Một công ty sản xuất lớn đã trở thành nạn nhân của một tấn công ransomware nhanh chóng và tàn khốc, sau khi các tác nhân đe dọa giành quyền truy cập chỉ bằng một bộ thông tin đăng nhập VPN bị đánh cắp.

Vụ tấn công, được thực hiện bởi nhóm tội phạm mạng Ignoble Scorpius, đã dẫn đến việc mã hóa diện rộng các máy ảo và làm đình trệ các hoạt động sản xuất quan trọng.

Giai Đoạn Khởi Đầu: Khai Thác Điểm Yếu Bảo Mật VPN

Kỹ Thuật Lừa Đảo Voice Phishing

Sự vi phạm ban đầu bắt đầu khi một nhân viên nhận được một cuộc gọi lừa đảo bằng giọng nói (voice phishing) tinh vi.

Kẻ tấn công giả danh bộ phận hỗ trợ IT của công ty, thuyết phục nhân viên nhập thông tin đăng nhập VPN của họ vào một trang web giả mạo được thiết kế sẵn.

Theo báo cáo chi tiết từ Unit 42 của Palo Alto Networks, đây là điểm khởi đầu trực tiếp cho chuỗi sự kiện leo thang dẫn đến tấn công ransomware sau đó. Việc này nhấn mạnh tầm quan trọng của việc huấn luyện người dùng về nhận diện các mối đe dọa từ kỹ thuật xã hội. Nguồn: Unit42.

Xâm Nhập Mạng Nội Bộ và Nâng Cao Đặc Quyền

Với các thông tin đăng nhập VPN bị đánh cắp, những kẻ tấn công đã thâm nhập vào mạng nội bộ của công ty mà không bị phát hiện.

Chúng nhanh chóng tìm cách nâng cao đặc quyền người dùng để đạt được quyền kiểm soát sâu hơn trong môi trường đích.

Trong vòng vài giờ sau khi xâm nhập mạng thành công, chúng đã thực hiện một cuộc tấn công DCSync trên một bộ điều khiển miền (domain controller).

Kỹ thuật DCSync cho phép kẻ tấn công giả mạo một bộ điều khiển miền và yêu cầu dữ liệu réplication, từ đó thu thập băm mật khẩu người dùng mà không cần trực tiếp tương tác với chúng.

Mục tiêu chính của cuộc tấn công này là thu thập thêm các thông tin đăng nhập cấp cao, bao gồm cả băm mật khẩu của tài khoản quản trị.

Di Chuyển Nội Bộ và Duy Trì Quyền Truy Cập

Chiếm Quyền Điều Khiển Tài Nguyên Hệ Thống

Được trang bị các thông tin đăng nhập quản trị thu thập được, những kẻ xâm nhập đã di chuyển ngang qua mạng.

Chúng sử dụng các giao thức mạng tiêu chuẩn như Remote Desktop và SMB để truy cập các hệ thống và máy chủ khác.

Các công cụ hệ thống phổ biến như Advanced IP Scanner đã được sử dụng để lập bản đồ mạng một cách kỹ lưỡng và hiệu quả.

Quá trình này giúp chúng xác định và ưu tiên các máy chủ giá trị cao, qua đó củng cố khả năng chiếm quyền điều khiển các tài nguyên quan trọng trong cơ sở hạ tầng.

Cơ Chế Duy Trì Quyền Truy Cập Bền Vững

Để đảm bảo quyền truy cập lâu dài và liên tục vào mạng lưới, kẻ tấn công đã cài đặt phần mềm AnyDesk và một Trojan truy cập từ xa (RAT) tùy chỉnh.

Các phần mềm này được triển khai trên một bộ điều khiển miền và được cấu hình như một tác vụ theo lịch (scheduled task).

Cơ chế này đảm bảo rằng quyền truy cập vẫn tồn tại ngay cả sau khi hệ thống khởi động lại, duy trì sự hiện diện dai dẳng của kẻ tấn công mà không bị phát hiện.

Tiếp đó, một bộ điều khiển miền thứ hai cũng bị xâm nhập, làm lộ toàn bộ cơ sở dữ liệu băm mật khẩu NTDS.dit. Đây là một tệp cơ sở dữ liệu quan trọng chứa thông tin về tất cả các đối tượng Active Directory, bao gồm cả băm mật khẩu của người dùng và tài khoản dịch vụ.

Đánh Cắp Dữ Liệu và Hoạt Động Chuẩn Bị Cuộc Tấn Công Cuối Cùng

Rò Rỉ Dữ Liệu Nhạy Cảm

Trước khi triển khai mã độc tống tiền, một lượng lớn dữ liệu, lên đến hơn 400 GB dữ liệu nhạy cảm, đã bị đánh cắp.

Việc này được thực hiện bằng cách sử dụng tiện ích rclone đã được đổi tên để che giấu hoạt động thực sự của nó.

Đây là một dấu hiệu rõ ràng của ý định khai thác thông tin trước khi thực hiện tấn công ransomware, tạo thêm áp lực buộc nạn nhân phải trả tiền chuộc.

Xóa Dấu Vết Pháp Y

Để cản trở quá trình điều tra pháp y và che giấu hành vi, những kẻ tấn công đã chạy công cụ CCleaner.

Mục đích là xóa sạch các nhật ký hệ thống và nhật ký pháp y (forensic logs) liên quan đến các hoạt động bất hợp pháp của chúng.

Hành động này nhằm làm chậm và phức tạp hóa khả năng phản ứng cũng như phân tích sau sự cố của đội ngũ bảo mật, gây khó khăn cho việc truy vết.

Triển Khai Tấn Công Ransomware BlackSuit

Quy Trình Mã Hóa Hàng Loạt

Giai đoạn cuối cùng của cuộc tấn công được dàn dựng thông qua công cụ tự động hóa Ansible.

Hàng trăm máy ảo trên khoảng 60 máy chủ VMware ESXi đã bị mã hóa gần như đồng thời, gây ra sự gián đoạn nghiêm trọng.

Mã độc BlackSuit ransomware đã được triển khai rộng rãi, vô hiệu hóa các hệ thống và gây ra tình trạng đình trệ nghiêm trọng trong hoạt động sản xuất.

Sự phối hợp này cho thấy mức độ tinh vi và khả năng gây hại của nhóm Ignoble Scorpius trong việc thực hiện tấn công ransomware quy mô lớn và có tính hủy diệt.

Hậu Quả Và Tác Động Nghiêm Trọng

Các dây chuyền sản xuất của công ty đã ngừng hoạt động hoàn toàn, dẫn đến thiệt hại tài chính và hoạt động vô cùng đáng kể.

Nhà sản xuất đã ngay lập tức liên hệ với Unit 42 của Palo Alto Networks để lãnh đạo nỗ lực ứng phó nhanh chóng và khôi phục hệ thống.

Phản Ứng Khẩn Cấp và Các Biện Pháp Khắc Phục

Khuyến Nghị Bảo Mật Sau Sự Cố

Đội ngũ ứng phó đã đưa ra các khuyến nghị quan trọng để tăng cường an ninh mạng và ngăn chặn các cuộc tấn công tương tự trong tương lai.

Các biện pháp bao gồm thay thế các tường lửa Cisco ASA lỗi thời bằng các tường lửa thế hệ mới (next-generation firewalls) có khả năng bảo vệ tiên tiến hơn và tính năng phát hiện mối đe dọa nâng cao.

Ngoài ra, việc tăng cường phân đoạn mạng (network segmentation) và hạn chế quyền truy cập quản lý vào các máy chủ quan trọng cũng được nhấn mạnh để giảm thiểu bề mặt tấn công.

Xác thực đa yếu tố (MFA) đã được bắt buộc cho tất cả các lần đăng nhập từ xa, bao gồm cả quyền truy cập VPN, giúp củng cố bảo mật VPN và các điểm truy cập khác. Nguồn: CISA.

Các tài khoản dịch vụ (service accounts) cũng đã được khóa chặt và giám sát nghiêm ngặt để ngăn chặn việc lạm dụng hoặc leo thang đặc quyền trái phép.

Từ Chối Yêu Cầu Tiền Chuộc

Nhờ nỗ lực ứng phó hiệu quả và sự hợp tác của các chuyên gia, yêu cầu tiền chuộc 20 triệu USD đã bị từ chối, và không có khoản thanh toán nào được thực hiện cho nhóm tin tặc.

Sự cố này là minh chứng rõ ràng về cách một bộ thông tin đăng nhập VPN bị xâm phạm có thể kích hoạt một chuỗi phản ứng khai thác, đánh cắp dữ liệu và cuối cùng là một cuộc tấn công ransomware tàn phá.

Các tổ chức phải triển khai các hệ thống phòng thủ nhiều lớp kết hợp xác thực mạnh mẽ, khả năng hiển thị điểm cuối toàn diện, cô lập tự động và hướng dẫn chuyên môn để phá vỡ các cuộc tấn công trước khi chúng leo thang thành một sự cố nghiêm trọng.

Đầu tư vào các biện pháp bảo mật chủ động mang lại hiệu quả gấp bội khi so sánh với chi phí và thiệt hại do một cuộc khủng hoảng tấn công ransomware quy mô lớn gây ra.

Thông Tin Liên Quan Đến Tác Nhân Đe Dọa và Mã Độc

Dựa trên phân tích kỹ thuật của vụ việc, các thông tin sau đây đã được xác định liên quan đến cuộc xâm nhập mạng và mã độc:

• Nhóm Tấn Công: Ignoble Scorpius
• Ransomware Sử Dụng: BlackSuit