Kaspersky cảnh báo về sự trở lại của một loại malware xóa dữ liệu cực kỳ nguy hiểm

Shamoon, phần mềm độc hại “khét tiếng” từng tấn công hơn 35.000 máy tính của các công ty khí đốt Saudi Arabian hồi năm 2012 đang quay trở lại. Loại mã độc này gây nguy hiểm cho nạn nhân vì có thể xóa hết dữ liệu hệ thống.

Shamoon từng gieo rắc nỗi sợ hãi vào năm 2012.

Dưới những hình hài mới, malware này đã xuất hiện 3 lần kể từ tháng 11 năm ngoái, nhưng chỉ dừng lại ở phạm vi các nước Trung Đông. Thế nhưng, có một loại mã độc với cách thức hoạt động tương tự đang nhắm vào một công ty dầu mỏ châu Âu dấy lên nhiều lo ngại.

Kaspersky Lab gọi đó là “StoneDrill”. Họ tình cờ phát hiện ra phần mềm độc hại này khi đang nghiên cứu cuộc tấn công của Shamoon hai ngày cuối tháng 11 và một ngày cuối tháng Giêng. Thế hệ Shamoon 2.0 được trang bị công cụ và kỹ thuật mới, cho phép chúng ít phụ thuộc vào C&C Servers (máy chủ điều khiển qua lệnh) bên ngoài hơn, một mô-đun đầy đủ chức năng mã hóa và hoạt động tốt trên cả nền 32-bit lẫn 64-bit.

Các chuyên gia Kaspersky đã phát hiện loại mã độc mới trong quá trình nghiên cứu Shamoon.

Khả năng ẩn mình của StoneDrill ấn tưởng hơn vì không sử dụng trình điều khiển ổ đĩa trong quá trình cài đặt. Để làm điều này, mã độc sẽ cắm một mô-đun xóa dữ liệu vào bộ nhớ máy tính. StoneDrill đồng thời tạo “cổng hậu” nhằm mục đích đánh cắp dữ liệu. Ngoài việc sử dụng mã code giống Shamoon, giới chuyên gia còn nhận thấy StoneDrill dùng các thủ thuật tương tự chiến dịch gián điệp “NewsBeef” vốn nhắm vào nhiều tổ chức trên toàn thế giới.

Báo cáo của Kaspersky Lab dài 35 trang hôm thứ Hai nêu rõ: “Việc phát hiện ra mã độc xóa dữ liệu StoneDrill tại châu Âu chứng tỏ nhóm đứng đằng sau đó đang mở rộng quy mô tấn công vượt ra ngoài khu vực Trung Đông. Mục tiêu của chúng là một tập đoàn lớn thuộc ngành hóa dầu, mà không có mối quan hệ rõ ràng với Ả-rập Xê-út.”

Đến một lúc nào đó, hệ thống sẽ tự động xóa sạch dữ liệu.

Giới chuyên gia chưa hiểu rõ mối quan hệ giữa StoneDrill và Shamoon. Họ nghiêng về phương án đây là hai nhóm hacker khác nhau với tiêu chí riêng. Giả thuyết này phù hợp với việc StoneDrill hỗ trợ ngôn ngữ Ả-rập – Yemen, trong khi Shamoon lại dùng tiếng Ba Tư (cả Iran và Yemen đều nói tiếng Ba Tư). Tuy nhiên, Kaspersky Lab cũng lưu ý đây có thể là đòn đánh lạc hướng gây khó cho các nhà điều tra.

Kaspersky Lab phát hiện ra StoneDrill khi nghiên cứu các đợt tấn công của Shamoon gần đây. Ban đầu, họ nghĩ rằng loại mã độc mới là một biến thể của Shamoon, nhưng khi phân tích sâu hơn thì phát hiện loại malware này dùng phương thức đặc biệt chưa từng thấy trước đó.

Giống với Shamoon từ năm 2012, phiên bản mới âm thầm chiếm quyền kiểm soát của nạn nhân, từ đó lây lan sang nhiều máy khác. Đến một lúc, chúng sẽ xóa toàn bộ dữ liệu khiến hệ thống ngừng hoạt động. Hiện Kaspersky Lab vẫn chưa hiểu cách StoneDrill lây lan như thế nào.

Google tăng gấp đôi dung lượng file nhận qua Gmail Giờ đây bạn có thể nhận email với dung lượng 50 MB, thay vì 25 MB như trước đây.

Tháo rời LG G6: ống tản nhiệt cao cấp và pin Li-Po không thể thay thế LG có lẽ đang muốn "gần gũi" hơn với người dùng của mình và cũng giúp khách hàng có thể hiểu rõ về từng sản ...

Mới đổi từ iPhone qua Android? Đây là 3 cách giúp bạn chuyển dữ liệu Người dùng có thể sử dụng phần mềm hoặc dây cáp OTG để chuyển tất cả dữ liệu chỉ với vài lần chạm hoặc chọn ...