Một làn sóng thảo luận sôi nổi trên các diễn đàn tội phạm mạng ngầm đã làm nổi bật sự xuất hiện của Monolock Ransomware V1.0. Nhiều bài đăng trên dark web tuyên bố rằng phần mềm độc hại này hiện đã có sẵn để mua.

Các nhà nghiên cứu an ninh mạng giám sát thị trường chợ đen phi pháp báo cáo rằng các tác nhân đe dọa đang quảng cáo một chủng ransomware hoạt động đầy đủ, bao gồm các module mã hóa, cơ chế trao đổi khóa và một bảng điều khiển quản trị được xây dựng tùy chỉnh.

Tính năng Kỹ thuật Nổi bật của Monolock Ransomware V1.0

Trong một loạt các chủ đề diễn đàn được mã hóa, một người bán ẩn danh với biệt danh “monolocksupp” đã trình bày chi tiết các tính năng của Monolock Ransomware V1.0. Theo quảng cáo, bộ công cụ này cung cấp mã hóa AES-256 đa luồng và hỗ trợ cả môi trường Windows lẫn Linux.

Hệ thống chỉ huy và kiểm soát (C2) của nó được viết bằng GoLang. Người bán khẳng định các tệp của nạn nhân được mã hóa trong vài giây, với một khối khóa công khai nội tuyến tạo điều kiện cho việc trao đổi khóa an toàn và ngăn chặn sự can thiệp của bên thứ ba.

Các mẫu được nhà cung cấp chia sẻ cho thấy một giao diện người dùng tối giản, nhật ký mã hóa theo thời gian thực và tính năng phát hiện “kill-switch” giúp dừng các tiến trình chống virus trước khi triển khai.

Chi phí và Mô hình Kinh doanh của Biến thể Ransomware Mới

Mức giá trên diễn đàn dao động từ 2.5 đến 10 Bitcoin, tùy thuộc vào các cấp độ truy cập. Gói cơ bản bao gồm tệp nhị phân ransomware và khóa công khai để mã hóa.

Các cấp độ cao cấp hơn bổ sung bảng giải mã, tính năng theo dõi liên kết để chia sẻ doanh thu và kênh hỗ trợ khách hàng để hướng dẫn vận hành. Ước tính từ công ty tình báo mối đe dọa CypherWatch cho thấy, ở giá trị Bitcoin hiện tại, ngay cả mức giá khởi điểm cũng lên tới hàng ngàn đô la.

Khoản đầu tư này cho thấy cả sự tự tin vào hiệu quả của công cụ và khả năng sinh lời của các hoạt động mã độc tống tiền.

Rủi ro và Chiến thuật Né tránh Nâng cao

Các chuyên gia bảo mật nhận định sự xuất hiện của Monolock Ransomware V1.0 có thể gây ra rủi ro đáng kể cho các doanh nghiệp thuộc mọi quy mô. Khác với các chủng ransomware đã được phân tích kỹ lưỡng và có chiến lược giảm thiểu, Monolock dường như tích hợp các chiến thuật né tránh mới lạ. Một số nhà quan sát đã ghi nhận sự bao gồm tính năng phân phối dựa trên torrent tự động.

Tính năng này cho phép tải trọng độc hại lây lan theo chiều ngang qua các thư mục chia sẻ mạng. Monolock Ransomware cũng tuyên bố tương thích với các dịch vụ lưu trữ đám mây hiện đại, cho phép trích xuất và mã hóa dữ liệu lưu trữ trên các nền tảng như AWS S3 và Google Cloud Storage.

Các tổ chức có thể đặc biệt dễ bị tổn thương nếu thiếu giám sát mạnh mẽ lưu lượng truy cập đi hoặc không triển khai phân đoạn mạng. Khả năng tự vô hiệu hóa Windows Defender theo thời gian thực của ransomware, kết hợp với dung lượng bộ nhớ thấp, khiến nó khó bị phát hiện thông qua các phương pháp phòng thủ dựa trên chữ ký truyền thống.

Hơn nữa, bảng điều khiển quản trị bao gồm các bảng điều khiển để theo dõi số liệu lây nhiễm, đàm phán tiền chuộc và giám sát các khoản thanh toán bitcoin, cho thấy các nhà phát triển đã hợp lý hóa toàn bộ chu trình tấn công từ ban đầu đến tống tiền.

Đề xuất Phòng vệ và Ứng phó Chống lại Monolock Ransomware

Để đối phó với những diễn biến này, các đội an ninh mạng được khuyến nghị xem xét và cập nhật kế hoạch ứng phó sự cố. Các công cụ phát hiện và phản hồi điểm cuối (EDR) nên được cấu hình để gắn cờ các tiến trình mã hóa trái phép và các mẫu đổi tên tệp bất thường.

Sao lưu dữ liệu thường xuyên với lưu trữ ngoại tuyến và các bản snapshot bất biến là điều cần thiết để đảm bảo các tổ chức có thể phục hồi mà không phải trả tiền chuộc. Các nhà phòng thủ mạng cũng nên thực hiện các bài tập săn tìm mối đe dọa định kỳ để xác định các di chuyển ngang bất thường, có thể cho thấy các giai đoạn đầu của việc triển khai Monolock Ransomware.

Các cơ quan thực thi pháp luật và các nhóm công nghiệp đang hợp tác để theo dõi những người bán và phá vỡ các kênh phân phối. Với tính chất xuyên biên giới của các giao dịch trên dark web, hợp tác quốc tế sẽ rất quan trọng để chặn các khoản thanh toán và xác định cơ sở hạ tầng được sử dụng bởi các nhà điều hành.

Trong khi đó, các nhà nghiên cứu bảo mật đang đảo ngược kỹ thuật các mẫu bị rò rỉ để phát triển các công cụ giải mã và chia sẻ các chỉ số xâm phạm (IOC) với cộng đồng rộng lớn hơn. Khi Monolock Ransomware V1.0 bắt đầu xuất hiện nổi bật hơn trên các diễn đàn ngầm, các tổ chức phải nâng cao khả năng phòng thủ và duy trì tư thế bảo mật chủ động.

Việc rao bán bộ công cụ tinh vi này nhấn mạnh bối cảnh mối đe dọa đang phát triển và sự cần thiết của cảnh giác liên tục chống lại các họ mã độc tống tiền mới nổi.