Mã độc StoneDrill chuyển hướng tấn công sang châu Âu

(17/04/2017)
Cuối tháng 1/2017, các chuyên gia của Kaspersky Lab đã phát hiện mã độc StoneDrill thực hiện tấn công các mạng máy tính của các doanh nghiệp thuộc khu vực châu Âu và có khả năng xóa mọi dữ liệu.
Từ tháng 11/2016, Kaspersky Lab đã phát hiện một đợt tấn công nhằm xoá sạch dữ liệu trên máy tính mới nhắm vào nhiều mục tiêu ở các doanh nghiệp thuộc khu vực Trung Đông. Các phần mềm độc hại được sử dụng trong các cuộc tấn công này là một biến thể của sâu máy tính Shamoon đã tấn công vào hệ thống máy tính của hãng Saudi Aramco và Rasgas vào năm 2012.

Người ta đã phát hiện sâu máy tính này đã được cài đặt suốt bốn năm trước khi bị phát hiện. Ba đợt tấn công của phần mềm độc hại Shamoon 2.0 đã được kích hoạt vào ngày 17/11/2016, ngày 29/11/2016 và ngày 23/1/2017.

Với tên gọi khác là Disttrack, sâu máy tính Shamoon là một phần mềm độc hại phá hoại rất nguy hiểm, có khả năng xoá sạch hoàn toàn dữ liệu lưu trữ trong máy tính của nạn nhân.

Các cuộc tấn công Shamoon 2.0 xảy ra vào tháng 11/2016 với mục đích phá hủy hệ thống bên trong các doanh nghiệp hoạt động trong lĩnh vực kinh tế và trọng điểm ở Ả-rập Xê-út. Có nhiều điểm tương đồng với các cuộc tấn công năm 2012, song hiện nay mã độc này đã được trang bị thêm các kỹ thuật tấn công mới. Trong giai đoạn đầu, kẻ tấn công đánh cắp được các chứng chỉ quản trị mạng máy tính của nạn nhân. Sau đó, mã độc lây lan tới các máy tính bên trong hệ thống. Vào giai đoạn cuối, với một ngày được xác định trước, mã độc thực hiện xoá sạch các dữ liệu trên các máy tính bị nhiễm, làm ngừng hoạt động của hệ thống. Ở giai đoạn này, các tiến trình được diễn ra hoàn toàn tự động, không cần phải nhận lệnh từ trung tâm chỉ huy và điều khiển (C&C).

Trong khi nghiên cứu về mã độc Shamoon 2.0, các chuyên gia cũng phát hiện ra một phần mềm độc hại chưa được biết đến trước đây, đặt tên là StoneDrill. Mã độc StoneDrill được trang bị các  kỹ thuật để tránh bị phát hiện. Ngoài các mục tiêu nghi ngờ tấn công các doanh nghiệp của Saudi Arabia, một nạn nhân của StoneDrill ở Châu Âu đã được quan sát trên Kaspersky Security Network (KSN). Điều này làm cho các chuyên gia phỏng đoán mã độc StoneDrill đang mở rộng hoạt động từ khu vực Trung Đông sang châu Âu.

Một số đặc tính quan trọng của mã độc Shamoon 2.0 (bao gồm StoneDrill):
-  Shamoon 2.0 chứa thêm một môđun của mã độc tống tiền (ransomware);
- Shamoon 2.0 có cả thành phần 32bit và 64bit.

- Các mẫu Shamoon được phân tích vào tháng 1/2017 không thực hiện bất kỳ lệnh và kiểm soát (C&C) truyền từ xa, mà cơ bản tham chiếu từ các máy chủ cục bộ trong mạng của nạn nhân.

-  StoneDrill sử dụng rất nhiều kỹ thuật tránh khỏi sự phát hiện của sandbox.

- Shamoon 2.0 sử dụng các ngôn ngữ tiếng Ả-rập-Yemen;

- StoneDrill đã sử dụng phần lớn ngôn ngữ của Ba Tư.

Theo Tạp chí An toàn thông tin


Tin khác