NotLockBit: Mối đe dọa ransomware đa nền tảng mới trên Windows và macOS

lockbit
Các nhà nghiên cứu từ Qualys vừa công bố một dòng ransomware mới, mang tên NotLockBit, được thiết kế mô phỏng theo LockBit – một ransomware khét tiếng, nhưng với khả năng vượt trội hơn khi có thể tấn công đồng thời cả hai hệ điều hành Windows và macOS. 

Đặc điểm nổi bật của NotLockBit

NotLockBit được phát triển bằng ngôn ngữ lập trình Go, nổi bật với khả năng tương thích đa nền tảng và chu kỳ phát triển nhanh chóng. Theo Pranita Pradeep Kulkarni – kỹ sư cao cấp tại Qualys, ransomware này tích hợp nhiều tính năng tiên tiến như:

  • Mã hóa tệp có chọn lọc để tấn công những dữ liệu quan trọng.
  • Đánh cắp dữ liệu (data exfiltration) nhằm thực hiện chiến thuật tống tiền kép (double extortion).
  • Tự xóa (self-deletion) sau khi hoàn tất các giai đoạn tấn công để xóa sạch mọi dấu vết.

Kết hợp với việc giả mạo thương hiệu và phong cách hoạt động của LockBit, NotLockBit đã nhanh chóng trở thành một mối đe dọa nghiêm trọng với cả cá nhân lẫn tổ chức.

Cách thức hoạt động của NotLockBit

  1. Khởi tạo và thu thập thông tin
    Khi được thực thi trên macOS, ransomware sử dụng module go-sysinfo để thu thập các thông tin hệ thống quan trọng như thông số phần cứng, cấu hình mạng, và phiên bản hệ điều hành. Điều này giúp ransomware tùy chỉnh phương pháp tấn công.
  2. Quy trình mã hóa
    NotLockBit áp dụng chiến lược mã hóa hai lớp: sử dụng AES để mã hóa file và RSA để bảo vệ khóa mã hóa. Các file bị mã hóa được đổi tên với phần mở rộng .abcd, và chỉ có khóa giải mã riêng mới có thể khôi phục được. Malware này nhắm vào các loại file quan trọng như tài liệu, hình ảnh, và file máy ảo, nhưng bỏ qua các thư mục như /proc//sys/ để tránh gây hỏng hệ thống hoàn toàn.
  3. Đánh cắp dữ liệu
    Không chỉ mã hóa, NotLockBit còn đánh cắp dữ liệu và chuyển đến các kho lưu trữ do kẻ tấn công kiểm soát, thường là Amazon S3 buckets. Điều này cho phép thực hiện chiến thuật tống tiền kép, đe dọa công khai dữ liệu nếu nạn nhân không trả tiền chuộc.
  4. Thay đổi giao diện và tự xóa
    Ransomware này thay đổi hình nền máy tính của nạn nhân, hiển thị thông báo tống tiền lấy cảm hứng từ LockBit, tạo áp lực tâm lý. Sau đó, nó xóa các bản sao lưu hệ thống (shadow copies) và tự xóa để che giấu dấu vết.

Việc NotLockBit nhắm đến macOS là một bước tiến đặc biệt nguy hiểm. Đây là một trong những ransomware đầu tiên có đầy đủ chức năng tấn công nền tảng này. Malware sử dụng các lệnh như osascript để thay đổi cài đặt hệ thống và thực hiện các thao tác sâu bên trong, chứng tỏ sự hiểu biết chi tiết về nội bộ macOS của nhóm tấn công.

lockbit

Các mẫu NotLockBit có mức độ che giấu khác nhau: một số giữ lại tên hàm dễ nhận biết, số khác sử dụng tên đã mã hóa, và vài mẫu bị loại bỏ thông tin hoàn toàn. Điều này cho thấy các tác nhân đe dọa đang thử nghiệm nhiều chiến thuật khác nhau để qua mặt các hệ thống bảo mật. Theo Kulkarni, NotLockBit là một ransomware có độ tinh vi cao, với khả năng tương thích vượt trội trên cả Windows và macOS.

Các chuyên gia VSEC Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống chiến dịch này:

  1. Sử dụng mật khẩu mạnh: Nhiều vụ vi phạm tài khoản xảy ra vì sử dụng mật khẩu dễ đoán hoặc đơn giản. Những mật khẩu này có thể bị các công cụ tự động phát hiện chỉ trong vài ngày. Để bảo vệ tài khoản của bạn, hãy chọn mật khẩu dài và phức tạp, kết hợp các ký tự khác nhau như chữ hoa, chữ thường, số, và ký tự đặc biệt. Bạn cũng có thể tạo ra các quy tắc riêng để tạo ra những cụm mật khẩu an toàn hơn.
  2. Kích hoạt xác thực đa yếu tố: Xác thực đa yếu tố là một cách hiệu quả để tăng cường bảo mật. Nó tạo thêm lớp bảo vệ cho tài khoản của bạn bên cạnh mật khẩu. Bạn có thể sử dụng sinh trắc học (như dấu vân tay) hoặc khóa USB vật lý để xác nhận danh tính khi đăng nhập. Điều này giúp ngăn chặn các cuộc tấn công bằng cách thử mật khẩu nhiều lần.
  3. Đánh giá quyền truy cập của người dùng: Hạn chế quyền truy cập của người dùng để giảm thiểu rủi ro. Đặc biệt chú ý đến quyền truy cập của các tài khoản quản trị viên. Đảm bảo các dịch vụ và dữ liệu quan trọng được bảo vệ.
  4. Xóa tài khoản không sử dụng: Kiểm tra và xóa những tài khoản cũ hoặc không còn hoạt động, vì chúng có thể tạo ra lỗ hổng bảo mật.
  5. Đảm bảo cấu hình hệ thống an toàn: Thường xuyên xem xét và cập nhật cấu hình hệ thống để phát hiện các vấn đề mới và nâng cao bảo mật.
  6. Luôn sao lưu dữ liệu: Hãy sao lưu toàn bộ hệ thống của bạn để tránh mất dữ liệu. Nên có nhiều bản sao lưu để có thể khôi phục dữ liệu sạch khi cần.
  7. Sử dụng giải pháp bảo mật mạng toàn diện: Trong khi LockBit có thể cố gắng vô hiệu hóa các biện pháp bảo vệ một lần trong một đơn vị, phần mềm bảo vệ an ninh mạng doanh nghiệp sẽ giúp bạn phát hiện các tệp tải xuống trên toàn bộ tổ chức với khả năng bảo vệ theo thời gian thực. Tìm hiểu thêm về Giải pháp bảo mật VSEC DFIR Điều tra và xử lý sự cố an toàn thông tin để giúp bạn bảo vệ doanh nghiệp và thiết bị của mình.

Nguồn tham khảo: Security Online