[CEH] Module 7 – Phần 5: Giới thiệu Ransomware và Worm

Để hiểu thêm, mời các bạn tìm đọc bài viết Virus máy tính và phân loại virus hoặc các bài viết thuộc chuyên mục CEH Tiếng Việt.

Ransomware

Giới thiệu

Ransomware là một loại phần mềm độc hại có khả năng hạn chế quyền truy cập vào hệ thống máy tính bị nhiễm và các file cũng như tài liệu quan trọng được lưu trữ trên đó. Sau đó, nó yêu cầu người dùng thanh toán tiền chuộc để có thể khôi phục dữ liệu. Ransomware có thể mã hóa các file trên ổ cứng hệ thống hoặc đơn giản chỉ khóa hệ thống và hiển thị thông điệp nhằm lừa người sử dụng thanh toán tiền chuộc.

Ransomware thường lan truyền dưới dạng Trojan, xâm nhập vào hệ thống qua email có chứa file đính kèm và các phương thức khác. Sau khi được thực thi, ransomware mã hóa dữ liệu của nạn nhân, chỉ có thể được giải mã bởi người lập trình ra ransomware đó. Trong một số trường hợp, người sử dụng bị hạn chế tương tác bằng cách sử dụng một payload đơn giản.

Một số họ ransomware phổ biến:

• Cerber
• RansomEXX
• XingLocker
• NETWALKER
• Conti
• QNAPCrypt
• Thanos
• Maze
• WastedLocker
• Ryuk

Một số ransomware phổ biến

BlackCat

BlackCat là một cuộc tấn công ransomware đáng sợ được viết bằng ngôn ngữ Rust và được biết đến rộng rãi dưới tên gọi ALPHA (AlphaVM, AlphaV). Nó được phát hiện lần đầu vào cuối tháng 11 năm 2021. Ransomware này nhắm vào hầu hết các hệ điều hành từ Windows, Linux đến VMware ESXi. Đây là một ransomware được tạo ra đặc biệt bao gồm 4 quy trình mã hóa và hỗ trợ nhiều thuật toán mã hóa như ChaCha20 và AES. Ransomware này được cung cấp dưới dạng dịch vụ ransomware (RaaS).

Sử dụng BlackCat, hacker có thể nhắm vào các ngành công nghiệp CNTT trên toàn thế giới để đòi tiền chuộc từ nạn nhân dưới dạng Bitcoin và Monero. Cuộc tấn công chủ yếu tập trung vào việc làm đứt kết các thiết bị và tiến trình, ứng dụng, máy ảo trong quá trình mã hóa. BlackCat sử dụng các chiến thuật lừa đảo người dùng bằng cách sử dụng các ứng dụng có lỗ hổng và các bộ công cụ crack để chuyển payload của nó.

BlackMatter

BlackMatter là một ransomware nguy hiểm được viết bằng ngôn ngữ C. Nó được phát hiện vào năm 2021 và được coi là một phần mở rộng của các ransomware đáng sợ khác như DarkSide và REvil. Ransomware này chủ yếu nhắm vào các thiết bị chạy hệ điều hành Windows, nhưng cũng có thể tấn công các thiết bị chạy Linux. Hacker chủ yếu nhắm vào các tổ chức có doanh thu cao, trừ những công ty đã bị tấn công bằng DarkSide và REvil.

Ransomware này sử dụng các khóa mã hóa như khóa công khai RSA và khóa AES để khởi tạo và thực hiện mã hóa Salsa20 trên các file mục tiêu. Quá trình mã hóa được tạo ra theo cách sao cho file đã mã hóa chứa một module giải mã đặc biệt. BlackMatter cũng được cung cấp dưới dạng RaaS, nó còn có thể làm đứt kết các file khác và đóng tất cả các tiến trình và ứng dụng khác đang chạy trong quá trình mã hóa file. Bằng cách sử dụng loại ransomware này, hacker cũng có thể kiểm soát các domain controller, ACL và các UACs khác.

Cách tạo Virus đơn giản

Hacker có thể xâm nhập vào hệ thống bằng cách sử dụng virus theo các bước sau:

• Tạo Virus
• Lan truyền và triển khai Virus

Viết chương trình đơn giản

Các bước sau đây được thực hiện để viết một chương trình virus đơn giản:

1. Tạo một tệp batch Game.bat với đoạn văn bản sau: @ echo off for %%f in (.bat) do copy %%f + Game.bat del c:\Windows*.
2. Chuyển đổi file batch Game.bat thành file Game.com bằng cách sử dụng công cụ bat2com
3. Gửi file Game.com dưới dạng file đính kèm qua email tới nạn nhân
4. Khi nạn nhân thực thi file Game.com, nó sẽ sao chép chính nó vào tất cả các file .bat trong thư mục hiện tại trên máy tính và xóa tất cả các file trong thư mục Windows.

Sử dụng các công cụ tạo Virus

• DELmE’s Batch Virus Maker
• Bhavesh Virus Maker SKW
• Deadly Virus Maker
• SonicBat Batch Virus Maker
• TeraBIT Virus Maker
• Andreinick05’s Batch Virus Maker

Worms

Khái niệm sâu máy tính

Worm máy tính là các chương trình độc hại hoạt động độc lập, tự động sao chép và lan truyền qua mạng mà không cần sự can thiệp của con người. Hacker thường thiết kế worm để sao chép và lan truyền trên mạng, dẫn đến việc tiêu thụ tài nguyên quá mức cũng như làm quá tải các máy chủ khiến chúng không phản hồi và bị nghẽn. Một số worm cũng mang theo payload nhằm gây hại cho hệ thống máy chủ.

Worm là một dạng con của virus. Sau khi Internet phát triển rộng rãi, hacker chủ yếu tập trung vào và nhắm vào hệ điều hành Windows. Hacker sử dụng payload worm để cài đặt backdoor trên các máy tính bị nhiễm, biến chúng thành zombie và tạo thành mạng botnet. Botnet này sau đó được sử dụng để tấn công mạng. Một số worm máy tính mới nhất bao gồm:

• Monero
• Bondat
• Beapy

Sự khác nhau giữa Virus và Worm

Công cụ Internet Worm Maker Thing

Internet Worm Maker Thing là một công cụ mã nguồn mở được sử dụng để tạo ra các worm. Công cụ này đi kèm với một trình biên dịch có thể dễ dàng chuyển đổi virus batch thành một file thực thi để né tránh phần mềm diệt virus hoặc cho bất kỳ mục đích nào khác.