ransomware CrazyHunter đã nổi lên như một mối đe dọa nghiêm trọng và không ngừng phát triển, nhắm mục tiêu cụ thể vào các tổ chức chăm sóc sức khỏe và cơ sở hạ tầng y tế nhạy cảm. Mã độc được phát triển bằng ngôn ngữ Go này đại diện cho sự leo thang đáng kể về mức độ tinh vi của ransomware.
Nó áp dụng các phương pháp mã hóa tiên tiến và cơ chế phân phối được thiết kế để vượt qua các hệ thống phòng thủ bảo mật hiện đại. Các tổ chức y tế đã trải qua nhiều cuộc tấn công lặp lại, với ít nhất sáu tổ chức được biết đã trở thành nạn nhân của chiến dịch hung hãn này.
Tổng quan về CrazyHunter Ransomware
Trọng tâm của ransomware CrazyHunter vào lĩnh vực chăm sóc sức khỏe đặc biệt đáng lo ngại. Sự gián đoạn hệ thống có thể trực tiếp ảnh hưởng đến việc chăm sóc bệnh nhân. Hơn nữa, các tổ chức này lưu trữ lượng lớn thông tin bệnh nhân nhạy cảm, khiến họ trở thành mục tiêu giá trị để tống tiền.
Theo các nhà phân tích tình báo mối đe dọa của Trellix, ransomware CrazyHunter đã được xác định và theo dõi kể từ khi xuất hiện lần đầu. Các nhà nghiên cứu bảo mật ghi nhận chu kỳ phát triển nhanh chóng và những tiến bộ đáng kể trong các kỹ thuật xâm nhập mạng. Xem thêm chi tiết tại Trellix Blog.
Phương thức Tấn công và Lây nhiễm
Phương pháp tấn công của CrazyHunter thể hiện sự tinh vi về mặt chiến thuật và sự trưởng thành trong hoạt động. CrazyHunter vận hành thông qua một quy trình nhiều giai đoạn được dàn dựng cẩn thận. Quy trình này bắt đầu bằng việc xâm nhập ban đầu thông qua khai thác Active Directory.
Kẻ tấn công tận dụng các mật khẩu tài khoản miền yếu làm điểm khởi đầu. Một khi đã xâm nhập vào mạng, kẻ tấn công sử dụng công cụ SharpGPOAbuse để phân phối payload ransomware. Việc phân phối này được thực hiện thông qua Group Policy Objects (GPO), cho phép lây lan nhanh chóng qua các hệ thống được kết nối.
Mã độc sau đó thực hiện một chuỗi hoạt động phối hợp. Các hoạt động này được thiết kế để vô hiệu hóa các hệ thống bảo mật, mã hóa các tệp quan trọng và duy trì tính bí mật trong suốt vòng đời của cuộc tấn công.
Kỹ thuật Né tránh Phát hiện của CrazyHunter
Điều làm cho ransomware CrazyHunter đặc biệt nguy hiểm là khả năng né tránh các giải pháp bảo mật truyền thống. Mã độc này sử dụng nhiều thành phần vô hiệu hóa phần mềm diệt virus. Nó cũng áp dụng các kỹ thuật thực thi dựa trên bộ nhớ tinh vi và cơ chế mã hóa sao lưu.
Những cơ chế này đảm bảo mã hóa thành công ngay cả khi các phương pháp triển khai chính không thành công. Cơ sở hạ tầng kỹ thuật hỗ trợ CrazyHunter cho thấy các quyết định thiết kế có chủ đích. Mục tiêu là tối đa hóa hiệu quả đồng thời giảm thiểu khả năng bị phát hiện.
Tận dụng Driver dễ tổn thương
CrazyHunter áp dụng phương pháp BYOVD (Bring Your Own Vulnerable Driver). Mã độc này khai thác một driver chống phần mềm độc hại hợp pháp nhưng dễ tổn thương của Zemana, phiên bản 2.18.371.0.
Mục đích là nâng cao đặc quyền và chấm dứt các tiến trình của phần mềm bảo mật. Kỹ thuật này cho phép kẻ tấn công đăng ký mã độc của chúng như một trình gọi tiến trình được ủy quyền. Việc đăng ký được thực hiện bằng cách sử dụng các mã IOCTL cụ thể.
Sau đó, chúng sẽ chấm dứt có hệ thống các giải pháp chống virus đã biết thông qua các yêu cầu chấm dứt tiến trình. Các hoạt động đăng ký driver và chấm dứt này sử dụng các mã giao tiếp cụ thể được thiết kế để vượt qua giám sát bảo mật truyền thống.
Kiến trúc Mã hóa Tinh vi của CrazyHunter Ransomware
CrazyHunter sử dụng kiến trúc mã hóa lai, kết hợp các phương pháp mật mã đối xứng và bất đối xứng. Điều này đảm bảo bảo vệ tệp và hiệu quả đòi tiền chuộc. Mã độc sử dụng thuật toán mã hóa luồng ChaCha20 làm thuật toán mã hóa chính.
Nó hoạt động với một chiến lược mã hóa bán phần đặc biệt thay vì mã hóa toàn bộ tệp. Với mỗi tệp được mã hóa, một byte sẽ được mã hóa tiếp theo là hai byte không được mã hóa. Điều này tạo ra tỷ lệ mã hóa 1:2.
Mô hình cố ý này giúp tăng tốc đáng kể quá trình mã hóa. Nó cho phép xâm nhập nhanh chóng các khối lượng tệp lớn. Đồng thời, nó có khả năng né tránh phát hiện từ các giải pháp bảo mật giám sát các mẫu hoạt động nhập/xuất đĩa. Đây là một mối đe dọa mạng đáng kể.
Bảo vệ Khóa Mật mã
Cơ chế mã hóa bảo vệ các khóa mật mã của nó thông qua Elliptic Curve Integrated Encryption Scheme (ECIES). Đây là một phương pháp mã hóa bất đối xứng cung cấp bảo mật mạnh mẽ với độ dài khóa ngắn hơn so với các thuật toán RSA truyền thống.
Mã độc tạo các khóa ChaCha20 và nonces duy nhất cho mỗi tệp. Sau đó, nó mã hóa các cơ chế bảo vệ này bằng khóa công khai ECIES của kẻ tấn công. Khóa và nonce được mã hóa được thêm vào đầu mỗi tệp.
Điều này làm cho việc giải mã trở nên bất khả thi nếu không có quyền truy cập vào khóa riêng tư tương ứng. Khóa riêng tư này được giữ độc quyền bởi những kẻ điều hành tội phạm. Sự tinh vi trong kiến trúc mã hóa này làm cho các cuộc tấn công mạng của CrazyHunter khó đối phó.
Cấu trúc Tệp Mã hóa và Phục hồi
Các tệp được mã hóa nhận phần mở rộng .Hunter và có định dạng cấu trúc. Định dạng này chứa khóa được mã hóa ECIES, nonce được mã hóa ECIES và nội dung tệp được mã hóa bán phần theo thứ tự tuần tự.
Nền tảng kỹ thuật này đảm bảo rằng các nạn nhân không thể khôi phục dữ liệu đã mã hóa bằng các phương tiện thông thường. Điều này tạo ra các điều kiện để đàm phán tiền chuộc và thu tiền thành công. Việc hiểu rõ cấu trúc này là rất quan trọng để phát triển các biện pháp phòng thủ chống lại ransomware CrazyHunter.
