mã hóa, sử dụng mã có kích thước khác nhau, cũng như trì hoãn thực thi để vượt qua các sandbox và đánh lừa cơ chế thực nghiệm (heuristic).

Zeppelin lần đầu tiên được phát hiện cách đây khoảng một tháng khi nó được phát tán thông qua các website chứa mã độc đã bị khai thác (water-holed websites) với PowerShell payload được lưu trữ trên Pastebin website.

Các nhà nghiên cứu tin rằng ít nhất một số cuộc tấn công Zeppelin đã được "thực hiện thông qua MSSP, sẽ có những điểm tương đồng với một chiến dịch tấn công khác gần đây sử dụng ransomware có tên gọi là Sodinokibi ", hay còn được gọi là Sodin or REvil .

Các nhà nghiên cứu cũng đã chia sẻ các chỉ số IoC (Indicators of Compromise) trong bài đăng trên blog của mình. Tại thời điểm viết, gần 30 phần trăm các giải pháp chống vi-rút không thể phát hiện được loại ransomware này.

Để phát hiện và ngăn chặn kịp thời việc bị tấn công lây nhiễm Ransomware, các tổ chức, doanh nghiệp cần phải trang bị giải pháp phát hiện các dấu hiệu bất thường trên hệ thống mạng của tổ chức.
Điển hình trong đó có thể kể đến giải pháp Viettel Endpoint Detection & Response (VCS - aJiant) của Công ty An ninh mạng Viettel với khả năng giám sát, phân tích và phát hiện bất thường trên máy chủ, máy tính.

Công ty An ninh mạng Viettel đang triển khai chương trình trải nghiệm demo và triển khai thử nghiệm miễn phí giải pháp VCS-aJiant trên hệ thống thông tin của các doanh nghiệp và tổ chức tại Việt Nam. Để đăng ký chương trình, mời truy cập: https://ajiant.com và chọn mục "Đăng ký dùng thử"

Nguồn: Lược dịch từ The Hacker News.