-
09/04/2020
-
110
-
1.041 bài viết
Ransomware Crypto24 tấn công đa tầng, gây thiệt hại kép về tài chính và uy tín
Từ tháng 9/2024, một nhóm ransomware mới có tên Crypto24 đã xuất hiện và nhanh chóng lọt vào tầm ngắm của giới an ninh mạng. Dù “sinh sau đẻ muộn”, Crypto24 vẫn nhắm đủ đối tượng với các phương thức tấn công nguy hiểm, không chỉ khóa dữ liệu bằng mã độc tống tiền, mà còn bí mật đánh cắp thông tin trước khi ra tay, khiến thiệt hại cho nạn nhân tăng gấp đôi.
Nhóm này sử dụng các công cụ tùy chỉnh để vượt qua hệ thống bảo mật như EDR và phần mềm chống virus, đồng thời mã hóa dữ liệu và đánh cắp thông tin trước khi yêu cầu tiền chuộc. Các nạn nhân chủ yếu là các tổ chức trong các ngành tài chính, sản xuất, giải trí và công nghệ. Crypto24 cũng duy trì quyền kiểm soát bằng cách tạo tài khoản quản trị mới và sử dụng các dịch vụ độc hại.
Nhóm này đã tấn công nhiều tổ chức lớn ở Mỹ, châu Âu và châu Á, bao gồm cả ngành tài chính, sản xuất, giải trí và công nghệ nên các doanh nghiệp của Việt Nam cũng không phải ngoại lệ. Kĩ thuật tấn công để vô hiệu hóa EDR mặc dù hiện tại mới ghi nhận chỉ nhắm đến Trend Micro, Kaspersky, McAfee, Bitdefender,... Tuy nhiên, các hãng khác không thể không cảnh giác và lường trước đến các phương án tấn công có thể xảy ra.
Các tổ chức tại Việt Nam, đặc biệt trong các lĩnh vực tài chính, sản xuất và công nghệ, có thể là mục tiêu của nhóm ransomware này. Việc sử dụng công cụ tấn công để vượt qua các phần mềm bảo mật hiện có có thể dẫn đến các sự cố nghiêm trọng, bao gồm mất mát dữ liệu và gián đoạn hoạt động. Các doanh nghiệp Việt Nam có thể chịu thiệt hại lớn nếu không áp dụng các biện pháp bảo mật mạnh mẽ.
Sau khi thâm nhập được vào mạng doanh nghiệp, Crypto24 kích hoạt tài khoản quản trị mặc định của Windows hoặc tạo tài khoản mới để duy trì quyền truy cập mà không bị chú ý.
Bước 2: Trinh sát hệ thống
Chúng dùng các tập tin batch tùy chỉnh để thu thập thông tin về tài khoản, phần cứng, cấu trúc ổ đĩa và các thông tin hệ thống then chốt.
Bước 3: Cài đặt công cụ độc hại
Nhóm sử dụng một biến thể của công cụ mã nguồn mở RealBlindingEDR để “làm mù” các giải pháp bảo mật của nhiều hãng nổi tiếng như: Trend Micro, Kaspersky, Sophos, SentinelOne, McAfee, Bitdefender, Cisco, Fortinet… Đặc biệt với Trend Micro, chúng còn tận dụng công cụ hợp pháp XBCUninstaller.exe nhằm gỡ bỏ giải pháp bảo mật mà không bị cảnh báo.
Bước 5
i chuyển ngang và đánh cắp dữ liệu
Chúng dùng chia sẻ SMB để lan sang các máy khác và lưu trữ tạm dữ liệu. Toàn bộ dữ liệu bị đánh cắp sẽ được tải lên Google Drive bằng một công cụ riêng, lợi dụng API WinINET để kết nối.
Bước 6: Mã hóa và chặn khôi phục
Trước khi triển khai ransomware, Crypto24 xóa toàn bộ bản sao lưu (Volume Shadow Copy) trên Windows để ngăn khôi phục dữ liệu.
Crypto24 được đánh giá là đặc biệt nguy hiểm vì sở hữu nhiều yếu tố khiến việc phát hiện và ngăn chặn trở nên khó khăn. Nhóm này áp dụng chiến thuật tấn công đa tầng, vừa đánh lừa con người bằng cách giả mạo công cụ hay dịch vụ hợp pháp, vừa thực hiện các kỹ thuật xâm nhập tinh vi ở mức sâu. Chúng có khả năng “tàng hình” rất cao khi lợi dụng các nền tảng chính thống để qua mặt hệ thống bảo mật. Đáng lo hơn, mỗi cuộc tấn công đều gây ra “hậu quả kép”, dữ liệu bị mã hóa và thông tin quan trọng đã bị đánh cắp từ trước, dẫn tới thiệt hại cả về tài chính lẫn uy tín cho nạn nhân.
Một số chi tiết kỹ thuật cũng cần được chú ý, Crypto24 sử dụng phiên bản tùy biến của công cụ RealBlindingEDR để vô hiệu hóa hàng loạt giải pháp EDR và phần mềm diệt virus. Chúng còn khai thác Google Drive để chuyển dữ liệu, lợi dụng việc đây là dịch vụ phổ biến và ít khi bị chặn để che giấu lưu lượng bất thường. Chiến lược “dùng công cụ hợp pháp làm vỏ bọc” này khiến quản trị viên khó nhận biết đâu là hoạt động bình thường và đâu là hành vi tấn công.
Các chuyên gia khuyến cáo:
Nhóm này sử dụng các công cụ tùy chỉnh để vượt qua hệ thống bảo mật như EDR và phần mềm chống virus, đồng thời mã hóa dữ liệu và đánh cắp thông tin trước khi yêu cầu tiền chuộc. Các nạn nhân chủ yếu là các tổ chức trong các ngành tài chính, sản xuất, giải trí và công nghệ. Crypto24 cũng duy trì quyền kiểm soát bằng cách tạo tài khoản quản trị mới và sử dụng các dịch vụ độc hại.
Nhóm này đã tấn công nhiều tổ chức lớn ở Mỹ, châu Âu và châu Á, bao gồm cả ngành tài chính, sản xuất, giải trí và công nghệ nên các doanh nghiệp của Việt Nam cũng không phải ngoại lệ. Kĩ thuật tấn công để vô hiệu hóa EDR mặc dù hiện tại mới ghi nhận chỉ nhắm đến Trend Micro, Kaspersky, McAfee, Bitdefender,... Tuy nhiên, các hãng khác không thể không cảnh giác và lường trước đến các phương án tấn công có thể xảy ra.
Các tổ chức tại Việt Nam, đặc biệt trong các lĩnh vực tài chính, sản xuất và công nghệ, có thể là mục tiêu của nhóm ransomware này. Việc sử dụng công cụ tấn công để vượt qua các phần mềm bảo mật hiện có có thể dẫn đến các sự cố nghiêm trọng, bao gồm mất mát dữ liệu và gián đoạn hoạt động. Các doanh nghiệp Việt Nam có thể chịu thiệt hại lớn nếu không áp dụng các biện pháp bảo mật mạnh mẽ.
Quá trình tấn công: Từ xâm nhập đến mã hóa
Bước 1: Xâm nhập và thiết lập chỗ đứngSau khi thâm nhập được vào mạng doanh nghiệp, Crypto24 kích hoạt tài khoản quản trị mặc định của Windows hoặc tạo tài khoản mới để duy trì quyền truy cập mà không bị chú ý.
Bước 2: Trinh sát hệ thống
Chúng dùng các tập tin batch tùy chỉnh để thu thập thông tin về tài khoản, phần cứng, cấu trúc ổ đĩa và các thông tin hệ thống then chốt.
Bước 3: Cài đặt công cụ độc hại
- WinMainSvc: Keylogger trá hình dưới tên “Microsoft Help Manager”, ghi lại mọi phím bấm, kể cả phím tắt và tiêu đề cửa sổ đang mở.
- MSRuntime: Trình nạp ransomware tùy chỉnh.
Nhóm sử dụng một biến thể của công cụ mã nguồn mở RealBlindingEDR để “làm mù” các giải pháp bảo mật của nhiều hãng nổi tiếng như: Trend Micro, Kaspersky, Sophos, SentinelOne, McAfee, Bitdefender, Cisco, Fortinet… Đặc biệt với Trend Micro, chúng còn tận dụng công cụ hợp pháp XBCUninstaller.exe nhằm gỡ bỏ giải pháp bảo mật mà không bị cảnh báo.
Bước 5
i chuyển ngang và đánh cắp dữ liệuChúng dùng chia sẻ SMB để lan sang các máy khác và lưu trữ tạm dữ liệu. Toàn bộ dữ liệu bị đánh cắp sẽ được tải lên Google Drive bằng một công cụ riêng, lợi dụng API WinINET để kết nối.
Bước 6: Mã hóa và chặn khôi phục
Trước khi triển khai ransomware, Crypto24 xóa toàn bộ bản sao lưu (Volume Shadow Copy) trên Windows để ngăn khôi phục dữ liệu.
Crypto24 được đánh giá là đặc biệt nguy hiểm vì sở hữu nhiều yếu tố khiến việc phát hiện và ngăn chặn trở nên khó khăn. Nhóm này áp dụng chiến thuật tấn công đa tầng, vừa đánh lừa con người bằng cách giả mạo công cụ hay dịch vụ hợp pháp, vừa thực hiện các kỹ thuật xâm nhập tinh vi ở mức sâu. Chúng có khả năng “tàng hình” rất cao khi lợi dụng các nền tảng chính thống để qua mặt hệ thống bảo mật. Đáng lo hơn, mỗi cuộc tấn công đều gây ra “hậu quả kép”, dữ liệu bị mã hóa và thông tin quan trọng đã bị đánh cắp từ trước, dẫn tới thiệt hại cả về tài chính lẫn uy tín cho nạn nhân.
Một số chi tiết kỹ thuật cũng cần được chú ý, Crypto24 sử dụng phiên bản tùy biến của công cụ RealBlindingEDR để vô hiệu hóa hàng loạt giải pháp EDR và phần mềm diệt virus. Chúng còn khai thác Google Drive để chuyển dữ liệu, lợi dụng việc đây là dịch vụ phổ biến và ít khi bị chặn để che giấu lưu lượng bất thường. Chiến lược “dùng công cụ hợp pháp làm vỏ bọc” này khiến quản trị viên khó nhận biết đâu là hoạt động bình thường và đâu là hành vi tấn công.
Các chuyên gia khuyến cáo:
- Tổ chức cần triển khai các hệ thống giám sát và phát hiện sớm các hoạt động đáng ngờ để nhận diện tấn công kịp thời.
- Tăng cường giáo dục người dùng về nhận diện phishing và các phương thức tấn công mạng khác.
- Cần sao lưu dữ liệu thường xuyên và kiểm tra khả năng phục hồi để đảm bảo không bị mất mát dữ liệu khi bị tấn công.
- Đảm bảo hệ thống và phần mềm được cập nhật và vá lỗi kịp thời để giảm thiểu lỗ hổng bảo mật.
WhiteHat