Mã độc Ransomware 01flip: Mối đe dọa đa nền tảng nguy hiểm

Các nhà nghiên cứu bảo mật tại Palo Alto Networks đã phát hiện ra một mối đe dọa mã độc ransomware mới vào tháng 6 năm 2025, đánh dấu sự thay đổi đáng kể trong chiến thuật phát triển mã độc. Gia đình ransomware 01flip nổi lên như một mã độc được viết hoàn toàn bằng ngôn ngữ Rust, được thiết kế để tấn công đồng thời cả hệ thống Windows và Linux. Khả năng đa nền tảng này thể hiện một xu hướng ngày càng tăng, trong đó các tác nhân đe dọa lợi dụng các ngôn ngữ lập trình hiện đại để tạo ra các mối đe dọa hiệu quả hơn và khó bị phát hiện hơn. Các cuộc tấn công cũng cho thấy việc khai thác các lỗ hổng CVE cũ.

Giới thiệu về 01flip Ransomware và Phạm vi Tấn công Mạng

Mã độc ransomware 01flip dường như nhắm mục tiêu vào một nhóm nạn nhân hạn chế nhưng cụ thể trong khu vực Châu Á – Thái Bình Dương, với các tổ chức chịu trách nhiệm về cơ sở hạ tầng quan trọng ở Đông Nam Á trở thành mục tiêu chính. Các quan sát ban đầu tiết lộ rằng chiến dịch 01flip, được theo dõi dưới tên CL-CRI-1036, cho thấy các dấu hiệu triển khai ở giai đoạn đầu. Tuy nhiên, tác động có thể mở rộng nhanh chóng do sự phức tạp về kỹ thuật của mã độc.

Việc sử dụng Rust mang lại nhiều lợi thế cho kẻ tấn công, bao gồm hiệu suất cao, khả năng tương thích đa nền tảng dễ dàng và khó phân tích ngược hơn so với các ngôn ngữ truyền thống như C/C++. Điều này góp phần vào việc tăng cường khả năng né tránh các giải pháp bảo mật của mã độc.

Các Phương thức Xâm nhập và Khai thác Hệ thống

Véc tơ Tấn công và Khai thác Lỗ hổng

Các véc tơ tấn công dẫn đến việc triển khai 01flip ransomware vẫn chưa hoàn toàn rõ ràng. Tuy nhiên, bằng chứng chỉ ra một cách tiếp cận có phương pháp của các tác nhân tấn công có động cơ tài chính. Kẻ tấn công đã cố gắng khai thác các lỗ hổng CVE cũ như CVE-2019-11580 đối với các ứng dụng hướng Internet từ đầu tháng 4 năm 2025. Các hệ thống quan trọng như giải pháp email Zimbra Server là mục tiêu chính.

Thành công trong việc khai thác các lỗ hổng CVE nghiêm trọng này đã cho phép kẻ tấn công thiết lập chỗ đứng ban đầu trong mạng mục tiêu.

Triển khai Sliver Framework và Di chuyển Ngang

Sau khi xâm nhập ban đầu, kẻ tấn công đã triển khai một phiên bản Linux của Sliver. Đây là một framework mô phỏng đối thủ đa nền tảng được viết bằng Go. Sliver đã cho phép chúng thực hiện di chuyển ngang qua cơ sở hạ tầng mạng bị xâm nhập. Việc sử dụng các công cụ hợp pháp hoặc công cụ mô phỏng giúp các hoạt động của kẻ tấn công trở nên khó phát hiện hơn.

Đến cuối tháng 5 năm 2025, kẻ tấn công đã điều phối việc phân phối nhiều thể hiện của mã độc ransomware 01flip trên cả máy Windows và Linux trong các mạng bị xâm nhập.

Bằng chứng cho thấy kẻ tấn công đã thực hiện trinh sát thủ công, đánh cắp thông tin đăng nhập và di chuyển ngang qua các hệ thống để đạt được việc triển khai rộng khắp này. Mặc dù các phương pháp triển khai chính xác vẫn chưa được tiết lộ, nhưng điều này khẳng định một chiến dịch tấn công mạng có chủ đích và tinh vi.

Phân tích Kỹ thuật 01flip Ransomware

Cơ chế Mã hóa Tinh vi

Mã độc ransomware 01flip sử dụng một cơ chế mã hóa đơn giản nhưng hiệu quả. Nó kết hợp nhiều lớp mã hóa để đảm bảo nạn nhân không thể tự giải mã các tệp của họ. Mã độc bắt đầu bằng cách liệt kê tất cả các ổ đĩa có thể từ A đến Z. Sau đó, nó tạo ra các ghi chú đòi tiền chuộc có tiêu đề RECOVER-YOUR-FILE.TXT trong tất cả các thư mục có thể ghi trước khi quá trình mã hóa bắt đầu.

Các tệp bị mã hóa nhận tên mới theo mẫu: ORIGINAL_FILENAME.UNIQUE_ID.0 hoặc 1.01flip. Quá trình mã hóa nội dung tệp sử dụng AES-128-CBC. Khóa phiên AES này sau đó được mã hóa bằng mật mã khóa công khai RSA-2048. Cách tiếp cận mã hóa hai lớp này ngăn nạn nhân giải mã tệp ngay cả khi họ lấy được khóa phiên.

Các chuỗi liên quan đến Rust hiển thị rõ ràng được nhúng trong mẫu ransomware, xác nhận nguồn gốc biên dịch bằng Rust của nó.

Kỹ thuật Né tránh Phát hiện Chủ động

Điều khiến 01flip đặc biệt đáng lo ngại là các kỹ thuật né tránh phòng thủ chủ động của nó, được thiết kế để ngăn chặn việc phát hiện và loại bỏ. Cả biến thể Windows và Linux đều ưu tiên các API cấp thấp và các lệnh gọi hệ thống hòa trộn tự nhiên với hoạt động hệ điều hành hợp pháp. Điều này làm cho việc phát hiện dựa trên hành vi trở nên khó khăn hơn đáng kể.

Mã độc mã hóa hầu hết các chuỗi do người dùng định nghĩa trong mã và giải mã chúng trong thời gian chạy. Điều này bao gồm nội dung ghi chú đòi tiền chuộc, tên tệp ghi chú đòi tiền chuộc, danh sách phần mở rộng tệp và khóa công khai RSA.

Ngoài ra, một số mẫu thực hiện phát hiện chống sandbox bằng cách kiểm tra xem tên tệp có chứa chuỗi “01flip” hay không. Khi phát hiện điều này, mã độc ransomware bỏ qua mã hóa tệp và tiến hành trực tiếp loại bỏ chỉ báo. Từ đó, nó phá hủy dấu vết hiện diện của mình trên hệ thống bị nhiễm.

Điều này minh họa cách 01flip giải mã mẫu ghi chú đòi tiền chuộc bằng cách sử dụng một thao tác SUB đơn giản được thực hiện trên mỗi hai byte dữ liệu được mã hóa. Điều này cho thấy ý định của các nhà phát triển là cân bằng sự phức tạp với hiệu quả hoạt động.

# Minh họa giả định về cách giải mã chuỗi từ mã độc# (Không phải mã thực tế từ mẫu, chỉ để minh họa khái niệm kỹ thuật)encoded_data = [0x54, 0x68, 0x69, 0x73, 0x20, 0x69, 0x73, 0x20, 0x61, 0x20, 0x74, 0x65, 0x73, 0x74]# Giả định một phép SUB đơn giản trên mỗi bytedecoded_string = ""offset = 0x01 # Ví dụ offsetfor byte in encoded_data: decoded_char_val = byte - offset decoded_string += chr(decoded_char_val)# Kết quả thực tế sẽ phụ thuộc vào thuật toán giải mã cụ thể của 01flipprint(f"Chuỗi được giải mã (minh họa): {decoded_string}")

Chỉ số IOCs (Indicators of Compromise) của 01flip

Các chỉ số xâm nhập sau đây được liên kết với chiến dịch mã độc ransomware 01flip:

• Phần mở rộng tệp: .01flip
• Địa chỉ email liên hệ trong ghi chú đòi tiền chuộc: [email protected]

Các nhà phân tích bảo mật của Palo Alto Networks đã xác định mã độc ransomware 01flip thông qua phân tích sandbox chi tiết và kiểm tra hành vi của các tệp thực thi Windows đáng ngờ có đặc điểm ransomware. Biến thể Linux của mã độc cho thấy tỷ lệ phát hiện bằng không trong ít nhất ba tháng sau khi gửi lên VirusTotal ban đầu, cho thấy tiềm năng của mối đe dọa này trong việc né tránh các hệ thống phát hiện bảo mật.

Biện pháp Giảm thiểu và Phòng ngừa

Để bảo vệ hệ thống khỏi các mối đe dọa như mã độc ransomware 01flip và các chiến dịch tấn công mạng tương tự, cần áp dụng các biện pháp phòng ngừa mạnh mẽ:

• Cập nhật Bản vá Bảo mật: Đảm bảo tất cả hệ thống và ứng dụng, đặc biệt là các ứng dụng hướng Internet như Zimbra, được cập nhật bản vá thường xuyên để khắc phục các lỗ hổng CVE đã biết như CVE-2019-11580.
• Giám sát Mạng Chủ động: Triển khai các giải pháp phát hiện xâm nhập (IDS) và hệ thống SIEM để giám sát hoạt động mạng bất thường, đặc biệt là các nỗ lực di chuyển ngang hoặc truy cập trái phép.
• Sao lưu Dữ liệu Định kỳ: Duy trì các bản sao lưu dữ liệu quan trọng ngoại tuyến và được kiểm tra thường xuyên để đảm bảo khả năng phục hồi sau các cuộc tấn công ransomware.
• Bảo mật Điểm cuối Nâng cao: Sử dụng các giải pháp bảo mật điểm cuối tiên tiến có khả năng phát hiện hành vi để chống lại các kỹ thuật né tránh.
• Phân đoạn Mạng: Phân đoạn mạng để hạn chế phạm vi di chuyển ngang của kẻ tấn công trong trường hợp xảy ra xâm nhập.
• Đào tạo Nhận thức Bảo mật: Đào tạo nhân viên về các mối đe dọa lừa đảo và kỹ thuật xã hội để giảm thiểu rủi ro xâm nhập ban đầu.