Không giống như mã độc tống tiền (ransomware) đã được biết, mã độc Sorebrect được thiết kế để nhằm đến các máy chủ và thiết bị đầu cuối của doanh nghiệp. Mã độc sau khi được chèn vào máy tính nạn nhân và được kích hoạt sẽ khởi động quá trình mã hóa tệp trên máy nội bộ và lây nhiễm qua các mạng chia sẻ.
Mã độc này sử dụng tiện ích dòng lệnh Sysinternals PsExec của Microsoft để mã hóa các tệp.
Theo hãng Trend Micro, PsExec có thể cho phép tin tặc chạy các lệnh được thực hiện từ xa, thay vì cung cấp và sử dụng toàn bộ phiên đăng nhập tương tác, hoặc tự chuyển phần mềm độc hại vào một máy từ xa, giống như trong RDPs.
Sorebrect mã hóa mạng chia sẻ
Mã độc Sorebrect cũng quét các máy tính kết nối cục bộ khác và khóa các tệp đã được chia sẻ trên các máy tính đó.
Mã độc khó được phát hiện do chúng sẽ xóa tất cả các bản ghi log sự kiện bằng cách sử dụng file thực thi wevtutil.exe và các bản sao tạm thời sử dụng vssadmin trên máy tính bị nhiễm để xoá hết các chứng cứ điều tra như các tập tin thực thi trên hệ thống và tem thời gian.
Giống như hầu hết các phần mềm độc hại khác, Sorebrect cũng sử dụng giao thức mạng Tor để ẩn danh giao tiếp với máy chủ ra lệnh và kiểm soát (C&C).
Mã độc Sorebrect có khả năng phát tán trên toàn cầu
Các chuyên gia cho rằng, mã độc Sorebrect được thiết kế để nhằm mục tiêu các hệ thống từ nhiều ngành công nghiệp khác nhau bao gồm sản xuất, công nghệ và viễn thông.
Theo nguồn tin của Trend Micro, Sorebrect ban đầu nhằm vào các quốc gia Trung Đông như: Kuwait và Lebanon, nhưng từ tháng 5/2017, mã độc đã bắt đầu lây nhiễm sang Canada, Trung Quốc, Croatia, Ý, Nhật, Mexico, Nga, Đài Loan và Hoa Kỳ.
Các chuyên gia nhận định, với tác động tiềm năng và khả năng sinh lời của mã độc tống tiền, mã độc Sorebrect sẽ lây lan sang những khu vực khác trên thế giới.
Các cách chống lại cuộc tấn công của mã độc
Do mã độc Sorebrect không nhằm vào người dùng cá nhân, nên các tổ chức, quản trị viên và các chuyên gia bảo mật cần bảo vệ các hệ thống bằng cách: Hạn chế quyền ghi, sửa đổi của người dùng trong hệ thống; Giới hạn đặc quyền cho PsExec và chỉ cho phép quyền thực thi đối với các quản trị viên hệ thống; Luôn cập nhật hệ điều hành, phần mềm; Sao lưu dữ liệu thường xuyên, đặc biệt là với các tệp tin và tài liệu quan trọng; cập nhật thường xuyên thông tin về phần mềm độc hại và biện pháp bảo mật trong hệ thống, tuyên truyền và đào tạo cho toàn cán bộ, nhân viên để có nhận thức đúng về mã độc, nguy cơ và mức độ huy hiểm của mã độc cũng như vai trò rất quan trọng của an toàn, an ninh thông tin đối với mỗi tổ chức, doanh nghiệp.