Xuất hiện mã độc tống tiền cực kỳ nguy hiểm, xóa sạch dữ liệu dù nạn nhân đã trả tiền chuộc
Một biến thể mã độc tống tiền (ransomware) mới vừa được phát hiện, không chỉ mã hóa mà còn xóa vĩnh viễn các tập tin của nạn nhân, một chiến thuật tấn công nguy hiểm được các chuyên gia an ninh mạng cảnh báo là “mối đe dọa kép hiếm thấy”.
Trong khi làn sóng tấn công mạng tiếp tục gia tăng về mức độ tinh vi và hậu quả, một loại ransomware mới vừa được phát hiện với tính năng phá hoại dữ liệu chưa từng thấy, khiến các chuyên gia an ninh mạng không khỏi lo ngại.
Có tên là Anubis, phần mềm tống tiền này sở hữu một “chế độ xóa” đặc biệt, cho phép nó không chỉ mã hóa tệp tin mà còn có thể xóa vĩnh viễn nội dung bên trong, khiến việc phục hồi trở nên bất khả thi dù nạn nhân có trả tiền chuộc đi chăng nữa.
Theo báo cáo mới được công bố bởi các nhà nghiên cứu Maristel Policarpio, Sarah Pearl Camiling và Sophia Nilette Robles đến từ công ty bảo mật Trend Micro, Anubis là một phần trong mô hình ransomware như một dịch vụ (RaaS) đang ngày càng phát triển mạnh.
Chiến dịch tấn công đầu tiên của Anubis được ghi nhận vào tháng 12/2024, nhắm mục tiêu vào các lĩnh vực quan trọng như chăm sóc sức khỏe, khách sạn và xây dựng tại các quốc gia như Úc, Canada, Peru và Mỹ.
Ban đầu, ransomware này có tên mã là Sphinx, nhưng sau đó được đổi thành Anubis, theo tên một vị thần Ai Cập gắn liền với cái chết và thế giới bên kia, điều này phần nào phản ánh rõ ý đồ “không hồi sinh” dữ liệu nạn nhân sau khi bị tấn công.
Điều đáng lưu ý là ransomware Anubis không có mối liên hệ nào với trojan ngân hàng Android hay backdoor dựa trên Python cùng tên, vốn được cho là sản phẩm của nhóm tin tặc FIN7 (còn được biết đến với tên GrayAlpha).
Điều này giúp phân biệt Anubis khỏi các chiến dịch tấn công khác, đồng thời cũng cho thấy sự phức tạp ngày càng tăng trong hệ sinh thái phần mềm độc hại hiện nay.
Một trong những lý do khiến Anubis trở nên nguy hiểm là nhờ vào mô hình hoạt động tinh vi và có tổ chức. Theo Trend Micro, nhóm phát triển Anubis điều hành một chương trình liên kết mở, nơi các đối tác có thể tham gia và chia sẻ lợi nhuận theo các tỷ lệ cụ thể.
Cụ thể, các tác nhân liên kết sẽ nhận được tới 80% số tiền chuộc nếu nạn nhân trả tiền, một mức chia hấp dẫn hơn nhiều so với các nhóm ransomware thông thường. Ngoài ra, nhóm còn hỗ trợ các phương án kiếm tiền bổ sung như bán quyền truy cập vào hệ thống nạn nhân (chia 50-50) hoặc tống tiền dữ liệu riêng biệt (chia 60-40).
Mô hình này cho phép Anubis nhanh chóng mở rộng mạng lưới và phạm vi ảnh hưởng, thu hút nhiều nhóm tội phạm mạng nhỏ lẻ tham gia, tương tự cách các nền tảng phần mềm như một dịch vụ (SaaS) trong ngành công nghệ hoạt động.
Quy trình tấn công và khả năng hủy diệt dữ liệu
Chuỗi tấn công của Anubis bắt đầu bằng email lừa đảo (phishing), một phương pháp đã quá quen thuộc nhưng vẫn cực kỳ hiệu quả. Khi nạn nhân sơ suất mở tệp đính kèm hoặc nhấp vào liên kết độc hại, phần mềm độc hại sẽ được tải xuống và cài đặt trong hệ thống.
Sau đó, Anubis thực hiện các bước tấn công kinh điển như nâng quyền truy cập, quét hệ thống, xóa các bản sao lưu, và cuối cùng là mã hóa các tệp tin quan trọng.
Tuy nhiên, điểm đặc biệt nguy hiểm nằm ở khả năng xóa toàn bộ nội dung bên trong tệp, khiến kích thước tệp giảm xuống 0 KB nhưng vẫn giữ nguyên tên và định dạng ban đầu. Điều này không chỉ đánh lừa các công cụ phục hồi dữ liệu, mà còn khiến nạn nhân không thể biết rõ mức độ thiệt hại cho đến khi quá muộn.
Các nhà nghiên cứu cho biết: “Phần mềm tống tiền này hỗ trợ tham số /WIPEMODE, cho phép xóa vĩnh viễn nội dung tệp, biến việc khôi phục thành điều bất khả thi dù có dùng đến công cụ chuyên nghiệp”.
Bản chất hủy diệt dữ liệu của Anubis không chỉ đơn thuần là phá hoại mà nó còn là một chiến thuật tâm lý nhằm gia tăng áp lực buộc nạn nhân phải trả tiền chuộc càng sớm càng tốt.
“Tính năng xóa dữ liệu vĩnh viễn làm gia tăng nghiêm trọng rủi ro và áp lực, buộc nạn nhân phải tuân thủ yêu cầu đòi tiền chuộc, một chiến thuật được thiết kế tinh vi để triệt tiêu khả năng kháng cự”, Trend Micro nhận định.
Sự xuất hiện của Anubis đánh dấu một bước tiến nguy hiểm trong thế giới ransomware, khi tội phạm mạng không chỉ dừng lại ở việc mã hóa dữ liệu, mà còn có thể xóa sạch chúng vĩnh viễn, khiến thiệt hại trở nên không thể đo đếm.
Vì vậy, việc nâng cao nhận thức bảo mật, cập nhật phần mềm thường xuyên và sao lưu dữ liệu định kỳ là những việc không thể xem nhẹ với bất kỳ cá nhân hay tổ chức nào.