Các chiến dịch mã độc ransomware hiện đại đã phát triển vượt ra ngoài các cuộc tấn công cơ hội đơn giản, trở thành các chiến dịch nhiều giai đoạn tinh vi. Chúng khai thác các Công cụ Truy cập Từ xa (RATs) hợp pháp để duy trì ẩn danh và chiếm quyền kiểm soát hệ thống, đồng thời phá vỡ các biện pháp phòng thủ của tổ chức một cách có hệ thống.

Mã độc ransomware là một trong những mối đe dọa mạng gây gián đoạn nhất, có khả năng mã hóa dữ liệu quan trọng của tổ chức và yêu cầu thanh toán tiền chuộc để khôi phục.

Sự Phát Triển Của Mã Độc Ransomware Hiện Đại

Trong khi các chiến dịch ban đầu dựa vào tấn công phishing hàng loạt hoặc phân phối mã độc cơ hội, các hoạt động mã độc ransomware hiện đại đã phát triển thành các cuộc tấn công có mục tiêu và phức tạp cao.

Những kẻ tấn công đã nhắm mục tiêu vào các phần mềm quản trị đáng tin cậy như AnyDesk, UltraViewer, RustDesk và Splashtop để thiết lập các cửa hậu, leo thang đặc quyền và triển khai các payload độc hại trên khắp mạng doanh nghiệp. Điều này được thảo luận chi tiết tại Seqrite Blog.

Ngày nay, kẻ tấn công không chỉ lây nhiễm máy tính mà còn di chuyển ngang qua các mạng, thu thập thông tin xác thực, vô hiệu hóa các biện pháp phòng thủ và duy trì quyền kiểm soát liên tục. Tất cả các hành động này đều được thực hiện một cách lén lút và tránh bị phát hiện.

Lạm Dụng Các Công Cụ Truy Cập Từ Xa (RATs) Hợp Pháp

Một yếu tố quan trọng hỗ trợ các cuộc tấn công mạng này là việc khai thác các Công cụ Truy cập Từ xa hợp pháp như AnyDesk, UltraViewer, AppAnywhere, RustDesk, CloneDesk, Splashtop và TightVNC.

Ban đầu được thiết kế cho quản trị IT và hỗ trợ từ xa, nhiều công cụ này cung cấp các phiên bản miễn phí hoặc có sẵn. Kẻ tấn công thường lạm dụng chúng vì dễ triển khai, được tin cậy rộng rãi và thường được đưa vào danh sách trắng trong môi trường doanh nghiệp.

Lý Do RATs Bị Lạm Dụng

• Khả năng chống phát hiện: RATs hợp pháp được tin cậy và thường bỏ qua các quy tắc tường lửa và giải pháp bảo mật.
• Khả năng kiểm soát linh hoạt: Cung cấp quyền truy cập đầy đủ vào hệ thống bị xâm nhập, cho phép thực hiện nhiều hành động độc hại.
• Tính sẵn có và dễ sử dụng: Các phiên bản miễn phí dễ dàng có được và triển khai, giảm chi phí và rào cản kỹ thuật cho kẻ tấn công.

Các tổ chức thường đưa các Công cụ Truy cập Từ xa vào danh sách trắng và tin tưởng chữ ký số của chúng, điều này bị kẻ tấn công khai thác để vượt qua các biện pháp kiểm soát bảo mật và duy trì sự tồn tại một cách lén lút.

Chuỗi Tấn Công Ransomware (Ransomware Kill Chain) Với RATs

Chuỗi tấn công mã độc ransomware phác thảo từng giai đoạn của một cuộc tấn công, từ truy cập ban đầu đến tác động cuối cùng. Khi kẻ tấn công tận dụng các Công cụ Truy cập Từ xa hợp pháp, chúng có được khả năng ẩn danh, duy trì quyền kiểm soát và kiểm soát, khiến việc phát hiện và giảm thiểu trở nên khó khăn hơn.

Hiểu rõ từng giai đoạn của chuỗi tấn công là điều cần thiết đối với các nhà phòng thủ. Nó không chỉ giúp nhận diện các mẫu tấn công sớm mà còn xây dựng các biện pháp phòng thủ mạnh mẽ, đa lớp để ngăn chặn kẻ tấn công.

Truy Cập Ban Đầu (Initial Access)

Kẻ tấn công có được quyền truy cập hợp pháp bằng cách sử dụng thông tin xác thực bị đánh cắp hoặc tấn công brute-force, vượt qua các biện pháp phòng thủ trong khi xuất hiện như những người dùng đáng tin cậy.

Việc nhắm mục tiêu vào các tài khoản quản trị viên cung cấp quyền kiểm soát tối đa và cho phép các giai đoạn sau như triển khai Công cụ Truy cập Từ xa và di chuyển ngang.

• Các phương thức tấn công phổ biến:
  • Khai thác các lỗ hổng trên Internet (ví dụ: VPN, RDP).
  • Lừa đảo (phishing) và kỹ thuật xã hội.
  • Thông tin xác thực bị đánh cắp hoặc rò rỉ.
  • Tấn công Brute-force vào dịch vụ RDP hoặc dịch vụ khác.
• Chỉ số phát hiện:
  • Đăng nhập bất thường từ các vị trí hoặc thiết bị không quen thuộc.
  • Nhiều lần đăng nhập không thành công vào tài khoản quản trị.
  • Hoạt động truy cập RDP không có trong lịch sử hoặc ngoài giờ làm việc.

Triển Khai RATs (Remote Access Tool Deployment)

Sau khi có quyền truy cập, kẻ tấn công tập trung vào việc triển khai Công cụ Truy cập Từ xa để duy trì quyền kiểm soát một cách lén lút.

Chúng có thể chiếm quyền điều khiển một RAT hiện có để tránh bị phát hiện hoặc thực hiện cài đặt ẩn bằng các trình cài đặt đã được ký với dấu chân tối thiểu.

• Phương pháp 1: Chiếm quyền điều khiển các RATs hiện có
  • Kẻ tấn công tận dụng các cài đặt RAT đã có, thường được các nhà quản trị bỏ qua.
  • Chúng điều chỉnh cấu hình và quyền truy cập để phù hợp với mục đích độc hại của mình.
• Phương pháp 2: Cài đặt ẩn RATs
  • Triển khai các trình cài đặt nhẹ, đã được ký mà không cần tương tác người dùng, sử dụng các cờ cài đặt ẩn như /S, /VERYSILENT, /quiet, /NORESTART.

Duy Trì Quyền Kiểm Soát và Nâng Cao Đặc Quyền (Persistence and Privilege Escalation)

Kẻ tấn công tận dụng các khóa chạy trong registry, các tác vụ đã lên lịch ẩn và các sửa đổi tệp cấu hình để duy trì quyền kiểm soát.

Việc nâng cao đặc quyền được thực hiện bằng cách sử dụng các công cụ như PowerRun hoặc TrustedInstaller, cho phép các Công cụ Truy cập Từ xa chạy với đặc quyền SYSTEM và vượt qua các hạn chế cấp người dùng.

• Cơ chế:
  • Các khóa chạy Registry (Registry Run keys).
  • Các tác vụ đã lên lịch (Scheduled tasks).
  • Sửa đổi các tệp cấu hình của RAT.
  • Khai thác các lỗ hổng nâng cao đặc quyền.

Vô Hiệu Hóa Hệ Thống Phòng Thủ (Defense Evasion)

Sử dụng các Công cụ Truy cập Từ xa, kẻ tấn công có thể tương tác dừng các dịch vụ Antivirus, thao tác các chính sách nhóm và thêm thư mục RAT vào danh sách loại trừ.

Các nhật ký quan trọng được xóa và các công cụ xóa tệp được sử dụng để loại bỏ bằng chứng pháp y, gây khó khăn cho việc điều tra sau sự cố.

• Các kỹ thuật:
  • Dừng dịch vụ Antivirus, sửa đổi các chính sách bảo mật, vô hiệu hóa các cơ chế khôi phục.
  • Xóa nhật ký sự kiện và hủy các tệp nhạy cảm để tránh bị phát hiện và cản trở điều tra pháp y.
  • Chỉnh sửa các giải pháp sao lưu, vô hiệu hóa các bản sao bóng (shadow copies).
  • Sử dụng các Living-off-the-Land Binaries (LOLBins) như rundll32 hoặc PowerShell để hòa trộn các hành động độc hại với các tiến trình hợp pháp.

Triển Khai Payload Ransomware (Ransomware Payload Delivery)

Mã độc ransomware được phân phối thông qua các kênh của Công cụ Truy cập Từ xa, thường được ngụy trang dưới dạng các bản cập nhật đáng tin cậy hoặc hành động quản trị.

Payload được thực thi trong các phiên từ xa hiện có để vượt qua sự nghi ngờ của người dùng và giám sát bảo mật.

Các Công Cụ Truy Cập Từ Xa Bị Lạm Dụng Phổ Biến

Dưới đây là danh sách các Công cụ Truy cập Từ xa thường bị kẻ tấn công lạm dụng trong các chiến dịch mã độc ransomware để duy trì quyền kiểm soát, triển khai và di chuyển ngang:

• AnyDesk
• UltraViewer
• AppAnywhere
• RustDesk
• CloneDesk
• Splashtop
• TightVNC

Tầm Quan Trọng Của Khung MITRE ATT&CK

Hiểu biết về các chiến thuật, kỹ thuật và quy trình (TTPs) được kẻ tấn công sử dụng là rất quan trọng để phòng thủ chống lại các chiến dịch mã độc ransomware dựa trên Công cụ Truy cập Từ xa.

Bằng cách ánh xạ các hoạt động này vào khung MITRE ATT&CK (attack.mitre.org), các nhóm bảo mật có thể hình dung cách kẻ tấn công giành quyền truy cập, triển khai công cụ, duy trì quyền kiểm soát, leo thang đặc quyền và cuối cùng là phân phối các payload gây tác động.

Xu Hướng Tấn Công Ransomware Mới Nổi

Khi các nhà điều hành mã độc ransomware phát triển, các chiến thuật mới đang xuất hiện, mở rộng ra ngoài việc khai thác tại chỗ truyền thống. Các xu hướng này làm nổi bật cách kẻ tấn công kết hợp tự động hóa, lạm dụng đám mây và hệ sinh thái RaaS (Ransomware-as-a-Service) để tối đa hóa quy mô và khả năng ẩn danh của các hoạt động của chúng:

• Tự động hóa nâng cao: Tăng cường sử dụng các script và công cụ tự động để tăng tốc các giai đoạn tấn công.
• Lạm dụng dịch vụ đám mây: Tận dụng các nền tảng đám mây để lưu trữ C2, phân phối payload và trích xuất dữ liệu.
• Hệ sinh thái RaaS: Cho phép nhiều đối tượng hơn triển khai các cuộc tấn công phức tạp mà không cần kiến thức chuyên sâu.

Chiến Lược Phòng Chống Hiệu Quả Cho An Ninh Mạng

Mặc dù các tác nhân ransomware có thể cố gắng vũ khí hóa các công cụ đáng tin cậy, các giải pháp bảo mật toàn diện được xây dựng với nhiều lớp phòng thủ để ngăn chặn chúng.

Bằng cách kết hợp giám sát thời gian thực, tự bảo vệ và phát hiện hành vi nâng cao, các nền tảng bảo mật hiện đại đảm bảo rằng kẻ tấn công không thể dễ dàng vô hiệu hóa bảo mật hoặc vượt qua mà không bị chú ý.

Các Lớp Bảo Vệ Cốt Lõi

• Bảo vệ điểm cuối (Endpoint Protection): Antivirus mạnh mẽ, EDR (Endpoint Detection and Response) với khả năng phát hiện hành vi.
• Giám sát mạng (Network Monitoring): Phát hiện bất thường trong lưu lượng mạng, IDS/IPS.
• Quản lý quyền truy cập (Access Management): Áp dụng nguyên tắc đặc quyền tối thiểu (Least Privilege), xác thực đa yếu tố (MFA).
• Sao lưu và phục hồi (Backup and Recovery): Đảm bảo sao lưu dữ liệu thường xuyên, ngoại tuyến và có khả năng chống giả mạo.

Các công cụ IT hợp pháp có thể dễ dàng trở thành các vector tấn công ẩn khi bị quản lý sai. Việc lạm dụng Công cụ Truy cập Từ xa hiện là một yếu tố quan trọng hỗ trợ cho các thế hệ mã độc ransomware tiếp theo.

Để chống lại rủi ro này, các doanh nghiệp cần một cách tiếp cận đa lớp kết hợp quản trị, giám sát và phản ứng nhanh. Các giải pháp bảo mật hiện đại đóng vai trò trung tâm trong chiến lược phòng thủ này, cung cấp khả năng bảo vệ Antivirus mạnh mẽ, phát hiện hành vi và bảo vệ chống mã độc ransomware.

Khi được kết hợp với quản trị nghiêm ngặt và quy trình ứng phó sự cố, các tổ chức có thể đi trước kẻ tấn công và bảo vệ tài sản quan trọng của mình khỏi các chiến dịch tấn công mạng ngày càng tinh vi.