Nguyễn Văn Hưởng » Không gian mạng » Phát hiện biến thể mới của KillDisk nhắm vào ngân hàng

(Không gian mạng) - Ngày 07/06, hãng bảo mật Trend Micro (Nhật) cảnh báo phát hiện một biến thể mới của mã độc phá hủy dữ liệu KillDisk xuất hiện vào đầu năm nay, tấn công vào các tổ chức tài chính tại Châu Mỹ Latinh.

killdisk+component+display

KillDisk là mã độc từng được sử dụng trong vụ tấn công mạng lưới điện Ukraine vào tháng 12/2015 do nhóm APT BlackEnergy (Nga) gây ra.

Vào tháng 12/2016, các nhà nghiên cứu tại hãng bảo mật CyberX cũng đã phát hiện ra một biến thể của KillDisk thực hiện các tính năng của một mã độc tống tiền (ransomware).

Vào tháng 5, các chuyên gia tại Trend Micro quan sát thấy một mã độc xóa bản ghi khởi động chủ (MBR) ở châu Mỹ Latinh, mã độc đã lây nhiễm vào các hệ thống của một ngân hàng và gây ảnh hưởng nghiêm trọng đến hoạt động của hệ thống.

Theo các chuyên gia, hacker đã thất bại trong cuộc tấn công vì mục tiêu cuối cùng của chúng là nhằm đạt quyền truy cập vào mạng SWIFT.

“Tháng 5, chúng tôi phát hiện một mã độc xóa bản ghi khởi động chủ (MBR) trong cùng một khu vực. Một trong những tổ chức bị ảnh hưởng là một ngân hàng, khiến hệ thống ngân hàng không hoạt động được trong vài ngày, do đó làm gián đoạn hoạt động trong gần một tuần và hạn chế dịch vụ cho khách hàng”, theo báo cáo phân tích của Trend Micro.

“Phân tích của chúng tôi chỉ ra rằng cuộc tấn công chỉ được sử dụng để gây gián đoạn – còn mục tiêu cuối cùng là truy cập vào các hệ thống kết nối với mạng SWIFT nội bộ của ngân hàng”.

Các nhà nghiên cứu xác định rằng mã độc này là một biến thể của Killdisk nhờ vào thông báo lỗi được hiển thị bởi các hệ thống bị ảnh hưởng.

Mã độc được tạo ra nhờ Nullsoft Scriptable Install System (NSIS), một ứng dụng mã nguồn mở được sử dụng để tạo ra các chương trình cài đặt.

Mẫu mã độc này được tác giả đặt tên là “MBR Killer” vì nó có chứa khả năng xóa sạch phần đầu tiên này của ổ đĩa.

Mã độc được bảo vệ bởi VMProtect, một công cụ được sử dụng để ngăn chặn kỹ thuật đảo ngược mã trong máy ảo.

Mẫu không để lộ bất kỳ kết nối nào với cơ sở hạ tầng máy chủ ra lệnh và kiểm soát (C&C) và không cũng không có biểu hiện giống như ransomware.

“Chúng tôi không tìm thấy bất kỳ biểu hiện mới và đáng chú ý nào khác trong mẫu chúng tôi có. Không có cơ sở hạ tầng liên lạc (C & C) rõ ràng, hoặc các thói quen giống như phần mềm ransomware. Không có dấu hiệu nào về hành vi liên quan đến hệ thống mạng trong mã đôc này”, Trend Micro cho biết.

Phần mềm độc xóa tất cả ổ cứng trên hệ thống bị nhiễm, nó lấy được phần handle của ổ cứng và ghi đè lên phần đầu tiên của đĩa (512 byte) bằng “0x00”, sau đó tắt máy.

“Các khả năng phá hoại của mã độc này có thể làm cho máy không thể hoạt động, cho thấy tầm quan trọng của công tác phòng vệ đa tầng: bảo mật từng lớp cơ sở hạ tầng CNTT của tổ chức, từ cổng và điểm cuối cho tới hệ thống mạng và máy chủ”, Trend Micro kết luận.

Lâm Quang Dũng (Lược dịch từ: Security Affairs)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@nguyenvanhuong.org