Lại thêm một ransomware nữa thu hút sự chú ý của dư luận khi liên tục thực hiện các cuộc tấn công khai thác máy chủ. Được đặt tên là Lilocked (hay Lilu), ransomware mã hóa các tệp được lưu trữ trên các máy chủ, bao gồm cả máy chủ Linux. Tuy nhiên, cho tới nay vectơ tấn công của ransomware này vẫn còn là một ẩn số.
Ransomware Lilocked tấn công các máy chủ
Nhà nghiên cứu Michael Gillespie đã chỉ ra một biến thể ransomware mới, được xác định là ‘Lilocked’ do chứa phần mở rộng ‘.lilocked’ mã hóa các tệp. Ransomware này bắt đầu hoạt động từ tháng 7 năm nay.
Nhà nghiên cứu đã phát hiện ra ransomware này khi tìm thấy mẫu (sample) của nó trên dịch vụ nhận dạng phần mềm độc hại của mình mang tên ‘ID ransomware’.
Có vẻ mục tiêu của mã độc này là nhắm vào các máy chủ Linux. Bên cạnh đó, Bleeping Computer cho biết ransomware cũng đang tiến hành lây nhiễm cho các trang web và tệp dữ liệu mà họ phân tích.
Tuy nhiên, theo ZDNet, điều này có thể được coi là hiển nhiên vì không phải tất cả các hệ thống Linux đều chạy các máy chủ web. Ngoài ra, nhiều hệ thống bị nhiễm không xuất hiện trong kết quả tìm kiếm của Google.
Chưa xác định được điểm khởi đầu (entry point) của malware
Thật không may là cho tới nay vẫn chưa có nhiều thông tin liên quan đến ransomware Lilu, bao gồm cả cách thức xâm nhập của malware tới các hệ thống mục tiêu.
Một trong những nạn nhân của mã độc Lilocked nghi ngờ rằng rất có thể malware đã khai thác Exim để nhắm mục tiêu vào máy chủ.
Theo các thông tin có được cho tới thời điểm hiện tại, khi xâm nhập vào một thiết bị đích, ransomware bắt đầu mã hóa các tệp với phần mở rộng ‘.lilocked’.
Sau đó, nó đặt một bản sao ghi chú tiền chuộc ‘# README.lilocked’ vào mỗi thư mục mã hóa. Ghi chú này sẽ điều hướng nạn nhân đến trang web Tor của những kẻ tấn công để buộc họ phải trả tiền chuộc.
Trang web này đồng thời cũng yêu cầu khách truy cập nhập một mã khóa (key) được đề cập trong ghi chú tiền chuộc.
Các khoản tiền chuộc vẫn nằm trong khoảng giới hạn trung bình ‘có thể chi trả’, dao động trong khoảng từ 0.01 đến 0.03 Bitcoin (khoảng 100 đến 300 đô la).
Điều khiến Lilu khác biệt so với các ransomware khác là nó không mã hóa các tệp hệ thống. Thay vào đó, về cơ bản nó nhắm vào một tập hợp con nhỏ của các phần mở rộng tệp, chẳng hạn như các tệp .shtml, .jpg và php.ini (như được quan sát từ các mẫu).
Hiện tại, do vẫn chưa xác định được vectơ tấn công của ransomware nên chủ sở hữu của các máy chủ (server owner) cần đảm bảo tăng cường các biên pháp bảo mật tối đa để ngăn chặn nguy cơ có thể xảy ra của các cuộc tấn công này
Thêm bình luận