GandCrab Ransomware được phát hiện nhắm tới các công ty sản xuất

GandCrab Ransomware được phát hiện nhắm tới các công ty sản xuất

May 8, 2019 | vietsunshine

GandCrab từng được biết đến như là một ransomware nhắm mục tiêu của người tiêu dùng, ngày càng được sử dụng trong các cuộc tấn công chống lại doanh nghiệp.

Năm 2018 bị chi phối bởi hai chủng phần mềm độc hại: GandCrab cho người tiêu dùng và SamSam cho doanh nghiệp. Cả hai đều cực kỳ thành công cho các tin tặc – GandCrab với sự phát triển liên tục và chi phí tương đối thấp; và SamSam với khả năng của các nhà phát triển xâm nhập và làm tê liệt các mạng lớn.

Kể từ cuối năm 2018, với bản cáo trạng của Hoa Kỳ về hai công dân Iran vì có liên quan đến SamSam, tất cả đã biến mất. Mô hình kinh doanh của việc lây nhiễm các tổ chức lớn hơn cho khoản thanh toán lớn hơn vẫn hấp dẫn – và GandCrab bắt đầu được sử dụng bởi các chủ thể khác để chống lại doanh nghiệp. Bây giờ Cyberory đã phát hiện một ví dụ mới, với chuỗi lây nhiễm mới, với GandCrab nhắm vào một doanh nghiệp sản xuất chưa được tiết lộ danh tính của Nhật Bản.

Sự cố Norsk Hydro vào tháng 3 năm 2019 cho thấy một cuộc tấn công ransomware thành công chống lại việc sản xuất có thể hiệu quả như thế nào. Mặc dù nó không xâm nhập vào phía OT của các hệ thống của Norsk, nhưng nó vẫn đóng cửa các nhà máy bằng cách phá vỡ các phương tiện kiểm soát chúng. Vụ việc đã khiến hãng thiệt hại khoảng 52 triệu đô la. Tổn thất sẽ cao hơn nhiều nếu ransomware xâm nhập vào phía OT của mạng công ty – như WannaCry đã làm tại nhà sản xuất chip Đài Loan TSMC với khoảng 250 triệu đô la.

Các nhà sản xuất có thể trả vài trăm nghìn đô la thay vì phải đối mặt với chi phí hàng triệu đô la – như Jackson County, Georgia, đã làm khi bị nhiễm ransomware Ryuk.

GandCrab là ransomware dịch vụ (as-a-service). Ngay khi các công ty bảo mật phát triển một bộ giải mã, các nhà phát triển tạo ra một phiên bản mới. Vào thời điểm cuộc tấn công chống lại công ty Nhật Bản, không có cách nào để phục hồi các tệp được mã hóa GandCrab mà không phải trả tiền chuộc (hoặc phục hồi từ các bản sao lưu).

Cuộc tấn công mới này bắt đầu với một tài liệu Văn phòng Hàn Quốc bị nhiễm độc. Chất độc là một macro nhúng và bị xáo trộn được kích hoạt bởi GotF Focus. Trình tải xuống nhiều giai đoạn được giải mã dẫn đến một đối tượng WMI sinh ra một thể hiện cmd.exe với nhiều lệnh hơn. Nó tạo ra một tệp cấu hình INF sử dụng một biến thể của kỹ thuật Squizabledoo (sử dụng cmstp.exe) để bỏ qua Windows AppLocker. cmstp.exe kết nối với pastebin.com để tải xuống một tải trọng thứ cấp – một tập lệnh chứa mã JavaScript được che giấu có chứa GandCrab. Nó được giải mã và bỏ trong runtime.

“URL [pastebin] và nội dung trang dường như không bị phát hiện bởi các nhà cung cấp chống vi-rút trên VirusTotal,” các nhà nghiên cứu cho rằng việc phát hiện cuộc tấn công này đòi hỏi phải phân tích hành vi hơn là phát hiện signature. Ghi chú tiền chuộc được tạo ra bởi một cuộc tấn công thành công nói rằng phần mềm độc hại là phiên bản GandCrab 5.2. Bộ giải mã hiện chỉ khả dụng cho các phiên bản 1, 4 và 5 cho đến 5.1.

Việc sử dụng GandCrab chống lại các doanh nghiệp không phải là dấu hiệu cho thấy sự thay đổi chính sách từ các nhà phát triển, vì cho thuê ransomware là một dịch vụ mà họ cung cấp, nó vẫn có sẵn cho các tin tặc.

“Ngoài ra, vì GandCrab là một mô hình RaaS, các tác nhân đe dọa ‘thuê’ dịch vụ, có thể nhắm mục tiêu bất cứ ai họ muốn. Vì vậy, rất khó để đưa ra ý định/xu hướng tập thể, vì chúng ta đang nói về một số lượng các tác nhân đe dọa tiềm năng, “ Assaf Dahan, giám đốc cấp cao của Cyberory, người đứng đầu nghiên cứu về mối đe dọa. Tuy nhiên, việc áp dụng ngày càng nhiều bởi các tin tặc lành nghề hơn là mối đe dọa mới đối với doanh nghiệp.

“Đã có nhiều doanh nghiệp lớn và các thương hiệu doanh nghiệp dễ nhận biết bị tấn công bởi ransomware trong năm qua, một số trong ngành sản xuất. Nhìn chung, các tác nhân đe dọa đang thực hiện nhiều chiến dịch nhắm mục tiêu chống lại nhiều công ty trên một loạt các ngành công nghiệp. Một tin tặc kiên trì, có động lực cuối cùng sẽ thành công trong việc vượt qua hàng phòng thủ của công ty, khiến cho các doanh nghiệp gặp những mối đe dọa nguy hiểm. Bất kỳ độ trễ đáng kể nào trong thời gian vi phạm và phản hồi đều dẫn đến rắc rối. ” Dahan cho biết thêm.

Nguồn: GandCrab Ransomware Detected Targeting Manufacturing Firm

Xem thêm: Công cụ giải mã Ransomware GandCrab mới được phát hành

Tấn công Ransomware SamSam đã “tống tiền” được gần 6 triệu USD

SamSam và GandCrab minh họa cho sự phát triển của Ransomware

Tags: , ,