Trong bối cảnh các mối đe dọa mạng liên tục phát triển, một chủng mã độc ransomware mới có tên Midnight đã xuất hiện, phỏng theo chiến thuật khét tiếng của tiền thân nó là Babuk.

Được phát hiện lần đầu bởi các nhà nghiên cứu của Gen, Midnight kết hợp cơ chế ransomware quen thuộc với những sửa đổi mật mã mới lạ – một số trong đó vô tình tạo cơ hội phục hồi tệp.

Điều này mang đến cơ hội hiếm có để nạn nhân khôi phục dữ liệu mà không cần trả tiền chuộc, đánh dấu một bước đột phá đáng kể trong khả năng phòng thủ ransomware.

Nguồn gốc và Sự phát triển: Di sản của Babuk

Midnight cho thấy những dấu hiệu rõ ràng được truyền cảm hứng từ họ mã độc ransomware Babuk, xuất hiện lần đầu vào đầu năm 2021 và nhanh chóng nổi tiếng với chiến thuật hung hãn cùng các khía cạnh kỹ thuật tiên tiến.

Babuk hoạt động dưới dạng Ransomware-as-a-Service (RaaS), một mô hình phổ biến trong giới mã độc ransomware, nhắm mục tiêu vào các tổ chức lớn trong lĩnh vực y tế, tài chính, chính phủ và các ngành hạ tầng quan trọng khác.

Mã độc này sử dụng mã hóa mạnh mẽ thông qua các giao thức HC256 và ECDH, cùng với mã hóa tệp ngắt quãng để tối đa hóa thiệt hại trong khi vẫn duy trì tốc độ hoạt động.

Vào giữa năm 2021, các nhà điều hành của Babuk bất ngờ ngừng hoạt động và làm rò rỉ toàn bộ mã nguồn của họ, bao gồm các bộ xây dựng cho các biến thể Windows, ESXI và NAS.

Vụ rò rỉ này đã châm ngòi cho một làn sóng các họ biến thể ransomware mới, mỗi biến thể sửa đổi thiết kế gốc của Babuk để phù hợp với mục tiêu cụ thể của chúng.

Đặc điểm Kỹ thuật của Mã độc Ransomware Midnight

Midnight giữ lại phần lớn cấu trúc cốt lõi của Babuk nhưng giới thiệu một số sửa đổi, tạo nên một biến thể ransomware độc đáo, đáng chú ý nhất là trong sơ đồ mật mã được sử dụng để mã hóa tệp.

Những thay đổi này, mặc dù có thể nhằm mục đích cải thiện hiệu quả của ransomware, đã vô tình tạo ra những điểm yếu cho phép giải mã tệp trong một số điều kiện nhất định.

Mô hình Mã hóa và Kỹ thuật Hoạt động

Mã độc ransomware này thường thêm tiện ích mở rộng .Midnight hoặc .endpoint vào các tệp đã mã hóa.

Trong một số cấu hình, nó nối chuỗi tiện ích mở rộng trực tiếp vào cuối nội dung tệp thay vì sửa đổi tên tệp.

Việc triển khai mật mã sử dụng ChaCha để mã hóa nội dung tệp và RSA để mã hóa khóa ChaCha20.

Khóa được mã hóa bằng RSA, cùng với hàm băm SHA256 của nó, được nối vào cuối mỗi tệp đã mã hóa theo một định dạng nhất quán trên các mẫu đã biết.

Để cải thiện hiệu suất, Midnight sử dụng kỹ thuật mã hóa ngắt quãng, một kỹ thuật thừa hưởng từ Babuk nhưng được tinh chỉnh thông qua logic dựa trên kích thước tệp chi tiết hơn để xác định phần nào cần mã hóa.

Cách tiếp cận này cho phép xử lý nhanh hơn các tệp lớn trong khi vẫn làm cho chúng không thể sử dụng được.

Chỉ báo Xâm nhập (IOCs)

Các nhà nghiên cứu bảo mật đã xác định một số chỉ báo chính của sự lây nhiễm Midnight.

Các chỉ báo giúp phát hiện xâm nhập và đối phó kịp thời với mã độc ransomware Midnight bao gồm:

• Mutex: Tạo một mutex có tên “Mutexisfunnylocal” để ngăn nhiều phiên bản chạy đồng thời.
• Ghi chú đòi tiền chuộc: Một tệp ghi chú có tên “How To Restore Your Files.txt” được thả vào các thư mục bị ảnh hưởng.
• Tệp nhật ký gỡ lỗi: Một số mẫu tạo nhật ký gỡ lỗi được xác định là “Report.Midnight” hoặc “debug.endpoint”, tùy thuộc vào cấu hình.

Tệp Mục tiêu và Phạm vi Tấn công

Các biến thể Midnight trước đây chủ yếu nhắm mục tiêu vào các tệp có giá trị cao như cơ sở dữ liệu, bản sao lưu và lưu trữ với các tiện ích mở rộng như .mdf, .ndf, .bak, .dbf và .sql.

Đây là một chiến thuật phổ biến mà nhiều chủng mã độc ransomware sử dụng.

Các biến thể gần đây hơn đã mở rộng phạm vi của chúng, hiện mã hóa gần như tất cả các loại tệp ngoại trừ các tệp thực thi như .exe, .dll và .msi.

Tham số Dòng lệnh (Command-Line Arguments)

Mã độc ransomware này chấp nhận một số tham số dòng lệnh để kiểm soát hành vi, bao gồm các tùy chọn để nối chuỗi tiện ích mở rộng vào nội dung tệp, bật mã hóa các ổ đĩa được gắn mạng và nhắm mục tiêu vào các thư mục cụ thể.

Mặc dù không có lệnh cụ thể được cung cấp, các tham số này cho phép kẻ tấn công điều chỉnh hoạt động của Midnight một cách linh hoạt.

Khả năng Phục hồi Dữ liệu và Biện pháp Đối phó

Các nhà cung cấp bảo mật đã phát hành các công cụ giải mã được thiết kế đặc biệt để khắc phục các lỗi mật mã của Midnight.

Các công cụ giải mã này hướng dẫn người dùng thông qua một quy trình dựa trên trình hướng dẫn để xác định các vị trí đã mã hóa, xác minh tính toàn vẹn của tệp và khôi phục dữ liệu mà không yêu cầu thanh toán tiền chuộc.

Người dùng được khuyến nghị chạy các công cụ giải mã với quyền quản trị viên và bật tùy chọn sao lưu trong quá trình khôi phục, đảm bảo các biện pháp bảo vệ quan trọng được duy trì trong suốt quá trình giải mã.

Việc kịp thời cập nhật bản vá và sử dụng các công cụ bảo mật phù hợp là điều cần thiết để bảo vệ hệ thống khỏi các mối đe dọa như mã độc ransomware Midnight.