Năm 2025 đánh dấu sự chuyển mình đáng kể của mã độc ransomware Chaos, khi xuất hiện một biến thể C++ tinh vi, được nhận định là phiên bản nguy hiểm nhất từ trước đến nay.

Đây là lần đầu tiên Chaos từ bỏ nền tảng .NET truyền thống, tích hợp các chiến thuật tống tiền phá hoại và khả năng đánh cắp tiền điện tử, làm gia tăng đáng kể tác động vận hành cũng như rủi ro tài chính cho các nạn nhân.

Biến thể Chaos-C++ mới nhất cho thấy sự thay đổi cơ bản trong phương pháp tấn công của biến thể ransomware. Không giống như các loại ransomware truyền thống chỉ dựa vào mã hóa tệp để đòi tiền chuộc, chủng mới này kết hợp nhiều vector tấn công thành một cuộc tấn công toàn diện vào hệ thống nạn nhân. Nguồn tham khảo chi tiết có thể được tìm thấy tại Fortinet.

Sự Tiến Hóa Đáng Báo Động của Chaos Ransomware

Chiến Lược Mã Hóa Đa Cấp và Phá Hủy Dữ Liệu

Mã độc ransomware Chaos-C++ áp dụng chiến lược mã hóa theo cấp độ dựa trên kích thước tệp. Các tệp dưới 50MB sẽ bị mã hóa hoàn toàn.

Các tệp có kích thước từ 50MB đến 1.3GB được bỏ qua một cách có chủ đích. Đặc biệt, nội dung của các tệp vượt quá 1.3GB sẽ bị xóa sạch hoàn toàn.

Phương pháp dựa trên kích thước này thể hiện sự cân bằng tính toán giữa hiệu quả hoạt động và mức độ thiệt hại tối đa. Bằng cách xóa thay vì mã hóa các tệp lớn – thường chứa cơ sở dữ liệu, bản sao lưu và kho lưu trữ – Chaos-C++ loại bỏ mọi khả năng khôi phục dữ liệu.

Điều này đúng ngay cả khi nạn nhân tuân thủ các yêu cầu tiền chuộc. Thủ đoạn phá hoại này đánh dấu sự khác biệt đáng lo ngại so với kinh tế học ransomware truyền thống, nơi kẻ tấn công duy trì khả năng giải mã để khuyến khích thanh toán.

Kỹ Thuật Mã Hóa Chuyên Sâu

Sự tinh vi về kỹ thuật của mã độc ransomware này còn thể hiện ở việc triển khai mã hóa. Chaos-C++ chủ yếu sử dụng mã hóa AES-256-CFB thông qua các hàm Windows CryptoAPI.

Tuy nhiên, nó cũng tích hợp cơ chế dự phòng dựa trên XOR khi các hàm mật mã tiêu chuẩn không khả dụng. Sự dự phòng này đảm bảo thực thi thành công trên nhiều cấu hình hệ thống.

Ngay cả trong các môi trường bị hạn chế, nơi các biện pháp bảo mật có thể giới hạn quyền truy cập vào các thư viện mã hóa tiêu chuẩn, cuộc tấn công ransomware vẫn có thể diễn ra.

Cơ Chế Lẩn Tránh và Duy Trì Tấn Công

Thủ Đoạn Che Giấu và Duy Trì Quyền Điều Khiển

Chaos-C++ thể hiện các khả năng lẩn tránh nâng cao ngay từ khi triển khai ban đầu. Mã độc ransomware này ngụy trang thành “System Optimizer v2.1”.

Nó hiển thị các thông báo tối ưu hóa đáng tin cậy trong khi âm thầm thực thi payload ransomware của mình. Yếu tố kỹ thuật xã hội này tạo dựng niềm tin cho nạn nhân.

Song song đó, mã độc thiết lập khả năng duy trì thông qua việc tạo mutex và mạo danh các tiến trình hệ thống. Biến thể ransomware này triển khai nhiều cơ chế tàng hình.

Các cơ chế này bao gồm thao túng tiêu đề cửa sổ console để bắt chước các tiến trình svchost.exe hợp pháp và chiến thuật trì hoãn chiến lược nhằm né tránh phân tích sandbox tự động.

Vô Hiệu Hóa Khả Năng Khôi Phục Hệ Thống

Trước khi bắt đầu mã hóa, Chaos-C++ thực hiện kiểm tra quyền quản trị. Nó sẽ thực thi các lệnh vô hiệu hóa khả năng khôi phục hệ thống khi có quyền truy cập nâng cao.

Các lệnh này nhắm mục tiêu vào các dịch vụ Volume Shadow Copy, cài đặt cấu hình khởi động và danh mục sao lưu Windows, phá bỏ khả năng khôi phục của nạn nhân một cách có hệ thống.

Đáng chú ý, nó gọi hàm GetTickCount() để lấy số mili giây kể từ khi hệ thống khởi động và sử dụng giá trị này làm khóa XOR cho một số hoạt động mã hóa.

Mã nguồn ví dụ (minh họa cách sử dụng GetTickCount):

#include <windows.h>
#include <iostream>

int main() {
    DWORD tickCount = GetTickCount();
    std::cout << "Tick Count: " << tickCount << std::endl;
    // In ransomware, this value would be used as an XOR key
    // For example: BYTE xorKey = (BYTE)(tickCount & 0xFF);
    return 0;
}

Chiến lược duy trì của mã độc ransomware này bao gồm việc tạo ra các khả năng giám sát, được kích hoạt khi quá trình mã hóa đã hoàn tất.

Thay vì chấm dứt sau khi thực thi ban đầu, Chaos-C++ chuyển sang chế độ giám sát, tập trung vào hoạt động clipboard. Điều này đại diện cho một sự mở rộng đáng kể so với hành vi ransomware truyền thống.

Đỉnh Cao Nguy Hiểm: Đánh Cắp Tiền Điện Tử qua Clipboard Hijacking

Có lẽ sự tiến hóa đáng lo ngại nhất của Chaos-C++ là việc tích hợp khả năng đánh cắp tiền điện tử thông qua kỹ thuật clipboard hijacking tinh vi.

Sau đó, nó thả một ghi chú đòi tiền chuộc trong thư mục %AppData%, chứa hướng dẫn thanh toán, email liên hệ của kẻ tấn công và một mã định danh nạn nhân duy nhất.

Cơ Chế Đánh Cắp Tiền Điện Tử

Mã độc ransomware Chaos-C++ liên tục giám sát nội dung clipboard của hệ thống. Nó nhận diện các địa chỉ Bitcoin thông qua nhận dạng mẫu, xác thực các định dạng ví bao gồm P2PKH, P2SH và Bech32.

Khi các địa chỉ Bitcoin hợp lệ được phát hiện, Chaos-C++ sẽ thay thế chúng một cách liền mạch bằng các ví do kẻ tấn công kiểm soát. Điều này đảm bảo rằng mọi giao dịch tiền điện tử sẽ bị chuyển hướng bất kể người nhận dự định là ai.

Thao tác clipboard này hoạt động âm thầm trong nền, có khả năng chiếm đoạt các khoản thanh toán không liên quan đến sự cố ransomware ban đầu và mở rộng đáng kể tác động tài chính của cuộc tấn công mạng.

Việc triển khai này tận dụng các hàm Windows Clipboard API để cấp phát bộ nhớ, xóa nội dung clipboard hiện có và chèn các địa chỉ ví độc hại.

Ví dụ về Windows Clipboard API (mô phỏng):

// Pseudocode for clipboard hijacking
// OpenClipboard(NULL);
// EmptyClipboard();
// HGLOBAL hMem = GlobalAlloc(GMEM_MOVEABLE, strlen(maliciousAddress) + 1);
// LPVOID pMem = GlobalLock(hMem);
// strcpy((char*)pMem, maliciousAddress);
// GlobalUnlock(hMem);
// SetClipboardData(CF_TEXT, hMem);
// CloseClipboard();

Tác Động Tài Chính Mở Rộng

Việc thiếu xác thực biểu thức chính quy (regex validation) có nghĩa là bất kỳ chuỗi nào khớp với tiêu chí định dạng ví cơ bản đều sẽ kích hoạt việc thay thế. Điều này có thể ảnh hưởng đến các giao dịch kinh doanh hợp pháp và chuyển khoản tiền điện tử cá nhân.

Hậu quả này kéo dài rất lâu sau khi nhiễm trùng ban đầu, mở rộng phạm vi của rủi ro bảo mật.

Cách tiếp cận mối đe dọa kép này đã biến Chaos-C++ từ một mã độc ransomware truyền thống, chỉ yêu cầu thanh toán một lần, thành một mối đe dọa tài chính dai dẳng.

Nó có khả năng chặn nhiều giao dịch tiền điện tử trong thời gian dài. Sự kết hợp giữa xử lý tệp phá hoại và khả năng trộm cắp liên tục đại diện cho một mô hình mới trong sự tiến hóa của ransomware.

Kẻ tấn công tối đa hóa doanh thu thông qua nhiều vector tấn công đồng thời thay vì chỉ dựa vào tiền chuộc.

Sự xuất hiện của Chaos-C++ báo hiệu một xu hướng đáng lo ngại hướng tới các biến thể ransomware hung hãn và phá hoại hơn. Chúng ưu tiên gây thiệt hại tức thì bên cạnh việc tống tiền truyền thống.

Các tổ chức phải nhận thức rằng sự tiến hóa này đòi hỏi các chiến lược an ninh mạng được nâng cao. Cần giải quyết cả việc ngăn chặn lây nhiễm ban đầu và giám sát liên tục các mối đe dọa dai dẳng.

Những mối đe dọa này kéo dài vượt xa khung thời gian sự cố mã độc ransomware thông thường, đòi hỏi sự chủ động trong bảo mật thông tin.