Chiến dịch WannaCry Ransomware: Threat Intelligence và Risk Management (vi) FireEye Inc

ryuk-ransomware-hospitals-39t06g9c3nw2bkm17d9p1m.jpg

Ghi công

Một số kịch bản phân bổ tiềm năng cho các hoạt động WannaCry hiện đang khả thi. Chúng tôi tiếp tục khám phá tất cả các trường hợp phân bổ có thể có.

Tội phạm mạng có động cơ tài chính thường chịu trách nhiệm cho các hoạt động ransomware, với nhiều tác nhân như vậy hoạt động độc lập trên khắp thế giới; tuy nhiên, cho đến nay không có tác nhân nào trong số này được xác định là ứng cử viên mạnh mẽ cho hoạt động WannaCry.

>>> Chi tiết: https://digitalfuture.vn/ransomware-wannacry-la-gi

Một số khía cạnh trong hoạt động của WannaCry cho thấy rằng những kẻ điều hành có thể không tinh vi và có thể không lường trước rằng phần mềm độc hại sẽ lây lan rộng rãi như nó đã làm. Một khía cạnh như vậy là chức năng killswitch đã nói ở trên. Các nhà phát triển phần mềm độc hại tinh vi, đối mặt với các cuộc đấu tranh với các biện pháp đối phó bảo mật, có thể đã thấy trước rằng chức năng này sẽ đe dọa đến sự thành công của phần mềm độc hại. Một khía cạnh khác là các khoản thanh toán tiền chuộc được xác định là tương đối thấp cho đến nay, cho thấy hệ thống thanh toán của các nhà khai thác có thể chưa được trang bị để xử lý kết quả của tất cả các trường hợp lây nhiễm trên toàn thế giới.

Nhiều bài đăng mã nguồn mở tuyên bố rằng Triều Tiên có thể tham gia vào chiến dịch này. Dựa trên phân tích ban đầu của FireEye, các điểm tương đồng mã được trích dẫn giữa phần mềm độc hại có liên quan đến Bắc Triều Tiên và WannaCry thể hiện một lỗ hổng tiềm năng đáng để điều tra thêm, nhưng không đủ duy nhất, bất kể bằng chứng khác rõ ràng chỉ ra các nhà khai thác phổ biến.

Xem phần cuối của bài đăng để biết danh sách MD5 có liên quan, URL, trang Tor, tệp thực thi, khóa đăng ký, tệp đã tạo, chuỗi tệp, quy trình đã bắt đầu và chữ ký SNORT.

Dưới đây là blog ban đầu được xuất bản vào ngày 15 tháng 5.

Kể từ ngày 12 tháng 5 năm 2017, đã có một chiến dịch ransomware WannaCry hoành tráng ảnh hưởng đến các tổ chức trên khắp thế giới. Phần mềm độc hại WannaCry (hay còn gọi là WCry hoặc WanaCryptor) là phần mềm ransomware tự lan truyền (giống sâu) lây lan qua mạng nội bộ và qua Internet công cộng bằng cách sử dụng lỗ hổng trong giao thức Microsoft Server Message Block (SMB). Phần mềm độc hại appensa các tệp dữ liệu được mã hóa với. Tiện ích mở rộng WCRY, gặp sự cố và thực hiện một công cụ giải mã và yêu cầu $ 300 hoặc $ 600 USD (thông qua Bitcoin) để giải mã dữ liệu. Phần mềm độc hại sử dụng các kênh được mã hóa Tor để giao tiếp chỉ huy và điều khiển (C2).

Dựa trên phân tích của chúng tôi, các tệp trôi dạt độc hại liên quan đến hoạt động WannaCry bao gồm hai thành phần khác nhau, một trong số đó cung cấp chức năng của ransomware – hoạt động rất giống với các mẫu phần mềm độc hại WannaCry được báo cáo trước ngày 12 tháng 5 – và một thành phần được sử dụng để phân phối, chứa chức năng để thảo luận về khả năng quét và khai thác SMB.

Do sự lây lan nhanh chóng và hiệu quả của loại virus ransomware này, FireEye iSIGHT Intelligence tin rằng hoạt động này gây ra rủi ro đáng kể cho tất cả các tổ chức sử dụng máy Windows có khả năng bị tấn công.

Vector truyền nhiễm

WannaCry khai thác lỗ hổng SMB của Windows để lan truyền sau khi nó đã tạo được chỗ đứng trong môi trường. Cơ chế phân phối này có thể phân phối phần mềm độc hại trên cả mạng bị xâm nhập và qua Internet công cộng. Khai thác được sử dụng có tên mã là “EternalBlue” và được hợp nhất bởi Shadow Brokers. Một lỗ hổng có thể khai thác đã được vá trong Microsoft MS17-010.

Dựa trên phân tích của chúng tôi, phần mềm độc hại tạo ra hai luồng. Luồng đầu tiên liệt kê các bộ điều hợp mạng và xác định mạng con nào của hệ thống. Phần mềm độc hại sau đó tạo một luồng cho mỗi IP trong mạng con. Mỗi luồng này cố gắng kết nối với IP trên cổng TCP 445 và nếu thành công, sẽ cố gắng khai thác hệ thống. Ví dụ về nỗ lực sử dụng hệ thống từ xa có thể được xem trong Hình 1.

Hình 1: Lưu lượng mạng WannaCry cố gắng sử dụng SMB

Để đối phó với tình trạng lỗ hổng bị lợi dụng này, Microsoft đã đưa ra các bước quản lý rủi ro cụ thể cho WannaCry.

Trong khi phần mềm tống tiền WannaCry lây lan chủ yếu thông qua khai thác SMB, các nhà khai thác của nó cũng có thể sử dụng các phương pháp phân phối khác. Trước đó có thông tin cho rằng WannaCry phát tán qua các liên kết độc hại trong tin nhắn rác; tuy nhiên, FireEye đã không thể chứng thực thông tin này từ bất kỳ cuộc điều tra nào của chúng tôi cho đến nay.

Bất kể véc tơ lây nhiễm ban đầu là gì, các nhà khai thác WannaCry có thể áp dụng bất kỳ cơ chế phân phối nào phổ biến cho các hoạt động của ransomware như tài liệu độc hại, quảng cáo độc hại hoặc các thỏa hiệp trang web có lưu lượng truy cập cao. Do tác động lớn của chiến dịch này cho đến nay và sự không chắc chắn về các vectơ lan truyền sớm, các tổ chức nên coi bất kỳ vectơ phổ biến nào của việc phân phối phần mềm độc hại là nguồn lây nhiễm WannaCry tiềm ẩn.

Leave a Reply

Your email address will not be published. Required fields are marked *

scroll to top