Đơn vị Nghiên cứu Mối đe dọa (TRU) của Acronis đã tiến hành phân tích sâu các mẫu mã độc ransomware gần đây thuộc họ Akira và Lynx. Kết quả phân tích chỉ ra những cải tiến gia tăng trong mô hình Ransomware-as-a-Service (RaaS) và chiến lược tống tiền kép của cả hai nhóm. Các nhóm này chủ yếu nhắm mục tiêu vào các doanh nghiệp vừa và nhỏ (SMBs) bằng các kỹ thuật tinh vi nhưng được tái sử dụng.

Phân Tích Mã Độc Ransomware Akira và Lynx

Cả Akira và Lynx đều khai thác thông tin đăng nhập bị đánh cắp, các lỗ hổng CVE VPN, trinh sát, leo thang đặc quyền, né tránh phòng thủ và đánh cắp dữ liệu để xâm nhập hệ thống. Mối đe dọa chính là khả năng liên tục phát triển và thích ứng, thể hiện qua các phương thức lây nhiễm và kỹ thuật mã hóa ngày càng phức tạp.

Kỹ Thuật Xâm Nhập Chung

• Đánh cắp thông tin đăng nhập: Sử dụng thông tin đăng nhập hợp lệ bị đánh cắp hoặc mua được để truy cập ban đầu.
• Khai thác lỗ hổng VPN: Lợi dụng các lỗ hổng đã biết trong hệ thống VPN để vượt qua tường lửa và truy cập mạng nội bộ.
• Trinh sát và Leo thang đặc quyền: Thu thập thông tin về mạng và hệ thống, sau đó tìm cách nâng cao quyền truy cập.
• Né tránh phòng thủ: Vô hiệu hóa phần mềm bảo mật, xóa bản sao lưu Shadow Copy và nhật ký sự kiện để tránh bị phát hiện.
• Đánh cắp dữ liệu: Trích xuất dữ liệu nhạy cảm trước khi mã hóa như một phần của chiến lược tống tiền kép.

Diễn Biến và Đặc Điểm Kỹ Thuật của Akira Ransomware

Akira là một biến thể mã độc ransomware xuất hiện vào năm 2022. Nó nhanh chóng lọt vào top 10 nhà điều hành ransomware hàng đầu vào năm 2023 với 174 cuộc tấn công được ghi nhận. Năm 2024, Akira tiếp tục duy trì đà phát triển với 315 nạn nhân, và hoạt động của nó vẫn tiếp diễn sang năm 2025.

Nguồn Gốc và Sự Phát Triển

Mã nguồn của Akira có những điểm tương đồng nổi bật với mã nguồn Conti bị rò rỉ. Điều này có thể cho thấy đây là một vụ đổi thương hiệu hoặc chuyển thể bởi các cộng tác viên cũ của nhóm Wizard Spider.

Phương Pháp Lây Nhiễm và Khai Thác

Các phương thức lây nhiễm của Akira đã thay đổi đáng kể qua thời gian. Ban đầu, nhóm này chủ yếu dựa vào các cuộc tấn công lừa đảo (phishing) và khai thác các lỗ hổng CVE như Cisco CVE-2023-20269.

Đến năm 2024, chúng chuyển hướng sang nhắm mục tiêu vào các VPN thông qua các lỗ hổng như SonicWall Firewall CVE-2024-40766, cho phép bỏ qua tường lửa.

Vào năm 2025, các nhà điều hành Akira ưu tiên sử dụng thông tin đăng nhập quản trị bị đánh cắp hoặc mua được để truy cập ban đầu. Sau đó, chúng vô hiệu hóa các biện pháp phòng thủ và sử dụng các công cụ nằm trong danh sách trắng (whitelisted tools) để trích xuất và mã hóa dữ liệu từ xa.

Phân Tích File Thực Thi (PE File) của Akira

Mẫu file thực thi 64-bit PE của Akira, được biên dịch bằng C/C++ với các công cụ Visual Studio và lần đầu được phát hiện vào cuối năm 2024, khởi tạo từ hàm WinMain. Mã độc này ghi lại dấu thời gian và xử lý các đối số dòng lệnh để tùy chỉnh cuộc tấn công, bao gồm:

• --encryption-path
• --share-file
• --encryption-percent

Akira liệt kê các tiến trình cục bộ thông qua WTSEnumerateProcesses. Nó giải mã các script PowerShell để xóa bản sao lưu Shadow Copy bằng cách sử dụng CoSetProxyBlanket cho xác thực. Mã độc cũng sử dụng giao diện COM/WMI từ fastprox.dll và wbemprox.dll để kiểm soát đặc quyền.

Các luồng mã hóa được mở rộng theo số lượng lõi CPU. Mã độc sẽ bỏ qua các ổ đĩa mạng nếu tham số -localonly được thiết lập và loại trừ các thư mục như $Recycle.Bin hoặc các phần mở rộng như .dll và .exe.

Các tệp được mã hóa bằng thuật toán ChaCha20, có thể mã hóa một phần nếu được chỉ định, và nối thêm khóa được mã hóa RSA. Các tệp bị chặn kích hoạt Restart Manager để chấm dứt các tiến trình gây cản trở, trừ PID của chính mã độc ransomware.

Mã Độc Ransomware Lynx: Chiến Lược và Kỹ Thuật Tấn Công

Lynx xuất hiện vào giữa năm 2024 và đã ảnh hưởng đến khoảng 145 nạn nhân. Mã nguồn của Lynx phản ánh các yếu tố từ mã độc ransomware INC được Acronis TRU phân tích vào năm 2023 và kết hợp các ảnh hưởng từ mã nguồn LockBit bị nghi ngờ. Điều này cho thấy nguồn gốc chung thông qua việc mua lại trên các diễn đàn ngầm.

Mô Hình RaaS và Tuyển Dụng Cộng Tác Viên

Lynx hoạt động theo mô hình RaaS, áp dụng chiến lược tấn công số lượng lớn tập trung vào các doanh nghiệp tư nhân. Nhóm này tuyển dụng cộng tác viên thông qua các diễn đàn Nga, hứa hẹn cung cấp công cụ tạo mã độc cho Windows/Linux, lưu trữ dữ liệu và quyền truy cập vào trang rò rỉ.

Chuỗi Tấn Công và Khai Thác

Việc lây nhiễm thường bắt đầu bằng các cuộc tấn công lừa đảo, sau đó leo thang thành đánh cắp thông tin đăng nhập, di chuyển ngang (lateral movement) và khai thác lỗ hổng. Vào năm 2025, Lynx gỡ cài đặt phần mềm bảo mật bị phát hiện trước khi trích xuất dữ liệu và triển khai công cụ mã hóa.

Phân Tích File Thực Thi (PE File) của Lynx

Mẫu file thực thi 32-bit PE của Lynx hỗ trợ các đối số như --dir, --kill, và --verbose cho đầu ra chi tiết. Mã độc này có khả năng gắn các ổ đĩa ẩn bằng SetVolumeMountPointW và chấm dứt các tiến trình/dịch vụ (ví dụ: sql, veeam) thông qua snapshot hoặc Restart Manager.

Lynx thay đổi kích thước Shadow Copy để buộc xóa bằng cách sử dụng DeviceIoControl với IOCTL_VOLSNAP_SET_MAX_DIFF_AREA_SIZE. Sau đó, nó tạo các luồng (gấp bốn lần số lượng CPU) để duyệt tệp, bỏ qua các tệp có kích thước bằng không hoặc các tên/phần mở rộng bị loại trừ.

Mã hóa sử dụng AES-CTR-128 với Curve25519-Donna để tạo khóa, băm bằng SHA512 và các luồng dựa trên XOR. Mã độc này nối thêm phần mở rộng .LYNX, ghi các ghi chú tống tiền được giải mã Base64 với ID nạn nhân được mã hóa cứng, và thậm chí gửi chúng đến máy in qua Winspool APIs trong khi đặt hình nền máy tính để bàn.

Tác Động và Biện Pháp Đối Phó Mã Độc Ransomware

Cả hai họ mã độc ransomware Akira và Lynx đều nhấn mạnh các nhà cung cấp dịch vụ quản lý (MSPs) là mục tiêu béo bở. Điều này được minh chứng bằng các cuộc tấn công mạng của Akira vào Hitachi Vantara và Toppan Next Tech, do các MSPs có quyền truy cập vào mạng lưới khách hàng, làm khuếch đại tiềm năng tống tiền.

Chiến Thuật Tống Tiền và Thời Hạn

Thời hạn đòi tiền chuộc của Akira khác nhau, với các vụ rò rỉ dữ liệu thường được quan sát trong vòng năm ngày. Trong khi đó, Lynx nhấn mạnh việc không tiết lộ thông tin (nondisclosure) bên cạnh việc giải mã dữ liệu.

Khuyến Nghị Bảo Mật

Việc các biến thể mã độc ransomware này liên tục xuất hiện và phát triển, được phát hiện bởi các giải pháp bảo mật tiên tiến như Acronis, cho thấy sự cần thiết của các biện pháp phòng ngừa mạnh mẽ. Để đối phó hiệu quả, các tổ chức cần tập trung vào việc quản lý thông tin đăng nhập mạnh mẽ và thực hiện vá lỗi lỗ hổng kịp thời. Tham khảo thêm chi tiết về mục tiêu của các nhóm ransomware này tại báo cáo từ Acronis Threat Research Unit: MSPs: A Top Target for Akira and Lynx Ransomware.