Tổng quan về Prince Ransomware
- Builder mã nguồn mở: Prince Ransomware là một công cụ mã nguồn mở được viết bằng ngôn ngữ lập trình Go, được thiết kế để tự động hóa việc tạo ra các cuộc tấn công ransomware với yêu cầu kiến thức kỹ thuật tối thiểu.
- Mã hóa tiên tiến: Công cụ này sử dụng các kỹ thuật mã hóa tiên tiến, bao gồm ChaCha20 và ECIES (Elliptic Curve Integrated Encryption Scheme), đảm bảo mã hóa mạnh mẽ và làm cho việc phục hồi tập tin gần như không thể nếu không có các khóa giải mã.
- Chi tiết hoạt động: Prince Ransomware tạo ra các khóa và nonce ChaCha20 độc nhất cho từng tập tin mà nó mã hóa. Các khóa này sau đó được mã hóa bằng một khóa công khai ECIES và được thêm vào tập tin. Ransomware quét tất cả các ổ đĩa và thư mục trên hệ thống trong khi bỏ qua các tập tin và phần mở rộng bị chặn. Nó mã hóa các tập tin theo một mô hình, mã hóa một byte sau đó để lại hai byte không được mã hóa trước khi thả một thông báo đòi tiền chuộc.
Sự cố tấn công tại Bệnh viện Mackay Memorial
- Chi tiết sự cố: Bệnh viện Mackay Memorial ở Đài Loan đã bị tấn công ransomware, làm tê liệt hoạt động của nó. Những kẻ tấn công ban đầu đã lây nhiễm một số máy tính bằng cách sử dụng thiết bị USB và sau đó đã mở rộng nỗ lực của mình, lây lan sang cơ sở hạ tầng của bệnh viện và mã hóa hơn 600 thiết bị tại hai chi nhánh ở Đài Bắc và Tamsui.
- Ransomware đã sử dụng: Ransomware được sử dụng trong cuộc tấn công này, được gọi là “CrazyHunter”, được tạo ra bằng cách sử dụng builder Prince Ransomware. Điều này cho thấy hiệu quả của Prince Ransomware trong việc tạo điều kiện cho các cuộc tấn công ransomware tinh vi.
Các công cụ và kỹ thuật được sử dụng trong cuộc tấn công
- Các công cụ độc hại: Cuộc tấn công đã liên quan đến một số công cụ độc hại được gói trong tệp có tên “bb2.zip”. Các thành phần chính bao gồm:
- CrazyHunter.exe: Bộ mã hóa ransomware chính được xây dựng bằng builder Prince Ransomware.
- SharpGPOAbuse (gpo.exe): Được sử dụng để di chuyển theo chiều ngang bằng cách khai thác Các Đối Tượng Chính Sách Nhóm (GPOs).
- File.exe: Một công cụ xâm nhập dữ liệu có khả năng hosting các máy chủ tập tin hoặc giám sát và xóa các loại tập tin cụ thể.
- Zemana Anti-Logger Driver (zam64.sys): Bị khai thác bằng kỹ thuật “Mang Driver Dễ Bị Tấn Công của Bạn” (BYOVD) để vô hiệu hóa phần mềm bảo mật.
- Các công cụ né tránh bảo mật: Những kẻ tấn công cũng đã sử dụng các công cụ né tránh bảo mật như “go.exe” và “go2.exe” để kết thúc các quá trình antivirus, khai thác các lỗ hổng trong các driver hợp pháp để có quyền truy cập cấp kernel.
Ý nghĩa và khuyến nghị
- Đạo đức hóa tội phạm mạng: Việc có sẵn Prince Ransomware cho thấy một xu hướng rộng lớn hơn về các công cụ tấn công mã nguồn mở bị lạm dụng cho các mục đích độc hại. Sự đạo đức hóa này của tội phạm mạng đặt ra những thách thức đáng kể cho việc xác định nguồn gốc và phòng thủ.
- Biện pháp bảo mật: Các tổ chức cần ưu tiên phân đoạn mạng, giám sát liên tục và cập nhật kịp thời để giảm thiểu các mối đe dọa tương tự. Đảm bảo các điểm truy cập vật lý như cổng USB và thực hiện các biện pháp bảo vệ đầu cuối mạnh mẽ cũng rất quan trọng.
Kết luận
Sự xuất hiện của Prince Ransomware nêu bật bối cảnh đe dọa ngày càng tiến hóa trong lĩnh vực bảo mật mạng. Tính dễ tiếp cận và các tính năng tiên tiến của công cụ này khiến nó trở thành một công cụ mạnh mẽ cho các tội phạm mạng, nhấn mạnh sự cần thiết của các biện pháp bảo mật mạnh mẽ và sự cảnh giác liên tục trước những mối đe dọa đang phát triển.
