Cảnh báo phát hiện mã độc tống tiền kép VanHelsing cực nguy hiểm

Một chương trình ransomware mới có tên VanHelsing, đang nhanh chóng trở thành mối đe dọa lớn khi tấn công thành công 3 nạn nhân chỉ trong vòng 1 tháng kể từ khi ra mắt vào ngày 7/3.

Được thiết kế dưới dạng dịch vụ ransomware-as-a-service (RaaS), VanHelsing cung cấp các biến thể nhắm vào nhiều hệ điều hành khác nhau, bao gồm Windows, Linux, BSD, ARM và ESXi, với mức giá truy cập cho các nhánh là 5.000 USD.

Theo thông báo từ CYFIRMA - một công ty an ninh mạng (ANM) chuyên về tình báo mối đe dọa (Threat Intelligence) và phân tích rủi ro mạng, chương trình ransomware này lần đầu tiên được phát hiện vào ngày 16/3 khi tin tặc sử dụng nó để mã hóa dữ liệu và thực hiện chiến thuật tống tiền kép.

“Khi được kích hoạt, VanHelsing sẽ thêm phần mở rộng ".vanhelsing" vào các tệp đã mã hóa, thay đổi hình nền máy tính để bàn và để lại ghi chú đòi tiền chuộc có tên "README.TXT" trên hệ thống của nạn nhân,” CYFIRMA cho biết trong một bài đăng trên blog.

Ban đầu, CYFIRMA thông báo rằng, VanHelsing là ransomware nhắm vào hệ điều hành Windows, sử dụng các kỹ thuật mã hóa tiên tiến. Tuy nhiên, chỉ vài ngày sau, Check Point - công ty ANM đa quốc gia của Israel đã phát hiện VanHelsing đang được quảng cáo trên web đen với các biến thể đa nền tảng.

“Nghiên cứu của Check Point phát hiện 2 biến thể ransomware VanHelsing nhắm vào Windows, nhưng theo quảng cáo của RaaS, nó còn cung cấp các phiên bản tấn công Linux, BSD, ARM và ESXi", Check Point tiết lộ trong một bài blog.

VanHelsing cung cấp một bảng điều khiển trực quan giúp đơn giản hóa hoạt động ransomware. Phiên bản mới hơn trong 2 biến thể mà Check Point phân tích - được biên dịch cách nhau 5 ngày - cho thấy “những cập nhật đáng kể”, chứng tỏ ransomware này đang phát triển nhanh chóng.

VanHelsing được nghi ngờ do chương trình này cấm mã hóa các hệ thống tại các quốc gia thuộc Cộng đồng các Quốc gia Độc lập (CIS), một đặc điểm thường thấy ở các nhóm tội phạm mạng Nga.

VanHelsing là một ransomware được viết bằng ngôn ngữ C++ với mức độ tinh vi cao. Theo dấu thời gian biên dịch mà Check Point quan sát, nạn nhân đầu tiên đã bị tấn công ngay trong ngày CYFIRMA phát hiện ra nó.

“Ransomware này chấp nhận nhiều đối số dòng lệnh để kiểm soát quá trình mã hóa, chẳng hạn như mã hóa ổ mạng, ổ cục bộ hay các thư mục và tệp cụ thể", Check Point cho biết thêm.

Ngoài ra, theo ảnh chụp màn hình quảng cáo của VanHelsing mà Check Point công bố, RaaS này cung cấp các tính năng thân thiện với các nhánh như kiểm soát mã hóa, chế độ mã hóa, khả năng tự lan truyền và gỡ lỗi. Các nhánh mới phải trả khoản tiền đặt cọc 5.000 USD để tham gia, trong khi những người có kinh nghiệm có thể gia nhập miễn phí.

“Sau khi khoản tiền chuộc của nạn nhân được xác nhận qua hai lần xác thực blockchain, nhánh sẽ nhận 80% doanh thu, phần còn lại 20% thuộc về nhà điều hành RaaS”, Check Point tiết lộ.

Để ngăn nạn nhân khôi phục dữ liệu, VanHelsing được thiết kế để xóa toàn bộ “Shadow Copies” - bản sao lưu tệp hoặc ổ đĩa do dịch vụ Volume Shadow Copy Service (VSS) của Windows tạo ra.

Theo CYFIRMA, ransomware này hiện đã nhắm vào các công ty trong lĩnh vực chính phủ, sản xuất và dược phẩm tại Mỹ và Pháp. Các chuyên gia khuyến nghị doanh nghiệp áp dụng các biện pháp mã hóa mạnh mẽ, xác thực an toàn, cấu hình hệ thống cẩn thận và đảm bảo sao lưu các hệ thống cùng tệp quan trọng để giảm thiểu rủi ro từ VanHelsing và các mối đe dọa tương tự.