Ối giời ơi, vừa phát hiện thêm một con ransomware "chơi lớn" đã bỏ túi hơn 4 triệu USD từ tháng 8 bằng chiêu mã hóa dữ liệu rồi tống tiền kinh điển Nhưng mà điểm đặc biệt là con virus này không phải dạng "bắn súng máy" như mấy đứa bạn ransomware khác đâu nha!
Khác với lũ ransomware thường thấy hay lây nhiễm bừa bãi tất cả các nạn nhân mà nó có thể, thằng này lại "có gu" lắm - chỉ chọn mặt gửi vàng thôi Ransomware này đã bị hai ông lớn CrowdStrike và FireEye bóc phốt rồi đấy.
Theo báo cáo của hai công ty bảo mật này thì ransomware Ryuk chỉ "ưu ái" các doanh nghiệp lớn mà thôi. Nó dựa vào một lỗ hổng bảo mật được tạo ra từ trước, khi mà các công ty này đã bị lây nhiễm một phần mềm mã độc khác tên là Trickbot rồi. Trong khi các doanh nghiệp nhỏ cũng bị Trickbot dính vào, nhưng lại không bị Ryuk tấn công. Chắc vì nghèo quá nên nó... bỏ qua
Công ty bảo mật CrowdStrike gọi đây là cách tấn công "big-game hunting" - chỉ nhắm vào những công ty và doanh nghiệp lớn thôi. Ban đầu, Ryuk dựa vào Trickbot để "thăm dò địa hình", xem hệ thống của công ty như nào và xác định xem họ có đủ "giàu" để chi trả một khoản tiền chuộc khổng lồ hay không.
Sau đó sẽ là thời gian "ủ bệnh" cực kỳ kiên nhẫn ️ Theo CrowdStrike thì phần mềm mã độc này sẽ không vội vàng phá hoại và mã hóa dữ liệu của nạn nhân ngay đâu. Thay vào đó, nó giống như một tên trinh sát để do thám hệ thống quan trọng nhất. Cuối cùng mới thực hiện một cuộc tấn công quy mô lớn, khiến các công ty này không kịp trở tay luôn
Báo cáo của CrowdStrike và FireEye cho rằng Ryuk có mối liên hệ với Nga. Các chuyên gia bảo mật phát hiện thấy một địa chỉ IP tại Nga được sử dụng để tải lên các tập tin chứa mã độc Ryuk và có một vài dấu vết cho thấy các đoạn code được viết bằng tiếng Nga nữa.
Nguồn: gamek.vn