Các chuyên gia an ninh mạng đã xác định phần mềm tống tiền Cactus mới và nó là bậc thầy về ngụy trang. Nó thực hiện điều này một cách độc đáo, do đó khiến ngay cả các gói phần mềm chống vi-rút được tăng cường cũng không nhận thấy sự tồn tại của nó. Điều này nghe có vẻ khá đáng sợ vì bất kỳ ai cũng có thể có loại vi-rút này trên hệ thống của họ khi đang chạy phần mềm chống vi-rút.
Phần mềm độc hại mới tự thực thi theo một loạt cách, như một số chuyên gia an ninh mạng đã xác định. Một trong những phương pháp thực thi của nó liên quan đến việc nó ẩn mình khỏi bất kỳ phần mềm chống vi-rút nào có thể có trên hệ thống của người dùng. Nó khai thác điểm yếu của các phần mềm chống vi-rút và các giải pháp bảo mật thiết bị đầu cuối hiện có để che giấu bản thân ở nơi dễ thấy.
Thông tin về phần mềm tống tiền này được cung cấp bởi những người ở Kroll. Nhóm giải pháp tư vấn tài chính và rủi ro của công ty đã có thể phát hiện ra phần mềm độc hại này và công khai nó. Sau đây là mọi thứ bạn cần biết về phần mềm độc hại giả dạng này muốn giữ các tệp của bạn để đòi tiền chuộc.
Bậc thầy ngụy trang mới trong thế giới an ninh mạng là phần mềm tống tiền Cactus
The phần mềm tống tiền Cactus mới có ba chế độ tự thực thi chính trong hệ thống. Trong bài viết này, trọng tâm chính sẽ chỉ là một trong những cách nó thực thi trên một hệ thống. Phương thức thực thi này khiến phần mềm chống vi-rút ransomware không bị phát hiện ngay cả bởi các gói phần mềm chống vi-rút.
Nếu đã quen thuộc với các sản phẩm phần mềm chống vi-rút và các giải pháp bảo mật thiết bị đầu cuối, thì bạn sẽ biết rằng chúng không thể đọc các tệp được mã hóa. Chà, một trong những cách mà phần mềm tống tiền Cactus mới tự thực thi trong hệ thống là mã hóa. Với việc sử dụng khóa AES, kẻ xấu có thể triển khai phần mềm tống tiền này vào một hệ thống, nơi nó sẽ tồn tại dưới dạng một tệp được mã hóa.
Các chuyên gia an ninh mạng đã có thể hiểu cách thức hoạt động của phần mềm tống tiền này. Tất cả bắt đầu với việc những kẻ xấu cung cấp cho phần mềm tống tiền này một khóa AES duy nhất mà chúng cũng có quyền truy cập. Với khóa AES, tệp cấu hình của phần mềm độc hại và khóa RSA công khai có thể được giải mã.
Sau đó, kẻ xấu có thể mã hóa tệp phần mềm độc hại rồi chuyển tiếp tệp đó tới mục tiêu. Những thứ này sẽ đến hệ thống của mục tiêu dưới dạng chuỗi HEX, được mã hóa cứng trong tệp nhị phân của kẻ xấu. Sau khi phần mềm độc hại xâm nhập vào hệ thống của mục tiêu, kẻ xấu sẽ giải mã chuỗi HEX.
Điều này sẽ cấp cho chúng quyền truy cập vào dữ liệu của người dùng mà sau đó chúng có thể truy cập bằng khóa AES. Toàn bộ quá trình mã hóa làm cho phần mềm đòi tiền chuộc Cactus khó bị phát hiện. Nó có thể dễ dàng tồn tại trên một hệ thống, gây ra thiệt hại trong khi bị bỏ qua bởi giải pháp chống vi-rút hoặc bảo mật thiết bị đầu cuối đã cài đặt.
Phần mềm tống tiền Cactus là một bậc thầy về ngụy trang và ẩn mình trong tầm nhìn rõ ràng. Nhưng phần mềm độc hại này cũng có hai cách khác để thực thi trên hệ thống máy tính của mục tiêu. Thực thi nó bằng cách sử dụng mã hóa và một phương pháp khác cùng nhau làm cho phần mềm độc hại này trở nên nguy hiểm hơn. Sẽ có nhiều nghiên cứu và công việc hơn để hiểu rõ hơn về phần mềm tống tiền này và cách ngăn chặn các cuộc tấn công của nó.