Các nhóm ransomware đã gia tăng đáng kể hoạt động bằng cách khai thác tích cực các lỗ hổng nghiêm trọng, làm nổi bật xu hướng tống tiền mạng tinh vi nhắm vào các ngành phụ thuộc vào dữ liệu.

Tổng quan về Bối cảnh Ransomware

Số nạn nhân ransomware toàn cầu đã giảm xuống 463 trường hợp, giảm 15% so với mức 545 của tháng 5. Mặc dù vậy, cường độ tấn công vẫn duy trì ở mức cao, với nhóm Qilin tự nhận trách nhiệm về 81 vụ tấn công thông qua các hành vi xâm nhập cơ hội, khai thác các hệ thống FortiGate và FortiProxy chưa được vá.

Hoạt động Ransomware-as-a-Service (RaaS) này, hoạt động từ khi xuất hiện và đã gây ra hơn 310 nạn nhân, đã tích hợp các khai thác zero-day vào kho vũ khí của mình. Nhóm này tập trung vào các thiết bị biên để xâm nhập các doanh nghiệp tại các khu vực nói tiếng Tây Ban Nha và các khu vực khác.

Các Nhóm Ransomware Nổi Bật và Kỹ thuật Tấn công

Qilin Group: Khai thác Điểm yếu Fortinet và Chiến thuật Tống tiền

Nhóm Qilin đã vũ khí hóa các lỗ hổng CVE-2024-21762 (bỏ qua xác thực) và CVE-2024-55591 (thực thi mã từ xa) để triển khai payload bán tự động. Việc bỏ qua xác thực cho phép kẻ tấn công vượt qua các cơ chế xác thực thông thường, trong khi thực thi mã từ xa cấp cho chúng khả năng chạy mã tùy ý trên hệ thống mục tiêu.

Sự phát triển của nhóm Qilin còn bao gồm việc áp dụng các chiến thuật cưỡng bức tâm lý. Một tính năng “Call Lawyer” (Gọi Luật sư) trong bảng điều khiển liên kết của chúng được thiết kế để mô phỏng các mối đe dọa pháp lý, nhằm đẩy nhanh quá trình thanh toán tiền chuộc. Bên cạnh đó, Qilin cũng đã tích hợp các khả năng nâng cao như payload dựa trên Rust và C, thực thi ở chế độ an toàn (Safe Mode execution), và khả năng lây lan qua mạng (network propagation).

Fog: Tiếp cận Lén lút và Di chuyển Ngang

Các nhóm ransomware mới nổi như Fog và Anubis đang định hình lại các phương pháp luận tấn công bằng cách sử dụng các bộ công cụ mô-đun và gia tăng mức độ phá hoại.

Fog áp dụng cách tiếp cận theo hướng tàng hình, sử dụng các công cụ hợp pháp như Syteca để ghi lại thao tác bàn phím (keystroke logging) và giám sát, được phân phối qua proxy Stowaway. Nhóm này cũng tận dụng SMBExec của Impacket để di chuyển ngang (lateral movement) trong mạng nội bộ và sử dụng GC2 cho các hoạt động chỉ huy và kiểm soát (command-and-control – C2) thông qua Google Sheets hoặc SharePoint.

Quá trình đánh cắp dữ liệu của Fog dựa vào các công cụ như 7-Zip, MegaSync và FreeFileSync, cho phép chúng né tránh các hệ thống phát hiện và phản hồi điểm cuối (EDR) bằng cách kết hợp các tiện ích mã nguồn mở với các khai thác trong các lỗ hổng của Veeam và SonicWall. Việc sử dụng các công cụ hợp pháp và mã nguồn mở giúp giảm thiểu khả năng bị phát hiện bởi các giải pháp bảo mật truyền thống.

Anubis: Mô-đun Xóa dữ liệu Vĩnh viễn

Anubis, một biến thể RaaS hoạt động từ tháng 12 năm 2024, đã bổ sung một mô-đun xóa dữ liệu (file-wiping module) được kích hoạt bởi tham số /WIPEMODE. Mô-đun này được thiết kế để xóa nội dung dữ liệu trong khi vẫn giữ nguyên cấu trúc tệp, khiến việc khôi phục dữ liệu trở nên bất khả thi và tăng cường áp lực tống tiền.

Mã độc này được mã hóa bằng ECIES, có khả năng chấm dứt các tiến trình đang chạy, xóa các bản sao lưu Volume Shadow Copies và loại trừ các thư mục hệ thống để duy trì khả năng sử dụng của máy chủ. Điều này cho thấy sự dịch chuyển trong chiến thuật của các nhóm ransomware sang hướng gây thiệt hại không thể đảo ngược để buộc nạn nhân nhanh chóng nhượng bộ.

Các Nhóm Ransomware Khác: Warlock và KaWaLocker

Các nhóm mới nổi khác như Warlock, được xây dựng trên framework Chaos với các phần mở rộng tệp ngẫu nhiên và yêu cầu thanh toán bằng Bitcoin, và kawa4096 (KaWaLocker) với khả năng mã hóa đa tệp nhanh chóng, tiếp tục đa dạng hóa hệ sinh thái mối đe dọa. Các nhóm này lần lượt tự nhận trách nhiệm về 19 và 9 nạn nhân, thường thông qua tấn công vét cạn (brute-force) giao thức RDP hoặc các chiến dịch lừa đảo (phishing).

Phân tích Tác động và Mục tiêu

Các tác nhân ransomware ưu tiên các lĩnh vực có khả năng chịu đựng thời gian ngừng hoạt động tối thiểu, bao gồm: Hàng hóa & Dịch vụ Chuyên nghiệp (60 nạn nhân), Chăm sóc Sức khỏe (52 nạn nhân), và Công nghệ Thông tin (50 nạn nhân). Chúng khai thác dữ liệu nhạy cảm và sự phức tạp của chuỗi cung ứng để đạt được đòn bẩy tối đa.

Hoa Kỳ chịu ảnh hưởng nặng nề nhất với 235 sự cố, tiếp theo là Canada và Vương quốc Anh, mỗi nước ghi nhận 24 sự cố. Điều này được thúc đẩy bởi sự thịnh vượng kinh tế và tiềm năng thanh toán tiền chuộc cao ở các quốc gia này.

Các vụ vi phạm đáng chú ý bao gồm cuộc tấn công của Qilin vào Lee Enterprises, trong đó 350 GB thông tin nhận dạng cá nhân (PII) như số An sinh xã hội và hồ sơ tài chính đã bị đánh cắp. Một vụ khác là vụ đánh cắp 941 GB dữ liệu từ Kettering Health bởi Interlock, gây gián đoạn hồ sơ sức khỏe điện tử thông qua các RAT tùy chỉnh như NodeSnake. Các đối tác cũ của nhóm Black Basta đã chuyển sang tấn công lừa đảo qua Microsoft Teams và sử dụng các RAT dựa trên Python để đánh cắp thông tin xác thực và thực hiện C2 qua các nền tảng đám mây.

Các Biện pháp Phòng chống và Giảm thiểu

Để chống lại các mối đe dọa này, các tổ chức cần áp dụng các biện pháp chủ động sau:

• Thực hiện quản lý vá lỗi nghiêm ngặt đối với các lỗ hổng như những lỗ hổng trong Fortinet và SimpleHelp RMM (ví dụ: CVE-2024-57726 và các lỗ hổng khác). Việc vá lỗi kịp thời là cực kỳ quan trọng để đóng các cửa ngõ khai thác của kẻ tấn công.
• Thực thi phân đoạn mạng (network segmentation) để hạn chế di chuyển ngang trong trường hợp xảy ra vi phạm ban đầu. Phân đoạn mạng giúp cô lập các khu vực trong mạng, ngăn chặn kẻ tấn công lan rộng sau khi xâm nhập.
• Kích hoạt xác thực đa yếu tố (MFA) trên các tài khoản đặc quyền để tăng cường lớp bảo mật chống lại việc truy cập trái phép, ngay cả khi thông tin đăng nhập bị đánh cắp.
• Đầu tư chiến lược vào đào tạo nhân viên về nhận thức an ninh mạng, xây dựng kế hoạch ứng phó sự cố (incident response planning) chi tiết, và mua bảo hiểm mạng (cyber insurance) để giảm thiểu chi phí khôi phục.
• Kết hợp các biện pháp trên với việc kiểm tra an ninh thường xuyên (regular security audits) là điều cần thiết để giảm thiểu chi phí khôi phục trung bình là 200.000 USD và ngăn chặn các sự cố ngừng hoạt động ảnh hưởng đến 31% nạn nhân, đảm bảo khả năng phục hồi trước hệ sinh thái ransomware đang ngày càng trưởng thành này.

Chỉ số Thỏa hiệp (IOCs)

Dưới đây là danh sách các nhóm ransomware và mã độc liên quan được đề cập:

• Nhóm Ransomware:
  • Qilin
  • Fog
  • Anubis
  • Warlock
  • kawa4096 (KaWaLocker)
  • Interlock
  • Black Basta (các đối tác cũ)
• Mã độc/RAT:
  • NodeSnake (RAT tùy chỉnh của Interlock)
  • Payload dựa trên Rust (Qilin)
  • Payload dựa trên C (Qilin)
  • RAT dựa trên Python (các đối tác cũ của Black Basta)
• Lỗ hổng Khai thác:
  • CVE-2024-21762 (Fortinet)
  • CVE-2024-55591 (Fortinet)
  • CVE-2024-57726 (SimpleHelp RMM)
  • Các lỗ hổng trong Veeam
  • Các lỗ hổng trong SonicWall
• Công cụ/Kỹ thuật Phụ trợ:
  • Syteca (keystroke logging)
  • Stowaway proxies
  • Impacket SMBExec (lateral movement)
  • GC2 (C2 qua Google Sheets/SharePoint)
  • 7-Zip (data exfiltration)
  • MegaSync (data exfiltration)
  • FreeFileSync (data exfiltration)