Kaspersky cảnh báo về sự trở lại của một loại malware xóa dữ liệu cực kỳ nguy hiểm

Shamoon, phần mềm độc hại “khét tiếng” từng tấn công hơn 35.000 máy tính của các công ty khí đốt Saudi Arabian hồi năm 2012 đang quay trở lại. Loại mã độc này gây nguy hiểm cho nạn nhân vì có thể xóa hết dữ liệu hệ thống.

Shamoon từng gieo rắc nỗi sợ hãi vào năm 2012.

Dưới những hình hài mới, malware này đã xuất hiện 3 lần kể từ tháng 11 năm ngoái, nhưng chỉ dừng lại ở phạm vi các nước Trung Đông. Thế nhưng, có một loại mã độc với cách thức hoạt động tương tự đang nhắm vào một công ty dầu mỏ châu Âu dấy lên nhiều lo ngại.

Kaspersky Lab gọi đó là “StoneDrill”. Họ tình cờ phát hiện ra phần mềm độc hại này khi đang nghiên cứu cuộc tấn công của Shamoon hai ngày cuối tháng 11 và một ngày cuối tháng Giêng. Thế hệ Shamoon 2.0 được trang bị công cụ và kỹ thuật mới, cho phép chúng ít phụ thuộc vào C&C Servers (máy chủ điều khiển qua lệnh) bên ngoài hơn, một mô-đun đầy đủ chức năng mã hóa và hoạt động tốt trên cả nền 32-bit lẫn 64-bit.

Các chuyên gia Kaspersky đã phát hiện loại mã độc mới trong quá trình nghiên cứu Shamoon.

Khả năng ẩn mình của StoneDrill ấn tưởng hơn vì không sử dụng trình điều khiển ổ đĩa trong quá trình cài đặt. Để làm điều này, mã độc sẽ cắm một mô-đun xóa dữ liệu vào bộ nhớ máy tính. StoneDrill đồng thời tạo “cổng hậu” nhằm mục đích đánh cắp dữ liệu. Ngoài việc sử dụng mã code giống Shamoon, giới chuyên gia còn nhận thấy StoneDrill dùng các thủ thuật tương tự chiến dịch gián điệp “NewsBeef” vốn nhắm vào nhiều tổ chức trên toàn thế giới.

Báo cáo của Kaspersky Lab dài 35 trang hôm thứ Hai nêu rõ: “Việc phát hiện ra mã độc xóa dữ liệu StoneDrill tại châu Âu chứng tỏ nhóm đứng đằng sau đó đang mở rộng quy mô tấn công vượt ra ngoài khu vực Trung Đông. Mục tiêu của chúng là một tập đoàn lớn thuộc ngành hóa dầu, mà không có mối quan hệ rõ ràng với Ả-rập Xê-út.”

Đến một lúc nào đó, hệ thống sẽ tự động xóa sạch dữ liệu.

Giới chuyên gia chưa hiểu rõ mối quan hệ giữa StoneDrill và Shamoon. Họ nghiêng về phương án đây là hai nhóm hacker khác nhau với tiêu chí riêng. Giả thuyết này phù hợp với việc StoneDrill hỗ trợ ngôn ngữ Ả-rập – Yemen, trong khi Shamoon lại dùng tiếng Ba Tư (cả Iran và Yemen đều nói tiếng Ba Tư). Tuy nhiên, Kaspersky Lab cũng lưu ý đây có thể là đòn đánh lạc hướng gây khó cho các nhà điều tra.

Kaspersky Lab phát hiện ra StoneDrill khi nghiên cứu các đợt tấn công của Shamoon gần đây. Ban đầu, họ nghĩ rằng loại mã độc mới là một biến thể của Shamoon, nhưng khi phân tích sâu hơn thì phát hiện loại malware này dùng phương thức đặc biệt chưa từng thấy trước đó.

Giống với Shamoon từ năm 2012, phiên bản mới âm thầm chiếm quyền kiểm soát của nạn nhân, từ đó lây lan sang nhiều máy khác. Đến một lúc, chúng sẽ xóa toàn bộ dữ liệu khiến hệ thống ngừng hoạt động. Hiện Kaspersky Lab vẫn chưa hiểu cách StoneDrill lây lan như thế nào.