Các nhà nghiên cứu threat intelligence đã phát hiện một hoạt động Ransomware-as-a-Service (RaaS) mới, được đặt tên là The Gentlemen’s RaaS. Hoạt động mã độc ransomware này đang tích cực tuyển mộ trên các diễn đàn hacker ngầm bởi một kẻ điều hành sử dụng tên gọi zeta88.

Đây là một mối đe dọa mạng đa nền tảng, đại diện cho một bước tiến đáng kể trong khả năng của ransomware. Nó cung cấp cho kẻ tấn công các công cụ mã hóa chuyên biệt cho hệ thống Windows, Linux và ESXi, được viết bằng cả ngôn ngữ lập trình Go và C.

Sự phát triển này nhấn mạnh mức độ tinh vi và thương mại hóa ngày càng tăng của các hoạt động ransomware. Chúng nhắm mục tiêu vào cơ sở hạ tầng doanh nghiệp trên nhiều hệ điều hành khác nhau, gây ra rủi ro nghiêm trọng.

The Gentlemen’s RaaS: Biến thể ransomware đa nền tảng mới

The Gentlemen’s RaaS đã được thiết kế một cách tỉ mỉ cho nhiều nền tảng, phản ánh kỹ thuật chuyên nghiệp.

Phiên bản mã hóa cho Windows và Linux, được phát triển bằng ngôn ngữ Go, nhắm mục tiêu vào một loạt các hệ thống. Bao gồm lưu trữ gắn mạng (NAS) và các hệ thống dựa trên BSD, mở rộng phạm vi tấn công tiềm năng.

Đáng chú ý, phiên bản mã hóa dành cho ESXi, được viết bằng C, duy trì kích thước cực kỳ nhỏ gọn, chỉ khoảng 32 kilobyte. Điều này cho phép triển khai một cách lén lút trên cơ sở hạ tầng ảo, khó bị phát hiện.

Cơ chế mã hóa nâng cao

Cả hai thành phần của mã độc ransomware này đều sử dụng mật mã cấp quân sự. Chúng kết hợp mã hóa XChaCha20 với cơ chế trao đổi khóa Curve25519, một tiêu chuẩn mạnh mẽ trong bảo mật.

Đặc biệt, các khóa tạm thời (ephemeral keys) được tạo ra trên cơ sở từng tệp riêng lẻ. Điều này nhằm ngăn chặn các cuộc tấn công giải mã hàng loạt, tăng cường khả năng phục hồi dữ liệu cho nạn nhân.

Chương trình Affiliate hấp dẫn của The Gentlemen’s RaaS

The Gentlemen’s RaaS đang triển khai một chương trình affiliate cực kỳ hấp dẫn, được thiết kế để thu hút các tác nhân đe dọa có kinh nghiệm và các nhóm tội phạm có tổ chức.

Kẻ điều hành này đề nghị các affiliate nhận tới 90 phần trăm tiền chuộc. Trong khi đó, nhóm chỉ giữ lại 10 phần trăm cho phí vận hành của mình.

Tỷ lệ chia sẻ doanh thu hào phóng này tạo nên sự khác biệt của hoạt động này so với các nền tảng RaaS cạnh tranh khác. Nó cũng gợi ý rằng kẻ điều hành có sự tự tin đáng kể vào cơ sở hạ tầng kỹ thuật và khả năng tìm kiếm nạn nhân của họ.

Điểm mấu chốt là chương trình affiliate này trao quyền kiểm soát hoàn toàn các cuộc đàm phán tiền chuộc cho các đối tác. Điều này cho phép họ quản lý giao tiếp và các chiến thuật tống tiền một cách độc lập.

Trong khi đó, kẻ điều hành chính sẽ xử lý phần backend kỹ thuật và lưu trữ dữ liệu nạn nhân. Điều này tạo ra một mô hình phân công lao động hiệu quả trong hoạt động tội phạm.

Phương thức lây lan và duy trì quyền kiểm soát

Biến thể ransomware này sử dụng nhiều cơ chế lây lan tinh vi để di chuyển ngang qua các mạng đã bị xâm nhập.

Khả năng tự lây lan khai thác các công cụ hệ thống như Windows Management Instrumentation (WMI), WMIC, tác vụ theo lịch (SCHTASKS), bộ điều khiển dịch vụ (SC), và PowerShell remoting. Điều này cho phép mã độc di chuyển giữa các hệ thống mà không yêu cầu tương tác của người dùng.

Để duy trì quyền kiểm soát (persistence), mã độc ransomware thiết lập chức năng chạy khi khởi động thông qua các tác vụ theo lịch và sửa đổi registry. Điều này đảm bảo rằng các hệ thống bị nhiễm vẫn duy trì mã độc sau khi khởi động lại.

Ngoài ra, khả năng trinh sát mạng tự động cho phép khám phá và mã hóa toàn diện các tài nguyên chia sẻ. Hệ thống sẽ tự động xác định và mã hóa các tài nguyên mạng có thể truy cập.

Các biện pháp bảo mật vận hành (OpSec)

The Gentlemen’s RaaS thực hiện một số biện pháp bảo mật vận hành, phản ánh các tiêu chuẩn của một tổ chức tội phạm chuyên nghiệp.

Hoạt động này bao gồm các bản dựng và trình giải mã tùy chỉnh, được bảo vệ bằng mật khẩu. Điều này ngăn chặn việc thực thi và phân tích trái phép, làm cho việc nghiên cứu trở nên khó khăn hơn.

Đặc biệt, kẻ điều hành đã triển khai một trình giải mã phổ quát có khả năng khôi phục các tệp được mã hóa trên tất cả các chế độ hoạt động. Đây là một tính năng kỹ thuật giúp phân biệt nền tảng này với các đối thủ kém tinh vi hơn. Thông tin chi tiết về các đặc điểm kỹ thuật này đã được các nhà nghiên cứu ghi nhận tại KrakenLabs Team.

Các ranh giới địa lý được áp dụng thông qua việc tránh các khu vực của Nga và Cộng đồng các Quốc gia Độc lập (CIS). Đây là một mô hình thường thấy trong các hoạt động tội phạm mạng do các nhóm nói tiếng Nga thực hiện.

Hoạt động cũng duy trì một trang web rò rỉ dữ liệu chuyên dụng để công bố thông tin bị đánh cắp. Điều này tuân theo mô hình tống tiền kép (double-extortion model) đã được thiết lập của các hoạt động mã độc ransomware hiện đại.

Rủi ro và cảnh báo về mối đe dọa mạng này

Sự xuất hiện của nền tảng này cho thấy sự thương mại hóa bền bỉ của việc phát triển mã độc ransomware.

Các tác nhân đe dọa đang đầu tư đáng kể vào khả năng đa nền tảng và cơ sở hạ tầng vận hành để cạnh tranh trong thị trường dịch vụ tội phạm. Đây là một mối đe dọa mạng cần được quan tâm đặc biệt.

Các tổ chức đang vận hành môi trường Windows, Linux và các môi trường ảo hóa đối mặt với rủi ro gia tăng từ các tác nhân đe dọa tinh vi, được trang bị tốt.

Bộ công cụ đa nền tảng này được thiết kế để gây ra tác động tối đa trên các mạng doanh nghiệp. Để hiểu thêm về các biến thể mã độc cho môi trường ESXi, bạn có thể tham khảo thêm tại GBHackers on Security.

Các nhà nghiên cứu bảo mật nhấn mạnh rằng tất cả các tính năng đã được công bố vẫn chưa được xác minh độc lập. Điều này đang chờ đợi việc quan sát các chiến dịch tấn công thực tế, tuy nhiên, tiềm năng của biến thể ransomware này là rất lớn.