Trong khoảng thời gian từ tháng 7 đến tháng 8 năm 2025, đã ghi nhận sự gia tăng đáng kể các cuộc tấn công Akira ransomware, khai thác các thiết bị SonicWall SSL VPN chưa được vá lỗi. Mặc dù bản vá đã được phát hành, nhiều tổ chức vẫn dễ bị tổn thương, tạo điều kiện cho kẻ tấn công xâm nhập ban đầu và triển khai sơ đồ tống tiền kép của Akira. Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc quản lý lỗ hổng CVE và phòng chống các mối đe dọa mạng.

Bối cảnh Tấn công Akira Ransomware

Vào ngày 20 tháng 8 năm 2025, Darktrace đã phát hiện hoạt động quét mạng và do thám bất thường trên mạng của một khách hàng ở Hoa Kỳ. Hoạt động này ban đầu được cho là một lỗ hổng zero-day tiềm ẩn, gây ra mối lo ngại về một chiến dịch tấn công mới.

Tuy nhiên, SonicWall sau đó đã xác nhận rằng tất cả các sự cố đều xuất phát từ việc khai thác CVE-2024-40766, một lỗ hổng kiểm soát truy cập không đúng cách được công bố vào ngày 23 tháng 8 năm 2024. Thông tin chi tiết về chiến dịch này đã được Darktrace chia sẻ tại blog của họ, cung cấp cái nhìn sâu sắc về các chiến thuật của Akira ransomware.

Hoạt động do thám bao gồm nhiều lần tra cứu bằng công cụ Advanced IP Scanner chống lại máy chủ SonicWall SSL VPN nội bộ. Mục tiêu là xác định các điểm yếu và lập bản đồ cấu trúc mạng. Tiếp theo là các hành động di chuyển ngang và đánh cắp dữ liệu, chuẩn bị cho giai đoạn tấn công chính.

Nhóm SOC đã truy vết điểm khởi đầu đến một thiết bị mạng riêng ảo (VPN appliance) đang chạy phiên bản SonicOS 7.0.1.5035. Điều này đã xác nhận việc khai thác thành công CVE-2024-40766 như con đường xâm nhập ban đầu.

Akira ransomware được biết đến là nhóm tấn công các tổ chức thuộc nhiều lĩnh vực quan trọng, đáng chú ý nhất là sản xuất, giáo dục và y tế, gây ra rủi ro bảo mật nghiêm trọng cho hạ tầng thông tin.

Phân tích Lỗ hổng CVE-2024-40766

CVE-2024-40766 mô tả một lỗ hổng kiểm soát truy cập không đúng cách, cho phép truy cập trái phép vào các điểm cuối quản trị (administrative endpoints) của thiết bị SonicWall SSL VPN. Lỗ hổng này đặc biệt nguy hiểm vì nó có thể dẫn đến việc kiểm soát từ xa các cấu hình SSL VPN, mở ra cánh cửa cho kẻ tấn công.

Việc chiếm quyền điều khiển các điểm cuối quản trị đồng nghĩa với việc kẻ tấn công có thể thay đổi cài đặt, tạo tài khoản người dùng hoặc thậm chí tắt các biện pháp bảo mật. Điều này tạo điều kiện thuận lợi cho việc thiết lập quyền truy cập bền vững và triển khai các hoạt động độc hại.

Để hiểu rõ hơn về tính chất kỹ thuật và mức độ nghiêm trọng của CVE-2024-40766, bạn có thể tham khảo thông tin chi tiết trên trang NVD của NIST tại nvd.nist.gov. Mặc dù một mã khai thác thử nghiệm (PoC) có thể được xây dựng để lợi dụng lỗ hổng này bằng cách gửi yêu cầu HTTP POST đến các điểm cuối dễ bị tấn công, thông tin chi tiết về mã khai thác này thường được giữ kín để tránh lạm dụng.

Quy trình Hoạt động của Akira Ransomware

Phương thức Di chuyển Ngang và Đánh cắp Thông tin đăng nhập

Sử dụng thông tin đăng nhập đã bị đánh cắp trước đó và các cấu hình sai trong Virtual Office Portal, kẻ tấn công đã vượt qua các biện pháp bảo vệ đa yếu tố (MFA) và leo thang đặc quyền. Đây là một ví dụ điển hình về cách các rủi ro bảo mật đơn giản có thể bị lạm dụng nghiêm trọng.

Trong chiến dịch này, khoảng 2 GiB dữ liệu nhạy cảm đã bị đánh cắp (exfiltrated) trước khi các hành động ngăn chặn của Darktrace kịp thời can thiệp, dừng được thiệt hại thêm. Việc đánh cắp dữ liệu là một phần của chiến lược tống tiền kép của Akira ransomware.

Sau khi có quyền truy cập ban đầu, kẻ tấn công tiến hành triển khai các biến thể của Akira ransomware. Các biến thể này bao gồm phiên bản dành cho hệ điều hành Windows để mã hóa hệ thống tệp và biến thể ESXi chuyên biệt nhắm mục tiêu vào các kho lưu trữ tệp hypervisor. Việc này cho phép mã hóa nhanh chóng trên các cơ sở hạ tầng ảo hóa và đám mây, gây ra gián đoạn diện rộng.

Một khi đã xâm nhập, kẻ thù di chuyển ngang trong mạng nội bộ bằng cách sử dụng các giao thức quản trị hợp pháp như WinRM và RDP. Việc lợi dụng các công cụ và giao thức hệ thống tiêu chuẩn giúp chúng khó bị phát hiện hơn.

Chúng cũng trích xuất các NTLM hashes thông qua xác thực Kerberos PKINIT và U2U, một kỹ thuật được biết đến là “UnPAC the hash”. Kỹ thuật này cho phép lấy cắp thông tin đăng nhập mà không cần tương tác trực tiếp, sau đó triển khai các tệp thực thi ransomware bằng các công cụ quản trị hợp lệ, hợp thức hóa hoạt động độc hại.

Chỉ số Tổn thương (IoCs) và Giao tiếp C2

Hoạt động giao tiếp với máy chủ chỉ huy và kiểm soát (C2) của Akira ransomware thường sử dụng các dịch vụ lưu trữ đám mây tạm thời để che giấu nguồn gốc. Các chỉ số bị tổn thương (IoCs) liên quan đến giao tiếp C2 bao gồm:

• temp[.]sh

Ngoài ra, kẻ tấn công còn thực hiện tải xuống trực tiếp các công cụ và mã độc từ các địa chỉ IP hiếm, làm phức tạp việc theo dõi và chặn.

Kỹ thuật “UnPAC the hash” bị lạm dụng trong chiến dịch này cho thấy cách xác thực Kerberos dựa trên chứng chỉ có thể bị phá vỡ để trích xuất NTLM hashes cho mục đích di chuyển ngang. Đây là một điểm đáng lưu ý trong việc phát hiện và phản ứng với các cuộc tấn công tinh vi.

Phòng chống và Giảm thiểu Nguy cơ từ Akira Ransomware

Chiến dịch tấn công này một lần nữa nhấn mạnh tầm quan trọng cấp bách của việc vá lỗi kịp thời và quản lý cấu hình chặt chẽ. Việc CVE-2024-40766 bị khai thác hơn một năm sau khi được công bố chứng tỏ rằng kẻ tấn công sẽ liên tục quét tìm và nhắm mục tiêu vào các hệ thống chưa được vá lỗi.

Các cấu hình sai trong Virtual Office Portals còn cho phép truy cập ban đầu ngay cả trên các thiết bị đã được vá lỗi. Điều này làm nổi bật sự cần thiết của vệ sinh thông tin đăng nhập, thực hiện xác thực đa yếu tố mạnh mẽ và kiểm tra cấu hình định kỳ để đảm bảo an toàn thông tin tối đa.

Hiện nay, các nhà khai thác ransomware như Akira ưa chuộng các giao thức quản trị hợp pháp — WinRM, RDP, Kerberos — để hòa trộn hoạt động độc hại vào lưu lượng truy cập mạng thông thường. Chiến thuật này khiến cho việc phát hiện các cuộc tấn công mạng trở nên khó khăn hơn đối với các hệ thống giám sát truyền thống.

Việc giám sát các yêu cầu Kerberos PKINIT bất thường, các cuộc gọi DCE-RPC và các luồng truyền dữ liệu ra bên ngoài không bình thường là rất cần thiết để phát hiện sớm các dấu hiệu xâm nhập và hoạt động độc hại.

Tầm quan trọng của Bản vá Bảo mật và Quản lý Cấu hình

Các nhà phòng thủ nên áp dụng phương pháp bảo vệ theo chiều sâu (defense-in-depth) để xây dựng một hàng rào bảo mật vững chắc. Dưới đây là các hành động được khuyến nghị để tăng cường an ninh mạng:

• Thực hiện cập nhật bản vá bảo mật cho tất cả các thiết bị và hệ thống một cách kịp thời, đặc biệt là các thiết bị biên như SSL VPN.
• Thiết lập và duy trì chính sách kiểm soát truy cập nghiêm ngặt, bao gồm cả xác thực đa yếu tố (MFA) cho tất cả các tài khoản quản trị và người dùng.
• Thường xuyên kiểm tra và kiểm toán cấu hình hệ thống, đặc biệt là Virtual Office Portals, để loại bỏ các lỗ hổng tiềm ẩn và cấu hình sai.
• Giám sát liên tục các hoạt động mạng để phát hiện các dấu hiệu di chuyển ngang, đánh cắp thông tin đăng nhập hoặc hoạt động giao tiếp C2.
• Triển khai giải pháp phát hiện và phản hồi nâng cao (EDR/MDR) để nhanh chóng cô lập các mối đe dọa và giảm thiểu thiệt hại.

Như phản ứng tự động của Darktrace đã chứng minh, việc phân loại và ngăn chặn nhanh chóng các cuộc tấn công có thể giảm thiểu đáng kể tác động. Các tổ chức sử dụng dịch vụ phát hiện và phản hồi được quản lý (MDR) sẽ hưởng lợi từ các cảnh báo có độ chính xác cao, điều tra nhanh chóng và giảm thiểu ngay lập tức, hạn chế phạm vi của các chiến thuật tống tiền kép của Akira ransomware. Sự cảnh giác liên tục—ngay cả sau khi vá lỗi—là tối quan trọng để ngăn chặn các mối đe dọa ransomware đang phát triển khai thác các lỗ hổng kế thừa và các mối đe dọa mạng phức tạp khác.