Vào ngày 04 và 05 tháng 5, tại Đài Loan đã xảy ra hai vụ tấn công mã độc nhắm đến 2 tập đoàn xăng dầu và hóa chất lớn là CPC Corporation và Formosa Petrochemical Corporation (FPCC).
- Tấn công mã độc nhắm vào CPC và FPCC
Vào ngày 04 và 05 tháng 5, tại Đài Loan đã xảy ra hai vụ tấn công mã độc nhắm đến 2 tập đoàn xăng dầu và hóa chất lớn là CPC Corporation và Formosa Petrochemical Corporation (FPCC).
Vào thứ Hai, 04/05, CPC cho biết hệ thống máy tính của họ đã bị lây nhiễm ransomware, gây ra các sự cố thanh toán tại các chi nhánh xăng dầu của tập đoàn. Sự cố khiến khách hàng không thể sử dụng thẻ thanh toán VIP hay ứng dụng thanh toán điện tử, buộc phải chuyển qua thanh toán bằng thẻ tín dụng và tiền mặt. Vào cuối ngày 04/05, CPC thông báo đã phục hồi thành công hệ thống thanh toán cũng như đảm bảo hệ thống quản trị và vận hành của tập đoàn không bị ảnh hưởng.
FPCC, cho dù đã đưa ra tình trạng “báo động cao” (“high alert”) dựa trên tình hình của CPC, cũng đã phải chịu một cuộc tấn công mã độc ransomware khác, bắt nguồn từ một máy tính của một nhân viên trong tập đoàn. FPCC đã nhanh chóng phản ứng bằng cách tắt toàn bộ các máy tính trong hệ thống để ngăn chặn lây nhiễm, bảo đảm an toàn dữ liệu và hệ thống quản trị.
Cơ quan Điều tra của Đài Loan đã tiến hành điều tra và phân tích mẫu mã độc ransomware tấn công vào FPCC, tuy nhiên đến hiện tại vẫn chưa có đủ thông tin để tìm ra tác nhân (threat actor) đứng đằng sau cũng như mối liên hệ giữa 2 cuộc tấn công nhắm vào FPCC và CPC.
Mặt khác, sau quá trình tìm kiếm và phân tích nguồn mã hóa, các chuyên gia đã xác định được mẫu mã độc tấn công vào CPC Corp là Nefilim Ransomware. Mẫu mã độc này cũng đã được sử dụng trong 2 cuộc tấn công khác nhắm vào Logistics Company Toll Group của Úc và MAS Holdings của Sri Lanka.
- Phân tích Nefilim Ransomware
Nefilim Ransomware sử dụng code có nhiều điểm tương đồng với Nemty 2.5 ransomware. Khác biệt lớn nhất là Nefilim được triển khai theo dạng Ransomware-as-a-Service (RaaS), cho phép quản lý việc thanh toán qua các liên lạc email hơn là các trang thanh toán Tor (Tor payment site). Nefilim được lan truyền chủ yếu qua RDP, tương tự như Nemty, Crysis hay SAMSAM.
Nefilim sử dụng mã hóa AES-128 để mã hóa các file của nạn nhân. Mã hóa RSA-2048 được nhúng vào vào file thực thi ransomware sau đó để tiến hành mã hóa key mã hóa AES (AES encrytion key). Một đặc điểm khác là chuỗi ký tự “NEFILIM” được thêm vào tên của tất cả các file bị mã hóa để tiến hành đánh dấu.
Indicators of Compromise (IoCs)
SHA256 – eacbf729bb96cf2eddac62806a555309d08a705f6084dd98c7cf93503927c34f
SHA256 – fd3c8be2d1ead92101e8909a85695a0a40c2576c87eefeef6d32376a7fe22f1c
SHA256 – 5ab834f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6
SHA256 – 9c6b020769101b8274ec0814628a42efb45fce1798a3d5abf35a78021ec3eca4
SHA256 – b227fa0485e34511627a8a4a7d3f1abb6231517be62d022916273b7a51b80a17
SHA256 – d4492a9eb36f87a9b3156b59052ebaf10e264d5d1ce4c015a6b0d205614e58e3
MD5 – 8f90539c405672016c0dec7ac3574eea
MD5 – c7d73ff9743fd8abcda7466f70aa3085
MD5 – 3beb3d466bcc0977ec2dd66d72ab6bb3
MD5 – 86e048d2eae96a817b272a2a7258271c
MD5 – ad25b6af563156765025bf92c32df090
MD5 – 70e4b9b7a83473687e5784489d556c87
SHA1 – e94089137a41fd95c790f88cc9b57c2b4d5625ba
SHA1 – 1f594456d88591d3a88e1cdd4e93c6c4e59b746c
SHA1 – b2104da751de1fc8c0d46a068445b0034ec30912
SHA1 – b9a5aa1d25f5e535d7b56c1438703b185fa77681
SHA1 – bd59d7c734ca2f9cbaf7f12bc851f7dce94955d4
SHA1 – fee173814c25d2e1c8a5b2da20305b562f7fc7ff
