Ransomware Ebyte tấn công người dùng Windows
Bài viết từ Cybersecurity News bàn về ransomware Ebyte, hiện đang tấn công người dùng Windows. Dưới đây là những điểm chính từ bài viết:
1. Véc tơ lây nhiễm ban đầu:
Ransomware này chủ yếu lây nhiễm người dùng thông qua các email lừa đảo chứa tài liệu Office độc hại, khai thác một lỗ hổng gần đây của Windows (CVE-2025-0142).
2. Các nỗ lực lừa đảo:
Các nỗ lực lừa đảo này mô phỏng các giao tiếp kinh doanh hợp pháp, như nhắc nhở hóa đơn hoặc thông báo vận chuyển từ các đối tác kinh doanh đáng tin cậy, với tỷ lệ thành công bất thường cao.
3. Hành vi của phần mềm độc hại:
Khi được thực thi, phần mềm độc hại thiết lập sự tồn tại thông qua việc sửa đổi registry và lịch trình tác vụ. Nó cũng vô hiệu hóa các công cụ bảo mật và giải pháp sao lưu. Ransomware này thực hiện quét hệ thống toàn diện trước khi mã hóa, ưu tiên các tệp quan trọng cho doanh nghiệp như cơ sở dữ liệu và hồ sơ tài chính.
4. Phương pháp mã hóa:
Ebyte triển khai một hệ thống mã hóa hybrid tinh vi kết hợp ChaCha20 để mã hóa tệp với một khóa 256-bit độc nhất cho mỗi nạn nhân. Khóa này sau đó được mã hóa bằng thuật toán RSA 4096-bit, khiến việc giải mã mà không có khóa tiền chuộc gần như không thể.
5. Quản lý khóa an toàn:
Ebyte tạo khóa mã hóa độc nhất cho mỗi tệp, sau đó các khóa này được mã hóa và lưu trữ trong một cấu trúc tệp tùy chỉnh. Điều này ngăn chặn việc phát triển các công cụ giải mã phổ quát ngay cả khi các nhà nghiên cứu có thể phục hồi các khóa cá nhân từ bộ nhớ.
6. Yêu cầu tiền chuộc và các mối đe dọa:
Các yêu cầu tiền chuộc dao động từ 50.000 đến 2 triệu đô la tiền điện tử Monero. Giấy ghi nợ tiền chuộc đe dọa sẽ công khai dữ liệu đã bị đánh cắp nếu không nhận được thanh toán trong vòng 72 giờ, cho thấy một chiến lược tống tiền kép.
7. Gắn kết và độ tinh vi:
Phân tích pháp y ban đầu cho thấy có thể có liên kết với nhóm kẻ tấn công được biết đến với tên gọi BlackShadow, trước đây đã chịu trách nhiệm cho các cuộc tấn công vào các lĩnh vực y tế và sản xuất. Sự tinh vi của mã và cơ sở hạ tầng cho thấy sự tham gia của nhà nước, mặc dù gắn kết vẫn là bước đầu.
8. Khuyến nghị giảm thiểu:
Các chuyên gia bảo mật khuyến nghị giữ cho hệ thống được cập nhật, triển khai lọc email, duy trì sao lưu ngoại tuyến và triển khai bảo vệ điểm cuối nâng cao để giảm thiểu mối đe dọa mới nổi này.
Tổng thể, ransomware Ebyte là một mối đe dọa cực kỳ tinh vi, tận dụng các kỹ thuật mã hóa tiên tiến và các tính năng chống phân tích để lẩn tránh phát hiện và tối đa hóa khoản thanh toán tiền chuộc.
