Theo TechRadar, các nhà nghiên cứu an ninh mạng từ công ty Kroll gần đây đã phát hiện ra một biến thể ransomware có tên gọi là Cactus. Loại ransomware này có khả năng trốn tránh được sự phát hiện của các chương trình bảo mật bằng cách tự mã hóa chính nó.
Theo báo cáo của BleepingComputer, loại ransomware này có ba chế độ thực thi chính, một trong số đó là cơ chế tự mã hóa. Sau khi được triển khai, những kẻ tấn công sẽ cung cấp cho phần mềm độc hại một mã khóa AES duy nhất mà chỉ có chúng biết được.
Mã khóa này được sử dụng để giải mã tệp cấu hình của ransomware và mã khóa RSA để mã hóa mọi thứ trên hệ thống của nạn nhân. Mã này có dạng chuỗi HEX được mã hóa cứng trong tệp nhị phân của công cụ mã hóa. Bằng cách giải mã chuỗi HEX, kẻ tấn công sẽ có được dữ liệu bị mã hóa nếu có khóa AES.
“Cactus về cơ bản sẽ tự mã hóa, khiến nó khó bị phát hiện bởi các công cụ giám sát mạng và chống virus”, Laurie Iacono, phó giám đốc an ninh mạng tại Kroll, nói với Bleeping Computer.
Điểm đặc biệt của Cactus là nó có nhiều chế độ mã hóa, trong đó có cả chế độ mã hóa nhanh. Nếu kẻ tấn công quyết định chạy cả hai chế độ lần lượt, các tệp trên thiết bị của nạn nhân sẽ bị mã hóa hai lần và sẽ có hai kiểu đuôi định dạng.
Có rất ít thông tin về hoạt động của ransomware Cactus. Hiện vẫn chưa rõ rằng liệu đã có doanh nghiệp nào đã và đang bị nó tấn công hay chưa. Mặc dù chưa được xác nhận, nhưng một số báo cáo cho rằng các tin tặc điều hành Cactus thường đòi tiền chuộc lên đến hàng triệu USD.
Cách tốt nhất để tự bảo vệ trước ransomware là thường xuyên cập nhật các bản vá bảo mật cho cả phần mềm và phần cứng, thiết lập các giải pháp an ninh mạng và đào tạo các nhân viên trong hệ thống doanh nghiệp nhận biết về sự nguy hiểm của các cuộc tấn công lừa đảo trực tuyến.