Mã độc Snatch Ransomware đưa Windows vào chế độ Safe Mode để vô hiệu hóa Anti-virus

Tin Tức

Các nhà nghiên cứu an ninh mạng mới phát hiện ra một biến thể mã độc mới có tên ransomware Snatch, có khả năng tự khởi động lại windows vào chế độ Safe Mode để vô hiệu hóa phần mềm Antivirus, sau đó mới thực hiện mã hóa dữ liệu của nạn nhân.

Khi mà Safe Mode không hề “safe”

Không giống các malware phổ thông, mã độc tống tiền Snatch chạy trong Safe Mode bởi vì trong chế độ đó, hệ điều hành Windows sẽ khởi động với một số lượng hạn chế drivers và dịch vụ, bỏ qua phần lớn các phần mềm tự khởi động của bên thứ ba, bao gồm cả phần mềm diệt virus.

Snatch đã hoạt động từ hè 2018, nhưng các nhà nghiên cứu ở SophosLabs mới chỉ phát hiện ra mã độc tống tiền này thời gian gần đây, khi họ đang điều tra những đối tượng bị ransomware này tấn công.

“Những nhà nghiên cứu tại SophosLabs đã điều tra một loạt các vụ tấn công ransomware mà những ransomware này có thể buộc Windows khởi động lại vào chế độ Safe Mode trước khi bắt đầu quá trình mã hóa dữ liệu của nạn nhân.” SophosLabs cho biết.

Cách hoạt động của ransomware Snatch

“Ransomware Snatch chạy dưới dạng một service [called SuperBackupMan with the help of Windows registry] that will run during a Safe Mode boot.”

“Khi máy tính reboot thành công vào chế độ Safe Mode, mã độc này sử dụng thành phần net.exe của Windows để trỏ tới service SuperBackupMan, sau đó sử dụng thành phần vssadmin.exe để xóa tất cả Volume Shadow Copies trong hệ thống, điều này khiến người dùng không thể sao lưu những dữ liệu đã bị mã hóa.”

Điều khiến Snatch khác biệt và nguy hiểm hơn các loại mã độc tống tiền khác là bản thân Snatch không chỉ là một ransomware, mà nó còn đánh cắp dữ liệu của người dùng. Snatch có chứa một module đánh cắp dữ liệu tinh vi, cho phép kẻ tấn công chiếm được phần lớn dữ liệu của tổ chức bị nhắm tới.

Mặc dù Snatch được viết bằng Go – một ngôn ngữ lập trình đa nền tảng – nhưng phần mềm này chỉ được viết để sử dụng cho Windows.

“Snatch có thể chạy trên các phiên bản Windows phổ biến, từ Windows 7 tới Windows 10, cả 32-bit và 64-bit. Bản mẫu mà chúng tôi tìm thấy cũng được đóng gói với phần mềm đóng gói mã nguồn mở UPX để che đậy đi nội dung của nó,” các nhà nghiên cứu cho biết.

Kẻ chủ mưu kêu gọi hợp tác

Bên cạnh đó, những kẻ tấn công phía sau Snatch ransomware cũng đưa ra lời đề nghị hợp tác dành cho các tội phạm mạng khác và những nhân viên trộm cắp – những người sở hữu tài khoản và cửa hậu (backdoors) tới những tổ chức lớn và có thể sử dụng chúng để phân phối ransomware.

Như trong hình dưới, được chụp lại từ một diễn đàn underground, một thành viên nhóm đăng tải nội dung “tìm kiếm những đối tác affiliate với quyền truy cập vào RDP / VNC / TeamViewer / WebShell / SQL injection vào mạng nội bộ của tập đoàn, các cửa hàng, và những công ty khác.”

Snatch ransomware

Sử dung brute-force hoặc đánh cắp danh tính, kẻ tấn công có thể truy cập vào mạng nội bộ của công ty và chạy các phần mềm quản lý hệ thống hoặc công cụ pen-test hợp pháp, chúng có thể cài đặt ransomware vào toàn bộ các máy thuộc hệ thống network mà không gặp trở ngại nào.

Mạo danh các công cụ hợp pháp

“Chúng tôi cũng tìm thấy nhiều công cụ hợp pháp đã được hacker sử dụng để cài vào những mạng lưới máy tính bị tấn công, cụ thể là Process Hacker, IObit Uninstaller, PowerTool, PsExec. Kẻ tấn công thường sử dụng chúng để hủy kích hoạt phần mềm diệt virus,” các nhà nghiên cứu cho biết.

Coveware, một công ty chuyên thương lượng giữa kẻ tấn công và nạn nhân ransomware, cho biết họ đã từng thương lượng với kẻ đứng sau Snatch “vào hồi giữa tháng Bảy và tháng Mười 2019 dưới danh nghĩa khách hàng của họ” với mức tiền chuộc trong khoảng từ 2.000 USD tới 35.000 USD bằng bitcoin.

Để phòng chống các cuộc tấn công ransomware, các tổ chức được khuyến cáo không để lộ các dịch vụ quan trọng và port (cổng) an toàn trên Internet. Nếu cần thiết, bảo vệ chúng bằng mật khẩu mạnh với xác minh nhiều lớp (multi-factor authentication).