Sicarii Ransomware: Phân tích Toàn diện & Nguy hiểm tiềm ẩn
Vào tháng 12 năm 2025, một chiến dịch ransomware-as-a-service (RaaS) mới nổi mang tên Sicarii ransomware đã xuất hiện trên các nền tảng ngầm. Chiến dịch này tự giới thiệu là một nhóm có liên kết với Israel hoặc Do Thái, tạo ra một sự khác biệt đáng kể so với các hoạt động ransomware thông thường.
Mã độc Sicarii nổi bật nhờ việc sử dụng rõ ràng ngôn ngữ Hebrew, các biểu tượng của Israel và tham chiếu đến các nhóm Do Thái lịch sử trong thương hiệu của mình. Không giống như các hoạt động ransomware đã có thường duy trì sự bí mật trong vận hành, Sicarii công khai sử dụng biểu tượng Haganah cùng với văn bản tiếng Hebrew trong nhận diện hình ảnh, tạo ra một sự hiện diện bất thường trong bối cảnh tội phạm mạng.
Nhóm này tuyên bố tập trung vào việc nhắm mục tiêu các tổ chức ở các quốc gia Arab và Hồi giáo, đồng thời công khai tránh xa các hệ thống của Israel. Cơ chế định vị địa lý (geo-fencing) của mã độc ngăn chặn việc thực thi trên các hệ thống được xác định là của Israel. Việc kiểm tra múi giờ, bố cục bàn phím và địa chỉ IP của bộ điều hợp mạng giúp xác định các mục tiêu địa phương. Cách tiếp cận nhắm mục tiêu chọn lọc này, kết hợp với thông điệp ý thức hệ, phân biệt Sicarii với các nhóm mã độc ransomware thông thường.
Phân tích Kỹ thuật của Mã độc Sicarii
Các nhà phân tích đã xác định một cơ sở hạ tầng kỹ thuật tinh vi đằng sau hoạt động của mã độc Sicarii. Quy trình lây nhiễm và hoạt động của nó bao gồm nhiều giai đoạn phức tạp, từ khởi tạo đến tấn công phá hoại cuối cùng.
Giai đoạn Khởi tạo và Né tránh Phân tích
Mã độc bắt đầu thực thi thông qua một giai đoạn chống ảo hóa. Giai đoạn này phát hiện các môi trường sandbox và hiển thị thông báo lỗi giả mạo để tránh bị phân tích. Điều này gây khó khăn cho các nhà nghiên cứu bảo mật trong việc kiểm tra hành vi của mã độc.
- Phát hiện Sandbox: Kiểm tra các dấu hiệu của môi trường ảo hóa.
- Thông báo Lỗi Giả mạo: Hiển thị lỗi để đánh lừa người dùng và hệ thống phân tích.
Sau đó, mã độc tự sao chép vào thư mục tạm thời dưới dạng svchost_{random}.exe. Tiếp theo, nó kiểm tra kết nối internet bằng cách liên hệ với google.com/generate_204 nhiều lần. Việc này nhằm đảm bảo sẵn sàng hoạt động trước khi tiến hành các bước tiếp theo.
C:\Users\<username>\AppData\Local\Temp\svchost_{random}.exeTrinh sát Mạng và Khai thác Lỗ hổng
Sau khi thiết lập ngữ cảnh thực thi, mã độc Sicarii thực hiện trinh sát mạng mạnh mẽ. Mục tiêu là lập bản đồ môi trường của nạn nhân. Mã độc liệt kê cấu hình mạng cục bộ thông qua các yêu cầu ARP và quét các dịch vụ RDP tiếp xúc trên các hệ thống được phát hiện.
Đáng chú ý hơn, nó chủ động tìm cách khai thác các thiết bị Fortinet sử dụng lỗ hổng CVE-2025-64446. Lỗ hổng này cung cấp các đường dẫn di chuyển ngang (lateral movement) trong các mạng bị xâm nhập. (Lưu ý: CVE-2025-64446 hiện là một ID được dự trữ).
Việc khai thác lỗ hổng CVE này đặc biệt nguy hiểm đối với các tổ chức có cơ sở hạ tầng bảo mật hỗn hợp. Giai đoạn trinh sát này hỗ trợ cả việc xâm nhập mạng và thu thập dữ liệu.
Để tìm hiểu thêm về các lỗ hổng Fortinet và cách chúng được phân loại, bạn có thể tham khảo Cơ sở dữ liệu Lỗ hổng Quốc gia (NVD).
Thu thập và Rò rỉ Dữ liệu
Mã độc Sicarii thu thập một lượng lớn dữ liệu nhạy cảm. Các loại dữ liệu này bao gồm thông tin xác thực hệ thống, thông tin trình duyệt và dữ liệu ứng dụng từ các nền tảng phổ biến. Danh sách các nền tảng bị nhắm mục tiêu bao gồm Discord, Slack, Telegram và các ví tiền điện tử.
Tất cả dữ liệu được thu thập sau đó sẽ được đóng gói vào một tệp lưu trữ ZIP. Tệp này được đặt tên là collected_data.zip và được rò rỉ ra bên ngoài thông qua dịch vụ file.io. Bước này thường xảy ra trước giai đoạn mã hóa để đảm bảo dữ liệu đã được đánh cắp thành công.
Duy trì Quyền truy cập (Persistence)
Sau khi rò rỉ dữ liệu, mã độc Sicarii thiết lập cơ chế duy trì quyền truy cập trên hệ thống. Việc này được thực hiện thông qua nhiều cách khác nhau, đảm bảo mã độc có thể tồn tại qua các lần khởi động lại hệ thống và duy trì sự kiểm soát.
- Sửa đổi Registry: Thay đổi các khóa registry hệ thống để tự khởi động.
- Tạo Dịch vụ: Cài đặt các dịch vụ mới để chạy mã độc.
- Tạo Tài khoản Người dùng Mới: Tạo tài khoản người dùng mới với thông tin đăng nhập được mã hóa cứng.
Mã hóa và Tấn công Phá hoại
Giai đoạn mã hóa sử dụng thuật toán AES-GCM với khóa 256-bit. Đây là một thuật toán mã hóa mạnh, làm cho việc giải mã dữ liệu mà không có khóa là cực kỳ khó khăn. Các tệp tin bị mã hóa sẽ được thêm phần mở rộng .sicarii.
Hoạt động của mã độc Sicarii kết thúc bằng một thành phần phá hoại. Thành phần này triển khai một script batch tại thời điểm khởi động, làm hỏng các tệp khởi động (bootloader) và buộc hệ thống phải tắt máy ngay lập tức. Hành động này không chỉ mã hóa dữ liệu mà còn khiến hệ thống không thể khởi động được, tăng cường mức độ thiệt hại.
Các Chỉ số Thỏa hiệp (IOCs) của Sicarii Ransomware
Việc nhận diện các chỉ số thỏa hiệp (IOCs) là rất quan trọng để phát hiện và ngăn chặn sự lây lan của mã độc ransomware này. Dưới đây là một số IOCs chính liên quan đến hoạt động của Sicarii:
- Tên tệp:
svchost_{random}.exe(trong thư mục tạm thời) - Phần mở rộng tệp bị mã hóa:
.sicarii - URL kiểm tra kết nối:
google.com/generate_204 - Dịch vụ rò rỉ dữ liệu:
file.io(cho tệpcollected_data.zip) - Lỗ hổng mục tiêu: CVE-2025-64446 (liên quan đến các thiết bị Fortinet)
Khuyến nghị Phòng ngừa và Giảm thiểu Rủi ro
Để bảo vệ tổ chức khỏi mối đe dọa từ mã độc Sicarii, cần thực hiện các biện pháp phòng ngừa và giảm thiểu rủi ro sau:
Các tổ chức nên ưu tiên việc cập nhật bản vá cho các thiết bị Fortinet. Đặc biệt là các bản vá liên quan đến lỗ hổng CVE-2025-64446 hoặc các lỗ hổng tương tự khác. Việc này là cần thiết để loại bỏ các điểm yếu mà mã độc có thể khai thác để di chuyển ngang và xâm nhập sâu hơn vào mạng.
Bên cạnh đó, việc triển khai phân đoạn mạng (network segmentation) là một biện pháp hữu hiệu. Phân đoạn mạng giúp cô lập các hệ thống, hạn chế khả năng lây lan của mã độc trong trường hợp một phần của mạng bị xâm nhập. Đây là một chiến lược bảo mật quan trọng để chứa đựng các mối đe dọa mới nổi như mã độc Sicarii.
