RANSOMWARE – BE AWARE [MAKOP]
Makop Ransomware là một nhánh của biến thể ransomware PHOBOS và hoạt động theo cấu trúc liên kết. Có thông tin cho rằng Makop Ransomware đang tích cực nhắm mục tiêu vào nhiều doanh nghiệp, tổ chức, trong đó gồm cả các tổ chức hoạt động trong các lĩnh vực trọng yếu. Trong bài viết này, hãy cùng phác thảo các kiểu tấn công đã được xác định của ransomware Makop và khám phá tệp thực thi được các nhánh của Makop sử dụng, từ đó rút ra những cách phòng chống các cuộc tấn công mã hóa dữ liệu hiệu quả nhất.
-
Nguồn gốc của Makop Ransomware
Makop Ransomware ban đầu được quảng cáo trên một diễn đàn dark web vào tháng 1 năm 2020 bởi một cá nhân sử dụng tên “Makop” như một chương trình Ransomware-as-a-Services (RaaS). Các tính năng đáng chú ý mà Makop quảng cáo cho các chi nhánh liên kết bao gồm:
- Các chi nhánh có thể chọn phần mở rộng tên tệp của các tệp được mã hóa (Ví dụ: “.makop”, “.mkp” hoặc các tên khác )
- Mã độc tạo một ID duy nhất cho mỗi hệ thống bị mã hóa trong mạng chung của tổ chức
- Các chi nhánh có thể chọn số tiền chuộc tùy chỉnh
-
Cơ chế lây nhiễm
Phần mềm tống tiền Makop tận dụng các kỹ thuật khác nhau để xâm nhập vào mạng của các tổ chức và đưa các payload vào. Các vector tấn công phổ biến nhất bao gồm khai thác các hệ thống kết nối với internet và giao thức điều khiển máy tính từ xa (RDP), email lừa đảo có chứa tệp đính kèm có mã độc (chúng thường sử dụng phần mở rộng tệp bất thường để vượt qua trình quét email). Ransomware Makop cũng có thể được phân phối qua các kênh tải xuống đáng ngờ như các trang web lưu trữ tệp miễn phí và không chính thức, mạng chia sẻ ngang hàng (P2P), …
Sau khi xâm nhập thành công, Makop sẽ sử dụng hỗn hợp các công cụ tùy chỉnh và có sẵn sao để tiến hành các hoạt động của mình:
- PowerShell: tải xuống và thực thi một tập lệnh hàng loạt trên hệ thống
- exe: quét mạng và tìm kiếm các thư mục được chia sẻ
- exe: tìm kiếm tên tệp hoặc tạo danh sách tệp
- exe: chặn các thao tác nhập từ chuột
- exe: tấn công brute-force RDP
- Tập lệnh hàng loạt: vô hiệu hóa và xóa các bản sao Volume Shadow
- exe: tệp thực thi phần mềm tống tiền
- RDP: di chuyển ngang hàng trong hệ thống
Các tác nhân đe dọa này cũng được biết đến là tận dụng PuTTY, Mimikatz, YDArk, Advanced Port Scanner và PsExec để thực hiện các cuộc tấn công.
-
Mã hóa
Một trong những tệp thực thi đã được xác định của Makop Ransomware là tệp thực thi mã hóa có GUI tích hợp trên VirusTotal. Mẫu này giải mã các chuỗi trong thời gian chạy để làm cho việc phân tích tĩnh trở nên khó khăn. Nó bao gồm tên thư viện, tên API, chuỗi được sử dụng để thực hiện các thao tác trong khi thực thi và các chuỗi tạo nên ghi chú ransomware.
Makop Ransomware sử dụng thuật toán AES-256 để mã hóa tệp sau đó đổi tên tệp theo định dạng sau:
File_Name.Extension.[8-Character_ID].[Email_Address].mkp
-
Lời khuyên từ chuyên gia HTI Services
- Duy trì sao lưu dữ liệu ngoại tuyến và thường xuyên cập nhật các bản sao lưu.
- Triển khai xác thực đa yếu tố cho tất cả các dịch vụ trong phạm vi có thể, đặc biệt là đối với webmail, hệ thống máy ảo và các tài khoản truy cập vào các hệ thống quan trọng.
- Cân nhắc hạn chế/vô hiệu hóa các hoạt động và quyền của các dòng lệnh và tập lệnh.
- Vô hiệu hóa Kết nối máy tính từ xa, sử dụng các tài khoản có ít đặc quyền nhất. Đảm bảo ghi nhật ký và cấu hình RDP phù hợp.
- Kiểm tra thường xuyên tính toàn vẹn của thông tin được lưu trữ trong cơ sở dữ liệu.
- Triển khai hệ thống xác thực email để ngăn chặn thư rác và hỗ trợ phát hiện email giả mạo.
- Áp dụng white list/Triển khai nghiêm ngặt chính sách hạn chế phần mềm để chặn các tệp nhị phân chạy từ đường dẫn %APPDATA% và %TEMP%. Mẫu phần mềm độc hại thường được thả và thực thi từ các vị trí này.
- Duy trì phần mềm diệt virus được cập nhật trên toàn bộ hệ thống.
- Thực hiện định kỳ việc đánh giá lỗ hổng, kiểm tra xâm nhập và kiểm toán bảo mật thông tin của các mạng/hệ thống quan trọng, đặc biệt là máy chủ chứa cơ sở dữ liệu.
HTI Services cung cấp Dịch vụ Tư vấn giải mã dữ liệu bị mã hóa được thực hiện bởi những chuyên gia đã có nhiều năm kinh nghiệm trong lĩnh vực Pháp y kỹ thuật số điện tử, Bảo mật dữ liệu, Phân tích mã độc, Điều tra tội phạm công nghệ cao. Sau khi kiểm tra và đánh giá tình trạng hệ thống, các chuyên gia của HTI Services sẽ đưa ra các phương án giải mã phù hợp, đảm bảo an toàn tối đa cho khách hàng cũng như toàn vẹn dữ liệu.
Liên hệ Hotline 0928.765.688 để được tư vấn chi tiết.