Một loại malware xóa dữ liệu cực kỳ nguy hiểm sắp quay trở lại

Loại mã độc mới đang âm thầm lây nhiễm đến trên máy nạn nhân mà chẳng hề bị phát hiện rồi tự động xóa bỏ  các dữ liệu khiến  cho hệ thống ngừng hoạt động.

Shamoon, một phần mềm độc hại “khét tiếng” từng rat ay tấn công hơn 35.000 máy tính của nhiều công ty khí đốt ở Saudi Arabian hồi năm 2012 đã quay trở lại. Loại mã độc này tạo nguy hiểm lớn cho nạn nhân vì có khả năng xóa hết các dữ liệu hệ thống.

Shamoon từng gieo rắc nỗi sợ hãi vào năm 2012.

Dưới nhiều hình hài mới, malware này đã hiện ra 3 lần kể từ hồi tháng 11 năm ngoái, nhưng  lại chỉ dừng ở phạm vi những nước Trung Đông. Thế nhưng, có một loại mã độc có phương  thức hoạt động tương tự đang nhắm tới  một công ty dầu mỏ ở châu Âu tạo lên nhiều lo ngại.

Kaspersky Lab gọi đấy là “StoneDrill”. Họ tình cờ tìm thấy  phần mềm độc hại này khi đang thực hiện nghiên về  cứu cuộc tấn công của Shamoon vào hai ngày cuối tháng 11 và một ngày vào cuối tháng Giêng. Thế hệ Shamoon 2.0 mang theo đầy đủ công cụ và kỹ thuật mới, khiến cho chúng ít phụ thuộc vào C&C Servers (máy chủ được điều khiển qua lệnh) ở bên ngoài hơn, một mô-đun có đầy chức năng mã hóa và hoạt động tốt ở trên cả nền 32-bit và 64-bit.

Khả năng ẩn mình của StoneDrill gây ấn tưởng hơn do  không dùng tới trình điều khiển ổ đĩa trong suốt quá trình cài đặt. Để thực hiện điều này, mã độc sẽ cắm thêm một mô-đun để xóa dữ liệu vào trong bộ nhớ máy tính. StoneDrill cùng lúc tạo “cổng hậu” nhằm đánh cắp các dữ liệu. Ngoài việ dùng mã code giống Shamoon, phía chuyên gia còn thấy rằng StoneDrill dùng những thủ thuật giống như chiến dịch gián điệp “NewsBeef” vốn được nhắm vào nhiều tổ chức ở  trên toàn thế giới.

Giới chuyên gia hiện chưa hiểu rõ  về mối quan hệ giữa StoneDrill với Shamoon. Họ nghiêng về phương án rằng đây là hai nhóm hacker khác nhau có tiêu chí riêng. Giả thuyết này thích hợp với việc StoneDrill hỗ trợ cho ngôn ngữ Ả-rập – Yemen, trong khi  đó Shamoon lại sử dụng tiếng Ba Tư (cả Iran và Yemen đều dùng tiếng Ba Tư). Tuy nhiên, Kaspersky Lab cũng nhắc nhở đây có thể là một đòn đánh lạc hướng gây ra khó khăn cho những nhà điều tra.

Kaspersky Lab tìm ra StoneDrill khi đang nghiên cứu những đợt tấn công của Shamoon  khoảng gần đây. Ban đầu, họ cho rằng loại mã độc mới này  là một biến thể của mã độc Shamoon, nhưng khi đi vào phân tích sâu hơn thì nhận ra loại malware này sử dụng phương thức đặc biệt chưa từng được  thấy trước đó.