Proton ransomware lần đầu tiên được phát hiện vào tháng 3 năm 2023 và đã nhanh chóng trở thành một mối đe dọa lớn đối với an ninh mạng toàn cầu. Với sự phát triển không ngừng, Proton đã cho ra đời nhiều biến thể khác nhau, trong đó biến thể mới nhất được gọi là Zola. Biến thể này không chỉ kế thừa những đặc điểm nguy hiểm của các phiên bản trước mà còn bổ sung thêm nhiều tính năng mới, làm tăng độ phức tạp và khó khăn trong việc phòng chống.
Phát Hiện Mới
Acronis Threat Research Unit, một đơn vị nghiên cứu hàng đầu về an ninh mạng, đã phát hiện biến thể Zola trong một phản ứng sự cố gần đây. Theo báo cáo, Zola thể hiện mô hình thay đổi mã liên tục và tái thương hiệu của gia đình ransomware Proton. Điều này cho thấy sự tiến hóa không ngừng của loại mã độc này, làm cho việc phát hiện và ngăn chặn trở nên khó khăn hơn.
Đặc Điểm Của Zola
Một trong những đặc điểm nổi bật của Zola là công tắc ngắt, kiểm tra bố cục bàn phím tiếng Ba Tư và dừng quá trình nếu phát hiện. Điều này giúp Zola tránh bị phát hiện và phân tích bởi các chuyên gia an ninh mạng ở các quốc gia sử dụng ngôn ngữ này.
Ngoài ra, Zola còn kiểm tra đặc quyền quản trị và yêu cầu người dùng chạy tệp thực thi với quyền quản trị nếu kiểm tra thất bại. Điều này giúp mã độc có thể thực hiện các hành động nguy hiểm mà không bị hạn chế bởi quyền hạn của người dùng.
Trước khi mã hóa, Zola thực hiện một loạt các hành động chuẩn bị như tạo ID nạn nhân duy nhất, xóa thùng rác, sửa đổi cấu hình khởi động và xóa các bản sao bóng. Những hành động này giúp mã độc tối ưu hóa quá trình mã hóa và làm khó khăn cho việc phục hồi dữ liệu.
Thay Đổi Trong Cơ Chế Mã Hóa
Biến thể Zola đã chuyển đổi từ việc sử dụng ECC (Elliptic Curve Cryptography) và AES (Advanced Encryption Standard) sang ChaCha20 để mã hóa tệp. ChaCha20 là một thuật toán mã hóa nhanh và an toàn, làm tăng độ phức tạp và khó khăn trong việc giải mã.
Ngoài ra, Zola còn ghi đè không gian trống bằng cách tạo tệp tạm thời và ghi dữ liệu không khởi tạo. Điều này làm cho việc phục hồi dữ liệu trở nên gần như không thể, ngay cả khi nạn nhân có thể giải mã các tệp bị mã hóa.
So Sánh Với Các Biến Thể Khác
Zola có nhiều điểm tương đồng với biến thể Ripa nhưng khác biệt với Shinra ở chức năng kiểm tra đặc quyền quản trị. Điều này cho thấy sự đa dạng và phức tạp của các biến thể trong gia đình Proton. Mỗi biến thể đều có những đặc điểm riêng, làm cho việc phát hiện và ngăn chặn trở nên khó khăn hơn.
Đáng chú ý, Zola không nên bị nhầm lẫn với PrOToN thuộc gia đình Xorist, vốn có các đặc điểm khác biệt như cửa sổ pop-up "Error". PrOToN là một loại ransomware khác, có cách thức hoạt động và mục tiêu khác biệt so với Zola.
Kết Luận
Hiện tại, không có công cụ giải mã nào cho gia đình Proton được nghiên cứu bởi Acronis. Điều này nhấn mạnh tầm quan trọng của việc tăng cường bảo mật và áp dụng các biện pháp phòng ngừa để bảo vệ hệ thống khỏi các cuộc tấn công ransomware. Người dùng cần phải luôn cảnh giác và cập nhật các biện pháp bảo mật mới nhất để đối phó với các mối đe dọa ngày càng tinh vi.
Best Practice
Để bảo vệ hệ thống khỏi ransomware, người dùng nên cài đặt và cập nhật thường xuyên phần mềm bảo mật. Các phần mềm này có thể giúp phát hiện và ngăn chặn các mối đe dọa trước khi chúng gây ra thiệt hại.
Thực hiện sao lưu dữ liệu định kỳ cũng là một biện pháp quan trọng để giảm thiểu thiệt hại khi bị tấn công. Sao lưu dữ liệu giúp người dùng có thể khôi phục lại dữ liệu quan trọng mà không cần phải trả tiền chuộc.
Cuối cùng, nâng cao nhận thức về an ninh mạng cho nhân viên và người dùng là điều cần thiết để phòng tránh ransomware. Đào tạo nhận thức giúp người dùng nhận biết các dấu hiệu của một cuộc tấn công và biết cách phản ứng kịp thời.
Tham khảo:
Proton ransomware continues evolution with latest Zola variant: https://www.scmagazine.com/news/proton-ransomware-continues-evolution-with-latest-zola-variant
Proton ransomware continues its evolution with latest Zola variant: https://www.lexisnexis.com.tw/blog/8kdaja211980P1cedd45.htm
Zola Ransomware Springs to Action as Latest Proton Variant: https://cyberinsider.com/zola-ransomware-springs-to-action-as-latest-proton-variant/
Zola - a new Proton ransomware variant: https://www.broadcom.com/support/security-center/protection-bulletin/zola-a-new-proton-ransomware-variant