Mã độc Ransomware Tiến Hóa: BQTLock & GREENBLOOD Nguy Hiểm

Hai biến thể mã độc ransomware mới, BQTLock và GREENBLOOD, đã xuất hiện với chiến lược tấn công trái ngược, gây ra những thách thức phức tạp cho các chuyên gia an ninh mạng. Trong khi hầu hết các cuộc tấn công ransomware thường theo mô hình mã hóa dữ liệu ngay lập tức, hai biến thể này cho thấy sự tiến hóa nguy hiểm trong chiến thuật, yêu cầu một cách tiếp cận đa diện để phòng thủ.

BQTLock ưu tiên sự lén lút và hoạt động gián điệp, biến quá trình lây nhiễm ban đầu thành một nguy cơ rò rỉ dữ liệu nghiêm trọng trước khi bất kỳ tệp nào bị mã hóa. Ngược lại, GREENBLOOD được thiết kế để đạt tốc độ tối đa, tận dụng ngôn ngữ lập trình Go để mã hóa hệ thống và xóa bỏ dấu vết pháp y chỉ trong vài phút sau khi thực thi.

BQTLock: Chiến Lược Gián Điệp Thầm Lặng và Chiếm Quyền Kiểm Soát

BQTLock nổi bật với chuỗi lây nhiễm kỹ thuật phức tạp, được thiết kế để vượt qua các biện pháp phòng thủ tiêu chuẩn. Mã độc này không mã hóa thiết bị ngay lập tức sau khi thực thi.

Quy Trình Lây Nhiễm và Tiêm Payload

Thay vào đó, BQTLock tiêm payload Remcos trực tiếp vào explorer.exe, một tiến trình cốt lõi của Windows. Explorer.exe chịu trách nhiệm quản lý giao diện người dùng đồ họa, bao gồm màn hình nền, thanh tác vụ và các cửa sổ thư mục. Việc tiêm mã độc vào tiến trình hợp pháp này cho phép payload ẩn mình, giả dạng hoạt động hệ thống thông thường.

Kỹ thuật này đặc biệt hiệu quả trong việc né tránh các công cụ bảo mật truyền thống, vốn thường tin tưởng các tiến trình hệ điều hành tiêu chuẩn và ít khi kiểm tra sâu vào hành vi bên trong của chúng. Bằng cách hoạt động trong bóng tối của một tiến trình được ủy quyền, kẻ tấn công có thể thực hiện các hoạt động độc hại như di chuyển ngang trong mạng hoặc leo thang đặc quyền mà không gây ra cảnh báo ngay lập tức.

Kỹ Thuật Né Tránh UAC và Duy Trì Quyền Truy Cập

Để đảm bảo duy trì quyền kiểm soát trên máy tính bị xâm nhập, BQTLock thực hiện hành vi né tránh User Account Control (UAC) bằng cách sử dụng tiến trình fodhelper.exe. UAC là một tính năng bảo mật của Windows nhằm ngăn chặn các thay đổi trái phép đối với hệ thống bằng cách yêu cầu người dùng phê duyệt các thao tác cần quyền quản trị.

Kỹ thuật này cho phép mã độc có được quyền quản trị cao nhất mà không cần người dùng cấp phép. Fodhelper.exe là một tiện ích hợp pháp của Windows, nhưng đã được biết là có lỗ hổng hoặc cấu hình cho phép thực thi mã với đặc quyền cao thông qua một số phương pháp nhất định, ví dụ như thao tác registry. Để biết thêm chi tiết về các kỹ thuật UAC bypass, có thể tham khảo các nghiên cứu về né tránh UAC trong Windows.

Sau khi leo thang đặc quyền, BQTLock thiết lập cơ chế duy trì quyền truy cập (persistence), đảm bảo rằng quyền truy cập độc hại vẫn tồn tại ngay cả sau khi hệ thống khởi động lại. Điều này có thể được thực hiện thông qua các khóa registry Run, các tác vụ theo lịch trình hoặc các thư mục khởi động. Mức độ truy cập cố thủ này cho phép kẻ tấn công chuyển sang giai đoạn thứ hai: đánh cắp thông tin đăng nhập và chụp ảnh màn hình để tối đa hóa khả năng tống tiền.

Thu Thập Thông Tin và Nguy Cơ Rò Rỉ Dữ Liệu

Ở giai đoạn này, BQTLock hoạt động như một công cụ giám sát bí mật. Mã độc nhúng sâu vào các tiến trình hệ thống hợp pháp, tránh kích hoạt báo động bảo mật. Điều này cho phép kẻ tấn công duy trì quyền truy cập lâu dài và thu thập các thông tin nhạy cảm mà không bị phát hiện ngay lập tức. Nguy cơ rò rỉ dữ liệu nhạy cảm trở nên rất cao, bởi lẽ các thông tin này có thể bị khai thác để tống tiền hoặc bán trên thị trường chợ đen.

GREENBLOOD: Tấn Công Tốc Độ Cao và Xóa Dấu Vết

Ngược lại với BQTLock, GREENBLOOD áp dụng một cách tiếp cận “đánh nhanh thắng nhanh”. Nó được thiết kế để làm tê liệt mạng lưới ngay lập tức thông qua mã hóa nhanh và đồng thời gây áp lực bằng một trang web rò rỉ dữ liệu dựa trên TOR.

Mã Hóa Nhanh Chóng với ChaCha8

GREENBLOOD sử dụng thuật toán mã hóa ChaCha8 nổi tiếng với tốc độ cao. ChaCha8 là một thuật toán mã hóa dòng (stream cipher) hiện đại, cung cấp hiệu suất vượt trội trên nhiều kiến trúc CPU khác nhau. Tốc độ mã hóa này cho phép mã độc ransomware nhanh chóng khóa một lượng lớn tệp tin trên hệ thống, gây ra sự gián đoạn ngay lập tức cho hoạt động kinh doanh. Sự nhanh chóng của việc mã hóa cũng làm giảm cửa sổ cơ hội để các hệ thống phòng thủ phản ứng kịp thời.

Xóa Bỏ Dấu Vết Pháp Y và Sức Ép Từ Leak Site

Một đặc điểm đáng chú ý khác của GREENBLOOD là khả năng xóa bỏ dấu vết pháp y chỉ trong vài phút sau khi thực thi. Việc xóa các nhật ký hệ thống, bản sao lưu và các bằng chứng khác khiến quá trình điều tra sau tấn công trở nên cực kỳ khó khăn, cản trở các nỗ lực phục hồi và xác định nguyên nhân gốc rễ.

Đồng thời, mã độc này tạo áp lực lên nạn nhân bằng cách sử dụng một trang web rò rỉ dữ liệu trên mạng TOR. Đây là một chiến thuật phổ biến của các nhóm ransomware hiện đại, nhằm đe dọa công bố dữ liệu đã đánh cắp nếu nạn nhân không trả tiền chuộc, tăng cường khả năng thành công của cuộc tấn công ransomware.

Phương Pháp Phát Hiện và Biện Pháp Đối Phó Hiệu Quả

Sự song hành của hai chiến lược tấn công hoàn toàn khác biệt từ BQTLock và GREENBLOOD đặt ra một thách thức phức tạp cho các nhà phòng thủ. Họ phải đồng thời đối phó với cả hoạt động gián điệp âm thầm kéo dài và các hành vi phá hủy tốc độ cao.

Giám Sát Hành Vi và Chỉ Dấu Tấn Công

Các chuyên gia bảo mật được khuyến nghị tập trung vào giám sát hành vi thay vì chỉ dựa vào chữ ký tệp tĩnh. Các chỉ báo hành vi sớm—như tiêm tiến trình bất thường hoặc sửa đổi tệp nhanh chóng—thường là những dấu hiệu cảnh báo duy nhất trước khi thiệt hại đáng kể xảy ra. Việc phát hiện sự tương tác cụ thể giữa explorer.exe và fodhelper.exe có thể đóng vai trò là một cảnh báo độ tin cậy cao đối với biến thể BQTLock.

Để ngăn chặn hiệu quả, cần phát hiện mã độc ransomware trước khi quá trình mã hóa diễn ra. Các phân tích viên của Any.Run đã xác định các hành vi riêng biệt này trong các phiên sandbox gần đây, nhấn mạnh rằng việc ngăn chặn hiệu quả đòi hỏi phải phát hiện cuộc tấn công trước khi mã hóa xảy ra. Nghiên cứu của Any.Run cung cấp cái nhìn sâu sắc về các hành vi này.

Vai Trò của Phân Tích Sandbox và Threat Intelligence

Sử dụng các môi trường sandbox tương tác, các nhà phân tích có thể quan sát toàn bộ chuỗi hành vi của mã độc trong thời gian thực. Điều này cho phép phát hiện sớm trong giai đoạn quan trọng nhất của cuộc tấn công, khi hành vi của mã độc ransomware và các hoạt động dọn dẹp dấu vết bắt đầu lộ diện.

Ví dụ, chuỗi thực thi đầy đủ của BQTLock có thể được xem tại phân tích sandbox BQTLock, và chuỗi tấn công đầy đủ của GREENBLOOD tại phân tích sandbox GREENBLOOD. Bằng cách quan sát các chuỗi này trong một môi trường được kiểm soát, các đội bảo mật có thể chuyển từ phản ứng bị động sang ngăn chặn chủ động, chặn đứng mối đe dọa trước khi nó thiết lập được chỗ đứng.

Hơn nữa, các tổ chức cần đảm bảo rằng nguồn cấp dữ liệu threat intelligence của họ được cập nhật để nhận diện các đối số dòng lệnh và cơ sở hạ tầng duy nhất liên quan đến các họ mã độc mới này. Điều này giúp tăng cường khả năng phát hiện xâm nhập và ngăn chặn các cuộc tấn công lặp lại. Việc tích hợp các công cụ phân tích tự động như sandbox vào quy trình SOC có thể tăng cường khả năng phát hiện sớm mã độc ransomware lén lút, giảm thiểu rủi ro sự cố.