Phần mềm độc hại cửa hậu được sử dụng để thực hiện các cuộc tấn công ransomware

Phần mềm độc hại cửa hậu (backdoor) có tên là Betruger đã được sử dụng như một công cụ mới nhất vào hoạt động tấn công tống tiền bằng mã độc dưới dạng dịch vụ ransomware-as-a-service (RaaS).

Các nhà nghiên cứu tại công ty an ninh mạng Symantec đã phát hiện ra một backdoor đa chức năng dường như được phát triển riêng để thực hiện các cuộc tấn công ransomware.

Backdoor Betruger có chức năng được sử dụng trong các công cụ trước ransomware, chẳng hạn như chụp màn hình, ghi lại phím, quét mạng, đổ thông tin xác thực, tải tệp lên máy chủ lệnh và điều khiển.

"Tên tệp được sử dụng cho các phiên bản của phần mềm độc hại này bao gồm mailer.exe và turbomailer.exe. Backdoor không chứa chức năng gửi thư. Có khả năng kẻ tấn công đã sử dụng tên này để ngụy trang thành một ứng dụng hợp pháp", Symantec tuyên bố.

Chức năng của Betruger là có thể được phát triển để giảm thiểu số lượng công cụ mới được thả vào mạng mục tiêu trong khi cuộc tấn công ransomware đang được chuẩn bị.

Symantec lưu ý, rằng việc phát triển phần mềm độc hại tùy chỉnh cho các cuộc tấn công ransomware là tương đối hiếm vì hầu hết những kẻ tấn công đều tận dụng các công cụ hiện có. Tuy nhiên, phần mềm độc hại tùy chỉnh chủ yếu được sử dụng để đánh cắp dữ liệu.

Cửa hậu Betruger đã được RansomHub phát hiện trong một số cuộc tấn công trong những tháng gần đây.

Công cụ này, chịu trách nhiệm cho số lượng các cuộc tấn công được tuyên bố cao nhất trong thời gian gần đây và được điều hành bởi một tác nhân đe dọa có tên là Greenbottle.