Một chiến dịch ransomware Magniber quy mô lớn đang diễn ra, mã hóa các thiết bị của người dùng cá nhân trên toàn cầu và đòi tiền chuộc hàng nghìn đô la để cung cấp công cụ giải mã.
Thông tin chi tiết
Magniber ra mắt vào năm 2017 như một phiên bản kế thừa của hoạt động ransomware Cerber khi nó được phát hiện đang được phân phối bởi bộ công cụ khai thác Magnitude.
Kể từ đó, hoạt động ransomware này đã có những đợt hoạt động mạnh mẽ trong những năm qua, với các tác nhân đe dọa sử dụng nhiều phương pháp khác nhau để phân phối Magniber và mã hóa thiết bị. Những chiến thuật này bao gồm sử dụng các lỗ hổng zero-day của Windows, các bản cập nhật Windows và trình duyệt giả mạo, và các phần mềm crack và key generator đã bị nhiễm trojan.
Không giống như các hoạt động ransomware lớn hơn, Magniber chủ yếu nhắm vào những người dùng cá nhân tải xuống phần mềm độc hại và thực thi nó trên hệ thống gia đình hoặc doanh nghiệp nhỏ của họ.
Vào năm 2018, AhnLab đã phát hành một công cụ giải mã cho ransomware Magniber. Tuy nhiên, nó không còn hoạt động được nữa vì các tác nhân đe dọa đã sửa lỗi cho phép giải mã tệp miễn phí.
Kể từ ngày 20 tháng 7, BleepingComputer đã thấy sự gia tăng số lượng nạn nhân của ransomware Magniber tìm kiếm sự giúp đỡ trong các diễn đàn.
Trang web nhận dạng ransomware ID-Ransomware cũng đã chứng kiến sự gia tăng, với gần 720 lượt gửi đến trang web kể từ ngày 20 tháng 7 năm 2024.
Mặc dù chưa rõ nạn nhân bị nhiễm bệnh như thế nào, BleepingComputer đã được một số nạn nhân cho biết thiết bị của họ bị mã hóa sau khi chạy các phần mềm crack hoặc key generator, đây là một phương pháp mà các tác nhân đe dọa đã sử dụng trong quá khứ.
Khi được khởi chạy, ransomware mã hóa các tệp trên thiết bị và thêm phần mở rộng ngẫu nhiên 5-9 ký tự, như .oaxysw hoặc .oymtk, vào tên tệp đã mã hóa.
Ransomware cũng sẽ tạo ra một ghi chú đòi tiền chuộc có tên READ_ME.htm, chứa thông tin về những gì đã xảy ra với các tệp của người dùng và một URL duy nhất dẫn đến trang web đòi tiền chuộc Tor của kẻ tấn công.
Ghi chú đòi tiền chuộc của Magniber - Nguồn: BleepingComputer
Vì Magniber thường nhắm vào người tiêu dùng, yêu cầu tiền chuộc bắt đầu từ 1.000 đô la và sau đó tăng lên 5.000 đô la nếu không thanh toán bằng Bitcoin trong vòng ba ngày.
Trang thanh toán của Magniber - Nguồn: BleepingComputer
Hiện tại không có cách nào để giải mã miễn phí các tệp bị mã hóa bởi các phiên bản hiện tại của Magniber.
Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị tổ chức một số cách để phòng chống:
Không tải xuống hoặc sử dụng bất kỳ phần mềm crack hoặc key generator, luôn mua và sử dụng phần mềm hợp pháp từ các nguồn chính thức.
Thực hiện sao lưu dữ liệu quan trọng định kỳ, lưu trữ bản sao lưu trên thiết bị ngoại vi hoặc dịch vụ đám mây an toàn.
Không mở email hoặc tệp đính kèm từ nguồn không xác định, kiểm tra kỹ địa chỉ email người gửi trước khi mở bất kỳ tệp đính kèm nào.
Nâng cao nhận thức về các mối đe dọa an ninh mạng trong gia đình hoặc doanh nghiệp nhỏ, chia sẻ thông tin về các phương pháp lừa đảo và tấn công phổ biến.