Ngày 06 tháng 12 năm 2022Ravie Lakshmanan Bảo mật điểm cuối / Bảo mật dữ liệu
Một phiên bản của bộ công cụ ransomware mã nguồn mở được gọi là tiền điện tử đã được quan sát trong tự nhiên với khả năng gạt nước do “kiến trúc và lập trình yếu” của nó.
Cryptonite, không giống như các chủng ransomware khác, không có sẵn để bán trên thế giới ngầm của tội phạm mạng và thay vào đó được cung cấp miễn phí bởi một diễn viên có tên CYBERDEVILZ cho đến gần đây thông qua kho lưu trữ GitHub. Mã nguồn và các nhánh của nó đã bị gỡ xuống.
Được viết bằng Python, phần mềm độc hại sử dụng mô-đun Fernet của gói mật mã để mã hóa các tệp có phần mở rộng “.cryptn8”.
Tuy nhiên, một mẫu mới được phân tích bởi Fortinet fortiguard Labs đã được phát hiện khóa các tệp mà không có tùy chọn giải mã lại chúng, về cơ bản hoạt động như một công cụ xóa dữ liệu phá hoại.
Nhưng thay đổi này không phải là một nỗ lực có chủ ý của một phần kẻ đe dọa, mà bắt nguồn từ việc thiếu đảm bảo chất lượng khiến chương trình gặp sự cố khi cố gắng hiển thị ghi chú đòi tiền chuộc sau khi hoàn tất quá trình mã hóa.
“Vấn đề với lỗ hổng này là do thiết kế đơn giản của ransomware, nếu chương trình gặp sự cố — hoặc thậm chí bị đóng — thì không có cách nào để khôi phục các tệp bị mã hóa,” nhà nghiên cứu Gergely Revay của Fortinet cho biết trong một bài viết hôm thứ Hai.
Trường hợp ngoại lệ được đưa ra trong quá trình thực thi chương trình ransomware cũng có nghĩa là “chìa khóa” được sử dụng để mã hóa các tệp không bao giờ được truyền tới người vận hành, do đó khóa người dùng khỏi dữ liệu của họ.
Các phát hiện được đưa ra trong bối cảnh bối cảnh ransomware đang phát triển, trong đó các công cụ xóa dữ liệu dưới vỏ bọc phần mềm độc hại mã hóa tệp đang được triển khai ngày càng nhiều để ghi đè lên dữ liệu mà không cho phép giải mã.
