Ngày 05 tháng 12 năm 2022Ravie Lakshmanan
Một phần mềm độc hại xóa dữ liệu mới được gọi là Khóc Gạt Nước đã được phát hiện nhắm mục tiêu vào các cơ quan chính phủ Nga, bao gồm cả văn phòng thị trưởng và tòa án.
“Mặc dù nó cải trang thành một phần mềm tống tiền và tống tiền nạn nhân để ‘giải mã' dữ liệu, [it] không thực sự mã hóa, nhưng cố tình phá hủy dữ liệu trong hệ thống bị ảnh hưởng,” các nhà nghiên cứu Fedor Sinitsyn và Janis Zinchenko của Kaspersky cho biết trong một bài viết.
Chi tiết bổ sung về các cuộc tấn công đã được chia sẻ bởi ấn phẩm tin tức tiếng Nga Izvestia. Cho đến nay, các cuộc xâm nhập vẫn chưa được quy cho một nhóm đối thủ cụ thể.
Phần mềm độc hại dựa trên C++, CryWiper được định cấu hình để thiết lập tính bền bỉ thông qua một tác vụ đã lên lịch và giao tiếp với máy chủ chỉ huy và kiểm soát (C2) để bắt đầu hoạt động độc hại.
Bên cạnh việc chấm dứt các quy trình liên quan đến cơ sở dữ liệu và máy chủ email, phần mềm độc hại này được trang bị khả năng xóa các bản sao ẩn của tệp và sửa đổi Windows Registry để ngăn chặn các kết nối RDP nhằm cản trở các nỗ lực ứng phó sự cố.
Ở bước cuối cùng, công cụ xóa sẽ làm hỏng tất cả các tệp ngoại trừ những tệp có phần mở rộng “.exe,” “.dll,” “lnk,” “.sys” và “.msi”, đồng thời bỏ qua các thư mục cụ thể, bao gồm cả C :\Windows, Boot và tmp, nếu không thì có thể khiến máy không hoạt động được.
Các tệp bị ghi đè bằng dữ liệu rác sau đó được thêm vào một phần mở rộng có tên “.CRY”, sau đó một ghi chú đòi tiền chuộc được bỏ đi để tạo ấn tượng rằng đó là một chương trình ransomware, thúc giục nạn nhân trả 0,5 Bitcoin để khôi phục quyền truy cập.
Các nhà nghiên cứu cho biết: “Hoạt động của CryWiper một lần nữa cho thấy việc thanh toán tiền chuộc không đảm bảo việc khôi phục các tệp”, đồng thời nêu rõ phần mềm độc hại “cố tình phá hủy nội dung của các tệp”.
CryWiper là dòng phần mềm độc hại wiper trả đũa thứ hai nhắm vào Nga sau RURansom, một wiper dựa trên .NET đã được tìm thấy nhắm mục tiêu vào các thực thể trong nước vào đầu tháng 3 này.
Xung đột đang diễn ra giữa Nga và Ukraine liên quan đến việc triển khai nhiều công cụ gạt nước, trong đó công cụ sau bị tấn công bằng nhiều loại phần mềm độc hại như WhisperGate, HermeticWiper, AcidRain, IsaacWiper, CaddyWiper, Industroyer2 và DoubleZero.
Max Kersten, nhà nghiên cứu của Trellix cho biết trong một phân tích về phần mềm độc hại phá hoại vào tháng trước: “Wipers có thể hiệu quả bất kể kỹ năng kỹ thuật của kẻ tấn công như thế nào, vì ngay cả công cụ gạt nước đơn giản nhất cũng có thể tàn phá các hệ thống bị ảnh hưởng”.
“Thời gian cần thiết để tạo ra một phần mềm độc hại như vậy là thấp, đặc biệt khi so sánh với các cửa hậu gián điệp phức tạp và các lỗ hổng thường đi kèm được sử dụng. Lợi tức đầu tư không nhất thiết phải cao trong những trường hợp đó, mặc dù không chắc là một số ít gạt nước là để tàn phá nhiều như vậy trong và của chính họ.”
