Mã độc Ransomware Black Basta: Nguy hiểm với BYOVD & CVE

Các tác nhân của mã độc ransomware liên tục cải tiến kho vũ khí để vượt qua các biện pháp phòng thủ hiện đại. Một chiến dịch gần đây của nhóm Black Basta đã triển khai một thay đổi chiến thuật quan trọng bằng cách nhúng thành phần “Bring Your Own Vulnerable Driver” (BYOVD) trực tiếp vào chính payload của ransomware. Sự tích hợp này đánh dấu một sự khác biệt đáng chú ý so với quy trình hoạt động tiêu chuẩn, nơi các công cụ né tránh phòng thủ thường được triển khai dưới dạng các tệp riêng biệt trước khi giai đoạn mã hóa bắt đầu.

Mục tiêu chính của kỹ thuật này là vô hiệu hóa phần mềm bảo mật trên máy tính của nạn nhân. Bằng cách tận dụng một trình điều khiển hợp pháp, có chữ ký nhưng chứa lỗ hổng, kẻ tấn công có thể thực thi mã với các đặc quyền cấp kernel. Quyền truy cập này cho phép chúng chấm dứt các tiến trình chống vi-rút và phát hiện điểm cuối mà nếu không có nó, sẽ ngăn chặn hoạt động của ransomware.

Phương pháp này hợp lý hóa chuỗi tấn công, làm cho nó nhanh hơn và khó bị các nhà phòng thủ chặn lại hơn đáng kể trước khi thiệt hại xảy ra.

Chiến Thuật BYOVD Mới của Mã Độc Ransomware Black Basta

Các nhà phân tích của Symantec đã phát hiện khả năng mới của mã độc ransomware Black Basta trong quá trình điều tra nhóm tội phạm mạng Cardinal. Phát hiện này đặc biệt quan trọng vì nó cho thấy sự trở lại hoạt động tích cực của Cardinal, sau một thời gian tương đối im lặng khi các nhật ký trò chuyện nội bộ của họ bị rò rỉ vào đầu năm 2025.

Các nhà nghiên cứu lưu ý rằng mặc dù việc tích hợp các thành phần né tránh không hoàn toàn mới trong bối cảnh mối đe dọa, nhưng việc triển khai cụ thể này chưa từng được quan sát thấy trong các chiến dịch Black Basta trước đây. Sự tích hợp của trình điều khiển dễ bị tổn thương đóng vai trò như một lá chắn mạnh mẽ chống lại việc phát hiện.

Một khi payload được thực thi, nó ngay lập tức cố gắng vô hiệu hóa các biện pháp phòng thủ, khiến hệ thống bị phơi nhiễm với quá trình mã hóa. Điều này cho thấy mức độ tinh vi cao hơn và một xu hướng tiềm năng mà các họ mã độc ransomware khác có thể áp dụng để vượt qua các giao thức bảo mật hiện đại.

Cơ Chế Khai Thác Lỗ Hổng CVE trong Trình Điều Khiển Kernel

Cơ chế né tránh này dựa trên việc lạm dụng một trình điều khiển chế độ kernel Windows dễ bị tổn thương cụ thể, được xác định là NsecSoft NSecKrnl. Khi thực thi, payload của ransomware sẽ thả trình điều khiển này và tạo một dịch vụ để tạo điều kiện cho hoạt động của nó.

Trình điều khiển này tồn tại một lỗ hổng CVE nghiêm trọng, được theo dõi là CVE-2025-68947. Lỗ hổng này thất bại trong việc xác minh quyền người dùng một cách đầy đủ. Sự sơ suất này cho phép kẻ tấn công đưa ra các yêu cầu điều khiển Input/Output (IOCTL) độc hại để chấm dứt các tiến trình được bảo vệ. Kỹ thuật này dẫn đến việc chiếm quyền điều khiển ở cấp độ kernel, cho phép kẻ tấn công thực hiện các hành động vượt quá giới hạn quyền người dùng thông thường.

Việc khai thác lỗ hổng CVE này cung cấp cho các tác nhân tấn công ransomware khả năng vượt qua các lớp bảo mật mạnh mẽ nhất, từ đó đảm bảo quá trình mã hóa dữ liệu diễn ra không bị gián đoạn. Đây là một ví dụ điển hình về việc kẻ tấn công lợi dụng các khiếm khuyết trong các thành phần hệ thống cấp thấp để đạt được mục tiêu độc hại.

Các Tiến Trình Bảo Mật Bị Nhắm Mục Tiêu

Mã độc này nhắm mục tiêu cụ thể vào một danh sách toàn diện các tác nhân bảo mật, bao gồm:

• SophosHealth.exe
• MsMpEng.exe (Windows Defender Antivirus service)
• Và nhiều công cụ phát hiện khác.

Bằng cách làm mù các công cụ giám sát của hệ thống một cách hiệu quả, mã độc ransomware sẽ thêm phần mở rộng .locked vào các tệp mà không bị gián đoạn. Điều này làm nổi bật tầm quan trọng của việc duy trì một chiến lược phòng thủ đa lớp, không chỉ dựa vào phần mềm chống vi-rút truyền thống.

Ngoài ra, một trình tải (loader) đáng ngờ được tải phụ (side-loaded) đã được quan sát thấy trên các mạng vài tuần trước đó, cho thấy thời gian tồn tại tiềm năng dài của kẻ tấn công trong môi trường nạn nhân. Thời gian tồn tại này, còn gọi là “dwell time”, cho phép kẻ tấn công thu thập thông tin, leo thang đặc quyền và chuẩn bị cho cuộc tấn công ransomware cuối cùng một cách kỹ lưỡng hơn.

Tác Động và Biện Pháp Phòng Ngừa Đối với An Ninh Mạng

Việc tích hợp trình điều khiển dễ bị tổn thương trực tiếp vào payload ransomware đại diện cho một bước tiến đáng kể trong chiến thuật né tránh của các nhóm tội phạm mạng. Điều này không chỉ làm giảm đáng kể thời gian phản ứng của nạn nhân mà còn tăng cường khả năng thành công của cuộc tấn công, gây ra rủi ro nghiêm trọng cho an ninh mạng của các tổ chức.

Các tổ chức cần nhận thức rõ về sự phát triển này và tăng cường các biện pháp phòng thủ của mình. Việc tập trung vào các giải pháp Endpoint Detection and Response (EDR) tiên tiến có khả năng phát hiện các hành vi bất thường ở cấp độ kernel, cũng như các hành động leo thang đặc quyền, trở nên cấp thiết hơn bao giờ hết.

Để giảm thiểu rủi ro, các tổ chức nên tham khảo các bản tin bảo vệ mới nhất từ các nhà cung cấp an ninh mạng đáng tin cậy. Ví dụ, bản tin của Symantec cung cấp các chỉ số thỏa hiệp (Indicators of Compromise – IOC) cập nhật, có thể giúp phát hiện và ngăn chặn các cuộc tấn công tương tự.

Các Chỉ Số Thỏa Hiệp (IOC) và Lời Khuyên Mitigation

Mặc dù nội dung này không cung cấp danh sách IOC cụ thể (như hashes hoặc địa chỉ IP), các tổ chức cần liên tục cập nhật thông tin tình báo về các mối đe dọa. Các IOC có thể bao gồm:

• Tên tệp/Tiến trình bị nhắm mục tiêu: SophosHealth.exe, MsMpEng.exe, và các tiến trình bảo mật khác có thể bị chấm dứt.
• Phần mở rộng tệp được mã hóa: .locked (áp dụng bởi Black Basta sau mã hóa).
• Tên trình điều khiển độc hại: NsecSoft NSecKrnl và các biến thể của nó.
• Hành vi đáng ngờ: Thử nghiệm cài đặt dịch vụ mới, tải trình điều khiển không dấu hoặc có dấu nhưng dễ bị tổn thương, các cuộc gọi hệ thống liên quan đến chấm dứt tiến trình bảo mật.

Việc theo dõi chặt chẽ các hành vi này trên hệ thống là rất quan trọng. Các khuyến nghị chung để tăng cường phòng thủ bao gồm:

• Thường xuyên cập nhật hệ điều hành, phần mềm và các giải pháp bảo mật để áp dụng các bản vá bảo mật mới nhất. Điều này giúp khắc phục các lỗ hổng CVE đã biết, bao gồm cả những lỗ hổng trong các trình điều khiển hợp pháp.
• Triển khai và cấu hình đúng cách các giải pháp EDR/XDR để phát hiện các hành vi độc hại ở cấp độ thấp và phản ứng kịp thời.
• Sử dụng các giải pháp bảo mật điểm cuối có khả năng ngăn chặn việc tải trình điều khiển không đáng tin cậy hoặc phát hiện việc lạm dụng trình điều khiển hợp pháp.
• Thực hiện phân đoạn mạng và quyền truy cập đặc quyền tối thiểu để hạn chế khả năng lây lan của ransomware nếu một hệ thống bị xâm nhập.
• Đào tạo nhân viên về nhận thức bảo mật để giảm thiểu rủi ro từ các vectơ tấn công ban đầu, như email lừa đảo.
• Tham khảo các phân tích chi tiết từ các chuyên gia bảo mật uy tín. Ví dụ, Symantec đã cung cấp phân tích sâu về chiến dịch này: Symantec Threat Intelligence: Black Basta Ransomware BYOVD.

Các nhóm phản ứng sự cố cần có kế hoạch rõ ràng để xử lý các cuộc tấn công ransomware, bao gồm quy trình sao lưu và phục hồi dữ liệu định kỳ, được kiểm tra kỹ lưỡng. Sự chủ động trong phòng thủ và phản ứng nhanh chóng là yếu tố then chốt để bảo vệ tài sản số khỏi các mối đe dọa ngày càng tinh vi này.