Các nhà nghiên cứu bảo mật đã phát hiện một biến thể mã độc ransomware dưới dạng dịch vụ (RaaS) mới có tên BQTLOCK, đang tích cực nhắm mục tiêu vào người dùng Windows. Hoạt động phân phối diễn ra thông qua các kênh Telegram và diễn đàn dark web. Từ giữa tháng 7, các đối tác của dịch vụ này đã phân tán một kho lưu trữ ZIP chứa tệp thực thi độc hại, tiến hành mã hóa nhiều loại tệp, gắn thêm phần mở rộng “.bqtlock” tùy chỉnh, và xóa các bản sao lưu hệ thống để ngăn chặn quá trình khôi phục dữ liệu.

Phân tích Kỹ thuật Mã độc Ransomware BQTLOCK

Để hiểu rõ về cách mã độc ransomware này hoạt động, cần phân tích chi tiết các cơ chế kỹ thuật của nó.

Cơ chế Khai thác và Lây nhiễm

Tệp thực thi độc hại, thường là Update.exe, khi được kích hoạt, sẽ lặp lại qua hệ thống tệp. Nó bỏ qua các thư mục hệ thống của Windows và mã hóa các tệp có kích thước dưới 50 MB.

Kỹ thuật Chống Phân tích

BQTLOCK được thiết kế với nhiều biện pháp chống phân tích để né tránh sự phát hiện. Mã độc ransomware này sử dụng kỹ thuật che giấu chuỗi (string obfuscation) và kiểm tra trình gỡ lỗi thông qua các hàm như IsDebuggerPresent và CheckRemoteDebuggerPresent.

Ngoài ra, nó còn tích hợp các đoạn mã giả (stubs) để né tránh môi trường máy ảo (virtual machine), gây khó khăn cho các nhà phân tích bảo mật trong việc kiểm tra và hiểu rõ hoạt động của mã độc.

Mã hóa Dữ liệu và Yêu cầu Tiền chuộc

Quá trình mã hóa sử dụng thuật toán AES-256 cho nội dung tệp. Khóa AES và vector khởi tạo (initialization vector) sau đó được bảo vệ bằng RSA-4096.

Các tệp đã mã hóa được đổi tên với phần mở rộng .bqtlock. Một ghi chú tiền chuộc (ransom note) được thả vào mỗi thư mục bị ảnh hưởng, hướng dẫn nạn nhân liên hệ với kẻ tấn công.

Nạn nhân được yêu cầu liên hệ qua Telegram hoặc X (trước đây là Twitter) trong vòng 48 giờ. Số tiền chuộc dao động từ 13 đến 40 XMR (Monero), tương đương khoảng 3.600 USD đến 10.000 USD.

Nếu không phản hồi, số tiền chuộc sẽ tăng gấp đôi. Sau bảy ngày, kẻ tấn công đe dọa xóa vĩnh viễn khóa giải mã và công bố dữ liệu bị đánh cắp. Để biết thêm chi tiết về cách BQTLOCK yêu cầu tiền chuộc, tham khảo phân tích của K7 Computing.

Chi tiết Hoạt động Sau Khai thác

Thu thập Thông tin và Leo thang Đặc quyền

Sau khi thực thi, BQTLOCK thực hiện một loạt các bước trinh sát và leo thang đặc quyền. Nó thu thập thông tin hệ thống bao gồm tên máy chủ (host name), tên người dùng (user name), ID phần cứng (hardware ID), và địa chỉ IP công cộng thông qua dịch vụ icanhazip.com. Dữ liệu này sau đó được chuyển ra ngoài qua một Discord webhook.

Mã độc cố gắng kích hoạt SeDebugPrivilege và sử dụng các kỹ thuật bỏ qua Kiểm soát tài khoản người dùng (UAC bypass) như CMSTP, fodhelper.exe, và eventvwr.exe để giành quyền quản trị mà không cần tương tác của người dùng.

Duy trì Quyền truy cập và Ẩn mình

BQTLOCK tạo một tài khoản quản trị viên cục bộ mới có tên là BQTLockAdmin với mật khẩu mặc định là Password123! thông qua API NetUserAdd.

Để duy trì sự ẩn mình, nó tiêm mã độc vào explorer.exe thông qua kỹ thuật “process hollowing”.

Vô hiệu hóa Bảo mật Hệ thống

Mã độc BQTLOCK cũng chấm dứt các dịch vụ chống virus và sao lưu. Nó liệt kê các tiến trình đang chạy bằng cách sử dụng CreateToolhelp32Snapshot và sau đó buộc chấm dứt các tiến trình mục tiêu.

Cơ chế Khởi động Lại và Duy trì

Để đảm bảo khả năng tồn tại lâu dài, nó đăng ký một tác vụ đã lên lịch (scheduled task) dưới đường dẫn MicrosoftWindowsMaintenanceSystemHealthCheck.

Ngoài ra, BQTLOCK đặt hình nền tùy chỉnh và sửa đổi biểu tượng tệp bằng cách cập nhật các khóa registry dưới HKEY_CLASSES_ROOT.

Mô hình RaaS và Các Biến thể

Mô hình Dịch vụ (RaaS)

BQTLOCK RaaS cung cấp ba cấp độ đăng ký: Starter, Professional, và Enterprise. Các đối tác có thể tùy chỉnh chi tiết ghi chú tiền chuộc, hình ảnh hình nền, biểu tượng, phần mở rộng tệp, và các tính năng chống phân tích tùy chọn mà không cần kinh nghiệm lập trình.

Việc tùy chỉnh payload được thực hiện thông qua giao diện xây dựng ransomware.

Các Phiên bản Nâng cao và Khả năng Mới

Phiên bản 4 của bộ xây dựng mã độc ransomware BQTLOCK, được phát hành vào tháng 8, đã bổ sung các kiểm tra chống gỡ lỗi mới sử dụng OutputDebugString và GetTickCount.

Phiên bản này cũng cải thiện khả năng che giấu mã, bổ sung các phương pháp UAC bypass, và các module đánh cắp thông tin đăng nhập. Nó nhắm mục tiêu vào mật khẩu đã lưu từ các trình duyệt như Chrome, Firefox, Edge, Opera, và Brave.

Biến thể này còn lạm dụng các truy vấn WMI để thu thập chi tiết phần cứng, thả một tập lệnh batch để tự xóa, xóa nhật ký sự kiện, và tự sao chép vào thư mục %TEMP% để di chuyển ngang trong mạng.

Mặc dù ZeroDayX, người được cho là lãnh đạo nhóm, tuyên bố BQTLOCK hoàn toàn không bị phát hiện bởi các nhà cung cấp antivirus, nhưng các phân tích cho thấy các tuyên bố này có thể gây hiểu lầm. Các tổ chức cần liên tục theo dõi các mối đe dọa mạng và cập nhật biện pháp phòng thủ.

Chỉ số Thỏa hiệp (IOCs)

Các tổ chức và cá nhân nên chú ý đến các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) sau đây để phát hiện xâm nhập của BQTLOCK:

• Phần mở rộng tệp mã hóa:.bqtlock
• Tệp thực thi ban đầu:Update.exe
• Tài khoản quản trị viên cục bộ mới:BQTLockAdmin (với mật khẩu ban đầu được biết là Password123!)
• Dịch vụ kiểm tra IP công cộng:icanhazip.com
• Kỹ thuật UAC Bypass: Sử dụng CMSTP, fodhelper.exe, eventvwr.exe
• Vị trí Scheduled Task:MicrosoftWindowsMaintenanceSystemHealthCheck
• Registry keys bị sửa đổi: Dưới HKEY_CLASSES_ROOT (để thay đổi biểu tượng tệp)
• Kỹ thuật tiêm mã: Process hollowing vào explorer.exe
• Phương thức liên lạc tiền chuộc: Telegram, X (Twitter)
• Tiền tệ yêu cầu: Monero (XMR)
• Trình duyệt bị nhắm mục tiêu (cho đánh cắp thông tin đăng nhập): Chrome, Firefox, Edge, Opera, Brave

Khuyến nghị Phòng thủ và Giảm thiểu Rủi ro Bảo mật

Với sự gia tăng của các cuộc tấn công mạng bằng ransomware, các tổ chức và cá nhân cần thực hiện các biện pháp phòng ngừa mạnh mẽ. Điều này bao gồm việc duy trì các giải pháp chống virus được cập nhật thường xuyên và áp dụng các chiến lược sao lưu mạnh mẽ.

Ưu tiên các bản sao lưu ngoại tuyến hoặc bất biến (immutable) để đảm bảo khả năng phục hồi dữ liệu.

Liên tục giám sát các tác vụ đã lên lịch đáng ngờ và sự xuất hiện của các tài khoản quản trị mới là rất quan trọng để phát hiện sớm các dấu hiệu xâm nhập mạng. Cập nhật thường xuyên các bản vá bảo mật cũng là một yếu tố then chốt để giảm thiểu các lỗ hổng.

Tham khảo thêm các hướng dẫn về phòng chống ransomware từ các nguồn uy tín như CISA để củng cố an ninh mạng của bạn.