Hãng bảo mật Trend Micro cho biết, hầu hết các trang web nhiễm virus đều chứa mã độc “Webshell” có mật khẩu bảo vệ, có nghĩa là kẻ tấn công đã cài chương trình cửa hậu này vào máy chủ của trang web mà họ truy cập bất hợp pháp.
Biến thể của mã độc tống tiền, virus CTB-Locker, được viết bằng ngôn ngữ lập trình PHP và sẽ mã hóa các tập tin trên các trang sử dụng WordPress. Sau đó nó thay thế tập tin index.php bằng một tập tin có khả năng xóa bỏ các trang web đó để hiển thị một thông báo đòi tiền chuộc. Điều thú vị là chức năng hỗ trợ trong phòng chat được thiết kế sẵn để thực hiện liên lạc giữa kẻ bắt cóc dữ liệu và các nạn nhân.
Khi những kẻ tấn công có quyền truy cập vào một trang web, chúng sẽ đổi tên tập tin index.php hoặc index.html đang tồn tại sang original_index.php hoặc original_index.html, sau đó chúng tải lên một tập tin index.php được tạo bởi lập trình viên, có thể thực hiện mã hóa, giải mã, và hiển thị thông báo tống tiền tại các trang web bị hack. Cần lưu ý rằng nếu trang web đó không sử dụng PHP, virus tống tiền CTB-Locker sẽ không thể hoạt động.
Các chuyên gia bảo mật Trend Micro chia sẻ, từ vụ tấn công đầu tiên được ghi nhận có liên quan đến biến thể của virus tống tiền, vấn đề khó khăn đó là liệu rằng vụ tấn công này nên được tuyên bố là một vụ tấn công mã độc tống tiền, hay chỉ đơn giản là được dàn dựng nhằm mang đến nỗi sợ hãi cho chủ sở hữu của các website bị nhắm đến. Trong lúc đó, các nhà nghiên cứu đã thu được bản sao đầy đủ của mã độc hại từ một trong những trang web bị nhiễm virus và phát hiện rằng cho đến nay đã có ít nhất 102 trang web bị lây nhiễm.
Ngay lúc này, không có dấu hiệu rõ ràng nào tiết lộ về cách thức thủ phạm đứng sau những mã độc tống tiền này có thể xâm nhập và cài đặt mã độc vào các trang web. Các chuyên gia bảo mật đã loại trừ khả năng vì một lỗ hổng trên WordPress khi một số các trang web bị nhiễm không sử dụng một CMS. Các trang chủ bị nhiễm virus đều chạy cả Linux và Windows, và phần lớn (73%) đều lưu trữ một exim service (SMTP server).
Các nhà nghiên cứu cho biết thêm rằng hầu hết các trang web nhiễm virus đều chứa mã độc “Webshell” có mật khẩu bảo vệ, có nghĩa là kẻ tấn công đã cài chương trình cửa hậu này vào máy chủ của trang web mà họ truy cập bất hợp pháp. Điều này càng cho thấy rằng những trang web bị nhiễm virus không được quản lý và duy trì thích hợp bởi chủ sở hữu, thể hiện qua việc thất bại trong việc cài đặt các phần mềm đã được cập nhật.
Theo các chuyên gia, sẽ không có công cụ nào có thể giải mã các tập tin thuộc về nạn nhân. Tuy nhiên, hai tập tin riêng biệt được mã hóa có thể được giải mã mà không cần bất kỳ khoản tiền nào.
Đây không phải là lần đầu tiên một biến thể mã độc tống tiền nhắm vào các website. Nhưng lỗ hổng mã hóa ngay lập tức bị chặn lại khi các nhà nghiên cứu đã tạo được một công cụ giải mã. Điều này về cơ bản có lẽ là một tiền đề cho nỗ lực của các kẻ tấn công để nhân rộng các chiến thuật tương tự hoặc tốt hơn. Có thể nói rằng đó có lẽ chỉ là khởi đầu của một loại biến thể của mã độc tống tiền khét tiếng mà người dùng nên thận trọng trong những tháng tới.
(Theo MAI KHÔI - echip.com.vn)