Beast ransomware là một mã độc ransomware tinh vi, nổi lên như một mối đe dọa an ninh mạng đáng kể. Hoạt động này sử dụng các chiến thuật lây lan mạng nội bộ mạnh mẽ, khai thác cơ chế quét cổng Server Message Block (SMB) để xâm nhập và mã hóa các hệ thống trong môi trường doanh nghiệp.

Tổng Quan về Hoạt Động của Beast Ransomware

Nhóm đe dọa này, phát triển từ chủng ransomware Monster, đã tích cực nhắm mục tiêu vào các tổ chức trên toàn thế giới kể từ khi chính thức ra mắt vào tháng 7 năm 2025. Hiện có 16 nạn nhân được công bố công khai, trải dài khắp Hoa Kỳ, Châu Âu, Châu Á và Châu Mỹ Latinh, phản ánh phạm vi rộng lớn của các cuộc tấn công mạng này.

Beast ransomware vận hành dưới mô hình Ransomware-as-a-Service (RaaS). Nền tảng này cho phép nhiều đối tác khai thác mã độc ransomware này thực hiện các chiến dịch độc lập dưới cùng một cơ sở hạ tầng chung.

Nhóm này lần đầu tiên xuất hiện vào tháng 2 năm 2025 theo báo cáo từ ASEC AhnLab (xem thêm tại: ASEC AhnLab). Tuy nhiên, chúng trở nên nổi tiếng hơn sau khi thành lập một trang web rò rỉ dữ liệu dựa trên Tor vào giữa năm 2025. Tại đây, dữ liệu nạn nhân bị đánh cắp được công bố để gây áp lực buộc các tổ chức phải trả tiền chuộc.

Các tổ chức bị ảnh hưởng thuộc nhiều lĩnh vực đa dạng, bao gồm sản xuất, xây dựng, y tế, dịch vụ kinh doanh và giáo dục. Điều này thể hiện tính chất không phân biệt của các cuộc tấn công này. Mỗi nạn nhân nhận được một địa chỉ email thương lượng riêng, xác nhận rằng các đối tác liên kết khác nhau thực hiện các hoạt động đánh cắp dữ liệu và tống tiền một cách độc lập.

Chiến Thuật Xâm Nhập và Lây Lan

Phương Thức Xâm Nhập Ban Đầu

Cơ chế phân phối chính được Beast mã độc ransomware sử dụng tạo nên sự khác biệt so với các họ ransomware thông thường. Sự xâm nhập ban đầu thường xảy ra thông qua các chiến dịch lừa đảo tinh vi (phishing campaigns), giả mạo thông báo vi phạm bản quyền hoặc các thư liên quan đến tuyển dụng chứa sơ yếu lý lịch giả mạo.

Các email độc hại này thường gửi Vidar Infostealer như một payload phụ (tham khảo thêm tại: GBHackers – Vidar Stealer). Điều này cho phép các tác nhân đe dọa thu thập thông tin đăng nhập và thông tin hệ thống trước khi triển khai thành phần ransomware chính.

Lây Lan Mạng Nội Bộ qua SMB

Một khi truy cập ban đầu được thiết lập trong mạng bị xâm phạm, mã độc ransomware sẽ ngay lập tức bắt đầu quét các cổng SMB đang hoạt động trên toàn bộ cơ sở hạ tầng nội bộ.

Hoạt động trinh sát mạnh mẽ này cho phép ransomware xác định các thư mục chia sẻ và tài nguyên mạng có thể bị khai thác để di chuyển ngang. Bằng cách nhắm mục tiêu vào các lỗ hổng và cấu hình sai của giao thức SMB, mã độc ransomware Beast có thể nhanh chóng lan truyền qua các mạng doanh nghiệp. Điều này cho phép nó mã hóa các tệp trên nhiều hệ thống cùng một lúc, tối đa hóa sự gián đoạn hoạt động.

Khả Năng Kỹ Thuật của Mã Độc Ransomware Beast

Khả năng kỹ thuật của Beast mã độc ransomware được thiết kế tinh vi nhằm né tránh phát hiện và ngăn chặn quá trình khôi phục dữ liệu.

Logic Geofencing

Phần mềm độc hại này triển khai logic geofencing để lọc các mục tiêu tiềm năng dựa trên thông tin định vị hệ thống. Nó cố tình loại trừ các quốc gia thành viên Liên Xô cũ và các khu vực Cộng đồng các Quốc gia Độc lập (CIS), bao gồm Armenia, Azerbaijan, Belarus, Georgia, Kazakhstan, Kyrgyzstan, Moldova, Nga, Tajikistan, Turkmenistan, Ukraine và Uzbekistan.

Mô hình loại trừ này cho thấy các tác nhân đe dọa hoạt động từ hoặc duy trì các kết nối với các khu vực địa lý này.

Cơ Chế Mã Hóa

Quá trình mã hóa của mã độc ransomware này sử dụng thuật toán ChaCha20. Ransomware giải mã dữ liệu cấu hình của nó từ phần .data trong quá trình khởi tạo.

Các tệp đã mã hóa nhận được một quy ước đặt tên đặc biệt, bao gồm tên tệp gốc, một định danh 18 byte được tạo thông qua băm SHA-512 và một phần mở rộng tùy chỉnh.

Mã độc chèn 0xA0 byte siêu dữ liệu vào mỗi tệp đã mã hóa, chứa khóa mã hóa và các tham số giải mã mà chỉ các tác nhân đe dọa mới có thể truy cập.

Tệp đã mã hóa có giá trị Magic value 8 byte ở cuối tệp. Giá trị Magic này được sử dụng để xác định xem tệp đã được mã hóa hay chưa bằng cách so sánh nó với dữ liệu cuối tệp khi một tệp được chọn để mã hóa.

Ngăn Chặn Khôi Phục Hệ Thống

Để tối đa hóa tỷ lệ thành công của quá trình mã hóa, Beast mã độc ransomware sẽ chấm dứt các tiến trình và dịch vụ quan trọng liên quan đến cơ sở dữ liệu, giải pháp sao lưu, sản phẩm chống vi-rút và các ứng dụng năng suất.

Phần mềm độc hại này cũng xóa các Shadow Copy của Windows bằng cách sử dụng các truy vấn WMI. Điều này loại bỏ hiệu quả các tùy chọn khôi phục hệ thống gốc, buộc nạn nhân phải xem xét việc thanh toán tiền chuộc hoặc khôi phục từ các bản sao lưu ngoại tuyến.

Các nhà nghiên cứu bảo mật nhấn mạnh rằng việc giải mã mà không có khóa riêng của tác nhân đe dọa là điều gần như bất khả thi do Beast mã độc ransomware có triển khai mã hóa mạnh mẽ.

Giao Diện GUI Ẩn

Beast ransomware có khả năng kích hoạt cửa sổ GUI ở chế độ Debug. Người dùng có thể truy cập cửa sổ này bằng phím tắt [Ctrl+Alt+666]. Tính năng này minh họa sự phát triển tinh vi đằng sau mối đe dọa tấn công mạng này, cho phép các nhà điều hành kiểm soát thủ công các tham số mã hóa và theo dõi tiến trình chiến dịch theo thời gian thực.

Phím tắt kích hoạt GUI Debug:
Ctrl + Alt + 666

Biện Pháp Phòng Ngừa và Giảm Thiểu Rủi Ro cho Mã Độc Ransomware

Các tổ chức phải ưu tiên các biện pháp phòng ngừa, bao gồm đánh giá lỗ hổng toàn diện và chiến lược phân đoạn mạng (network segmentation) để hạn chế cơ hội di chuyển ngang (tham khảo thêm tại: GBHackers – Network Segmentation). Cần tăng cường hệ thống sao lưu với lưu trữ ngoại tuyến, kiểm soát truy cập bên ngoài và giám sát an ninh liên tục.

Khi Beast mã độc ransomware tiếp tục phát triển chiến thuật và mở rộng cơ sở nạn nhân, việc thiết lập khả năng phát hiện sớm và các giao thức phản ứng sự cố nhanh chóng trở nên thiết yếu. Đây là những yếu tố quan trọng để các tổ chức tự bảo vệ mình trước mối đe dọa an ninh mạng dai dẳng này.