Đúng là khóa bí mật này hoạt động, nhưng mục đích của hành động này vẫn cực kỳ khó hiểu.
Như chúng tôi đã đưa tin, vào cuối tháng 6 gần đây, 1 vụ tấn công dùng ransomware tên gọi NotPetya đã lây lan với mục tiêu chủ yếu là cơ quan, tổ chức tại châu Âu. Sau khi rộng rãi chuyên gia nghiên cứu mã độc này, họ đã đi đến kết luận NotPetya chẳng phải là ransomware, hay ít nhất ko giống như các ransomware khác. Thế nhưng với các động thái mới, với vẻ các kẻ tấn công phức tạp và khó hiểu hơn chúng ta tưởng.
cho thuê máy photo tại hải phòng
thuê máy photocopy tại hà nội giá thấp
dịch vụ cho thuê máy photocopy ở hà nội
Ở đây bắt buộc buộc phải đề cập lại một chút, sở dĩ malware NotPetya có tên gọi như vậy, bởi sự tương đồng sở hữu ransomware Petya từng xuất hiện năm 2016, nhưng lại mang khác biệt ở bí quyết thức mã hóa thông tin. Phương pháp mã hóa này không những sở hữu thể mã hóa nhiều cái file, mà còn có thể qua đó phá hoại ổ cứng của nạn nhân. 1 dấu hiệu nữa giúp nhiều chuyên gia đi tới kết luận không coi Petya là ransomware, đấy là nhóm hacker đằng sau nó sở hữu vẻ không chú ý đến tiền chuộc, cũng như không chú ý đến việc giải mã. Bằng chứng là có rộng rãi người đã gửi tiền chuộc mà không nhận được hồi âm từ chúng, và chúng cũng ko đưa ra phương thức liên lạc khác sau khi liên hệ email ban đầu bị nhà sản xuất ngừng dịch vụ.
Thế nhưng, trong những diễn biến mới nhất chưa rõ mục đích, nhóm hacker này có vẻ lại đang làm cho các điều ngược lại. Vào 5h10 sáng ngày thứ Tư mới đây (giờ Hà Nội), nhóm hacker này đã chuyển tất cả hơn 10.000 USD trong tài khoản Bitcoin sang 1 tài khoản khác. Cộng lúc đó, với 2 giao dịch dạng ủng hộ được gửi đến Pastebin và DeepPaste từ tài khoản này. Các trang web này đều là những nền tảng cho phép người dùng đăng tải thông tin dạng văn bản mà sở hữu thể chia sẻ đa dạng.
Theo dấu này, giới quan sát đã tìm ra được trước ấy, vào 4h20 sáng giờ Hà Nội, ai đấy đã đăng tải thông báo nhận mình là tác nhái của NotPetya trên cả DeepPaste và Pastebin. Nội dung của thông báo bao gồm thông tin shop (dưới dạng địa chỉ 1 phòng chat deep web), bản chiếc file và yêu cầu 100 Bitcoin cho mỗi khóa bí mật để giải mã những ổ đĩa. Chi phí này lớn hơn mức "mang tính minh họa" ban đầu rất nhiều lần, tương đương mang 256.000 USD tại thời điểm viết bài.
Trang Motherboard đã thử liên lạc trong một phòng chat theo đường dẫn các kẻ tấn công đưa ra (hiện phòng chat này đã bị nhóm hacker này tắt), và nhận được giải thích từ 1 người được cho là thành viên của nhóm hacker về tầm giá cao. Theo anh ta nguyên nhân là do "đây là giá cho khóa bí mật với thể giải mã tất cả máy tính". Sau đấy, anh ta chủ động hỏi ngược lại: "Nếu bạn quan tâm mang thể gửi một file bị mã hóa tới, chúng tôi sẽ giải mã miễn phí để chứng minh.".
Ở thời điểm này, đa dạng người vẫn không tỏ ra tin tưởng lắm. Một chuyên gia bảo mật, anh Matt Suiche đến từ Comae Technologies, cho rằng đây chỉ là động thái nhằm "gây nhiễu dư luận" của nhóm hacker này. Theo anh thì chúng chỉ muốn làm đa số người tiếp tục nghĩ đây là ransomware, chứ chẳng phải là 1 malware phá hoại ổ đĩa như giới nghiên cứu nhìn nhận. Bởi vì, dù rằng nhóm hacker cũng đã ghi trong thông báo, nhưng rõ ràng là nếu ổ đĩa bị nhiễm và ảnh hưởng đến phân vùng MBR hay cung khởi động (boot sector) thì không thể được giải mã bằng bất cứ bí quyết nào.
Dù vậy, trang Motherboard cũng thử đồng ý lời bắt buộc từ nhóm hacker này. Họ đã shop sở hữu chuyên gia Anton Cherepanov từ hãng bảo mật ESET để được phân phối file cái. Cherepanov sau ấy đã kích hoạt NotPetya trên một máy ảo, mã hóa một file văn bản Word thông thường, rồi gửi lại cả file đã bị mã hóa và file gốc. Sau đó, file bị mã hóa bởi NotPetya được gửi đến cho hacker. Bạn với thể thấy file bị mã hóa không thể đọc được bởi Microsoft Word như hình dưới đây.
0 nhận xét:
Đăng nhận xét