Theo công ty an ninh mạng Fortinet, DeathRansom là một chủng mã độc tống tiền (ransomware) mới, có khả năng mã hóa tập tin bằng cách sử dụng một sơ đồ mã hóa cố định.
Tồi tệ hơn, loại mã độc này được hỗ trợ bởi một chiến dịch phân phối hết sức chặt chẽ, khiến rất nhiều người trở thành nạn nhân trong vòng hai tháng qua.
Trường hợp nhiễm DeathRansom đầu tiên được báo cáo hồi tháng 11/2019. Khi đó phần mềm này chỉ được xem như một trò đùa vô hại vì DeathRansom chỉ bắt chước cơ chế hoạt động của mã độc ransomware nhưng lại không mã hóa bất kỳ tập tin nào của người dùng.
Những phiên bản đầu tiên đã bổ sung thêm phần mở rộng vào tất cả những tập tin của người dùng và để lại ghi chú đòi tiền chuộc. Thực tế, trong trường hợp đó người dùng chỉ cần xóa phần mở rộng .wtct được nối thêm vào tập tin là có thể lấy lại quyền truy cập và sử dụng bình thường. Tuy nhiên, chiêu trò này khiến nhiều người bị lừa, nếu vô ý họ sẽ trả tiền cho tin tặc mà không nhận ra tập tin của mình hoàn toàn không bị mã hóa.
Tuy nhiên, giờ đây DeathRansom đã được phát triển thêm những phiên bản mới nguy hiểm và phức tạp hơn, có cách thức hoạt động giống như các loại mã độc tống tiền thực sự.
Theo Fortinet, chủng DeathRansom mới sử dụng kết hợp thuật toán Curve25519 cho sơ đồ trao đổi khóa Elliptic Curve Diffie-Hellman (ECDH), Salsa20, RSA-2048, AES-256 ECB và thuật toán XOR dạng khối đơn giản để mã hóa các tập tin như hình dưới đây.
Các nhà nghiên cứu bảo mật vẫn đang xem xét sơ đồ mã hóa của DeathRansom trên các lỗi thực thi, có vẻ như loại mã độc này đang sử dụng một sơ đồ mã hóa cố định.
Những cuộc điều tra của Fortinet về DeathRansom không giới hạn việc phân tích mã nguồn của loại mã độc mới. Các nhà nghiên cứu cũng tìm thấy một số manh mối về tác giả của phần mềm DeathRansom.
Bằng cách trích xuất các chuỗi từ mã nguồn DeathRansom và những trang web phân phối mã khai thác (payload), Fortinet đã nhận thấy mối liên kết giữa phần mềm DeathRansom với một người chuyên phân phối mã độc, người này có liên quan đến nhiều chiến dịch tấn công mạng trong những năm gần đây.
Fortinet cho biết trước khi tạo và phân phối DeathRansom, tác giả của phần mềm này đã dành nhiều thời gian lây nhiễm những loại mã độc đánh cắp mật khẩu (Vidar, Azorult, Evrial, 1ms0rryStealer) và công cụ khai thác tiền điện tử (SupremeMiner) cho người dùng.
Theo nhiều dữ liệu mà Fortinet tìm thấy trên các diễn đàn hack, anh ta đã dành nhiều năm để phát tán mã độc, trích xuất tên người dùng và mật khẩu từ trình duyệt của họ, sau đó bán lại những thông tin đăng nhập đó trên các trang web đen.
Các nhà nghiên cứu của Fortinet đã lật lại những chiến dịch tấn công mạng bằng mã độc trong quá khứ và tìm thấy nhiều bằng chứng, gồm các biệt danh như scat01 và SoftEgorka, địa chỉ email vitasa01@yandex.ru, số điện thoại mã vùng của Nga và trang web gameshack.ru (có thể của chính tác giả DeathRansom sở hữu và vận hành chứ không phải là một website bị tấn công).
Từ những dữ liệu trên, các nhà nghiên cứu đã tìm thấy hồ sơ trên Iandex.Market, YouTube, Skype, VK, Instragram và Facebook. Tất cả thông tin liên kết về một thanh niên tên Egor Nedugov, sống ở Aksay, một thị trấn nhỏ của Nga.
Những bài đăng trước đây trên các diễn đàn hack tiết lộ Nedugov, hoạt động với biệt danh Scat01, đã đăng một số bài đánh giá về các loại phần mềm độc hại mà anh ta từng sử dụng như Vidar, Evrial và SupremeMiner.
Fortinet rất tự tin đã tìm đúng người đứng sau DeathRansom. Các chuyên gia của công ty cho biết họ đã tìm thấy nhiều hồ sơ trực tuyến từ người đó nhưn g chưa đưa vào báo cáo.
Ngoài ra, theo Fortinet, tác giả của DeathRansom đã phá vỡ một trong những quy tắc ngầm quan trọng của giới tội phạm mạng là: lợi dụng và lừa đảo những người cùng diễn đàn.
“Đó là nguyên nhân khiến hầu hết các tài khoản của anh ta trên các diễn đàn ngầm đều bị cấm”, Fortinet cho biết.
Hiện tại, DeathRansom đang được phát tán thông qua các chiến dịch email lừa đảo. Báo cáo của Fortinet có đính kèm những chỉ số mà các doanh nghiệp có thể đưa vào sản phẩm bảo mật để tránh bị lây nhiễm.
Ngoài ra, công ty an ninh mạng vẫn đang nghiên cứu và phân tích sơ đồ mã hóa của DeathRansom nhằm tìm ra những lỗi có thể xảy ra. Các chuyên gia bảo mật hy vọng có thể tạo ra bộ giải mã miễn phí để giúp đã những nạn nhân bị nhiễm loại mã độc này.