Mã độc tống tiền Locky lan truyền qua email đến 23 triệu người dùng

Mã độc tống tiền Locky lan truyền qua email đến 23 triệu người dùng

Đỗ Thị Huệ

Đỗ Thị Huệ

Thứ 7, 02/09/2017 11:30

Sau một thời gian ẩn mình, mã độc tống tiền (ransomware) Locky đã hoạt động trở lại, thông qua hai chiến dịch phát tán biến thể mới qua email và đã bị phát hiện bởi các công ty an ninh mạng.

Lukitus: Gửi 23 triệu email trong 24 giờ
Theo hãng bảo mật Trend Micro, chiến dịch này gửi hơn 23 triệu email chứa biến thể Locky chỉ trong 24 giờ vào ngày 28.8 trên toàn nước Mỹ.
Theo các nhà nghiên cứu, email gửi đi trong cuộc tấn công là vô cùng mơ hồ với các chủ đề tiếng Anh như “please print”, “documents”, “images”, “photos”, “pictures” và “scans”… nhằm cố gắng thuyết phục nạn nhân tải về ransomware.
Email đi kèm tập tin ZIP (nhằm ẩn phần mềm độc hại) có chứa tập tin Visual Basic Script (VBS) nằm bên trong tập tin ZIP phụ. Một khi nạn nhân bị lừa nhấp vào, tập tin VBS sẽ bắt đầu trình downloader tải biến thể Lukitus của Locky nhằm mã hóa tất cả các tập tin trên máy tính mục tiêu và thêm vào [.]lukitus với dữ liệu được mã hóa.
Công nghệ - Mã độc tống tiền Locky lan truyền qua email đến 23 triệu người dùng

Thông báo tấn công từ biến thể Lukitus của ransomware Locky.

 Sau khi quá trình mã hóa kết thúc, phần mềm độc hại sẽ hiển thị thông báo ransomware trên máy tính nạn nhân, hướng dẫn nạn nhân cách tải và cài đặt trình duyệt Tor, sau đó truy cập vào trang web kẻ tấn công để hướng dẫn quá trình thanh toán. Lukitus yêu cầu khoản tiền 0,5 bitcoin (khoảng 2.300 USD) từ các nạn nhân để mở khóa lấy các tập tin.

Chiến dịch tấn công Lukitus vẫn đang được tiến hành và các nhà nghiên cứu cho biết đã cách ly hơn 5,6 triệu email trong chiến dịch ngay sau khi phát hiện. Tuy nhiên, hiện tại Lukitus không thể giải mã được.
Gửi hơn 62.000 email trong 3 ngày
Ngoài ra, các chuyên gia bảo mật còn phát hiện chiến dịch spam khổng lồ hồi đầu tháng 8, gửi hơn 62.000 email rác chứa một biến thể mới của Locky chỉ trong 3 ngày đầu tiên của cuộc tấn công.
Được gọi là IKARUSdilapidated, biến thể này được phân phối bằng cách sử dụng 11.625 địa chỉ IP khác nhau ở 133 quốc gia, được sử dụng như là mạng botnet phát tán cuộc tấn công.
Công nghệ - Mã độc tống tiền Locky lan truyền qua email đến 23 triệu người dùng (Hình 2).

Nội dung email chứa tập tin được cho là chứa ransomware IKARUSdilapidated.

Theo các nhà nghiên cứu bảo mật Trend Micro, đây là cuộc tấn công ransomware lan truyền thông qua email trên quy mô lớn, trong đó mã độc xuất hiện trong một tập tin không xác định.

Cuộc tấn công ban đầu được xác định lần đầu tiên vào ngày 9.8 và kéo dài trong 3 ngày, sử dụng thư điện tử spam chứa một tập tin VBS độc hại. Nếu nhấp vào nó sẽ hoạt động như với trường hợp của Lukitus. Số tiền chuộc mà kẻ tấn công đưa ra cũng là 0,5 bitcoin.
Được biết, hình thức tấn công này đang nhắm tới hàng chục ngàn người dùng trên toàn cầu, với 5 quốc gia mục tiêu hàng đầu gồm Việt Nam, Ấn Độ, Mexico, Thổ Nhĩ Kỳ và Indonesia.
Theo Thanh niên
Cảm ơn bạn đã quan tâm đến nội dung trên. Hãy tặng sao để tiếp thêm động lực cho tác giả có những bài viết hay hơn nữa.
Đã tặng: 0 star
Tặng sao cho tác giả
Hữu ích
5 star
Hấp dẫn
10 star
Đặc sắc
15 star
Tuyệt vời
20 star

Bạn cần đăng nhập để thực hiện chức năng này!

Bình luận không đăng nhập

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.