Một công ty toàn cầu về lưu trữ và hạ tầng dữ liệu gần đây đã trở thành nạn nhân của một cuộc tấn công **mã độc ransomware** đặc biệt nghiêm trọng. Nhóm tin tặc Howling Scorpius, nổi tiếng với việc phân phối biến thể ransomware Akira, đã thực hiện cuộc tấn công này. Sự cố làm nổi bật tầm quan trọng của việc đánh giá lại các biện pháp an ninh mạng và khả năng phát hiện các mối đe dọa.

Diễn Biến Cuộc Tấn Công Mã Độc Ransomware Akira

Khởi Đầu Bằng Kỹ Thuật Social Engineering “ClickFix”

Cuộc tấn công bắt đầu từ một sự kiện tưởng chừng như vô hại: một kiểm tra bảo mật định kỳ trên một trang web đại lý ô tô đã bị xâm nhập. Một nhân viên của công ty nạn nhân đã nhấp vào một lời nhắc xác minh CAPTCHA giả mạo, tưởng chừng như là một bước để chứng minh mình không phải là robot.

Tương tác đơn lẻ này đã kích hoạt một cuộc xâm nhập kéo dài 42 ngày, phơi bày những lỗ hổng nghiêm trọng trong hạ tầng bảo mật của công ty. Đây là một ví dụ điển hình về cách các kỹ thuật social engineering tiếp tục vượt qua cả những hệ thống phòng thủ cấp doanh nghiệp.

Kẻ tấn công đã sử dụng chiến thuật **ClickFix**, một kỹ thuật social engineering tinh vi. Nó ngụy trang việc phát tán phần mềm độc hại dưới dạng các kiểm tra bảo mật hợp pháp, đánh lừa người dùng tải xuống và thực thi mã độc.

Foothold Ban Đầu Với SectopRAT

Khi nhân viên không nghi ngờ tương tác với CAPTCHA giả mạo, họ đã vô tình tải xuống malware **SectopRAT**. Đây là một loại Trojan truy cập từ xa (RAT) được phát triển dựa trên .NET.

Phần mềm độc hại SectopRAT đã cung cấp cho Howling Scorpius điểm thâm nhập ban đầu vào mạng của tổ chức. Các nhà phân tích bảo mật từ Palo Alto Networks đã xác định rằng SectopRAT hoạt động ở chế độ ẩn.

Điều này cho phép kẻ tấn công điều khiển từ xa các hệ thống bị nhiễm, giám sát hoạt động của người dùng, đánh cắp dữ liệu nhạy cảm và thực thi các lệnh mà không bị phát hiện. Ngay sau khi có quyền truy cập, kẻ tấn công đã thiết lập một backdoor command-and-control trên một máy chủ bị thỏa hiệp.

Thao Tác Bên Trong Mạng và Chiếm Quyền Điều Khiển

Trong suốt 42 ngày tiếp theo, Howling Scorpius đã khai thác và chiếm đoạt nhiều tài khoản đặc quyền, bao gồm cả các tài khoản quản trị viên tên miền. Chúng đã thực hiện các bước di chuyển ngang qua mạng một cách có hệ thống.

Các giao thức được sử dụng để di chuyển ngang bao gồm **Remote Desktop Protocol (RDP)**, **Secure Shell (SSH)** và **Server Message Block (SMB)**. Những giao thức này cho phép kẻ tấn công truy cập và kiểm soát các hệ thống khác trong mạng.

Nhóm này đã truy cập vào các bộ điều khiển tên miền, sau đó tạo các kho lưu trữ dữ liệu lớn bằng cách sử dụng công cụ nén **WinRAR** trên nhiều thư mục chia sẻ. Cuộc **tấn công mạng** này thể hiện sự tinh vi trong việc di chuyển từ một miền đơn vị kinh doanh sang môi trường doanh nghiệp rộng lớn và cuối cùng là các tài nguyên đám mây.

Exfiltration Dữ Liệu và Triển Khai Mã Độc

Trước khi triển khai payload **mã độc ransomware Akira**, kẻ tấn công đã thực hiện các bước để vô hiệu hóa khả năng phục hồi của nạn nhân. Chúng đã xóa các container lưu trữ bản sao lưu của hệ thống, làm giảm đáng kể khả năng khôi phục dữ liệu.

Sau đó, kẻ tấn công đã tiến hành **rò rỉ dữ liệu** quy mô lớn, lấy đi gần một terabyte dữ liệu nhạy cảm bằng cách sử dụng ứng dụng **FileZillaPortable**. Hành động này thường được thực hiện để gia tăng áp lực đòi tiền chuộc và đe dọa công bố dữ liệu nếu yêu cầu không được đáp ứng.

Cuối cùng, **mã độc ransomware Akira** đã được triển khai trên các máy chủ ở ba mạng riêng biệt. Việc này đã khiến các máy ảo ngừng hoạt động hoàn toàn và làm đình trệ toàn bộ hoạt động kinh doanh của công ty, buộc kẻ tấn công phải đòi tiền chuộc.

Phân Tích Hậu Quả và Phản Ứng Bảo Mật

Hạn Chế Của Giải Pháp EDR Trong Phát Hiện Xâm Nhập

Sự cố đã phơi bày một lỗ hổng bảo mật nghiêm trọng trong chiến lược phòng thủ của tổ chức. Mặc dù công ty đã triển khai hai giải pháp **Endpoint Detection and Response (EDR)** cấp doanh nghiệp, nhưng các công cụ này lại tạo ra rất ít cảnh báo đáng kể.

Thực tế là các nhật ký bảo mật chứa đầy đủ các bản ghi về mọi kết nối đáng ngờ và di chuyển ngang của kẻ tấn công. Tuy nhiên, việc thiếu cơ chế cảnh báo phù hợp đã khiến những bằng chứng quan trọng này bị bỏ qua, ẩn ngay trước mắt các nhóm an ninh.

Điều này nhấn mạnh rằng việc triển khai công cụ EDR không đủ. Cần phải có cấu hình chính xác, quy tắc cảnh báo hiệu quả và giám sát liên tục để đảm bảo khả năng **phát hiện xâm nhập** thực sự chống lại các mối đe dọa phức tạp như **mã độc ransomware** Akira.

Phản Ứng Của Palo Alto Networks Unit 42

Palo Alto Networks Unit 42 đã được huy động để ứng phó với sự cố. Họ đã tiến hành một cuộc điều tra pháp y toàn diện, tỉ mỉ tái tạo lại toàn bộ đường dẫn tấn công của Howling Scorpius.

Thông qua nỗ lực của họ, Unit 42 đã thành công trong việc đàm phán giảm yêu cầu tiền chuộc của nhóm **mã độc ransomware** xuống khoảng 68 phần trăm. Để hiểu rõ hơn về các chi tiết kỹ thuật và phân tích chuyên sâu của cuộc tấn công này, độc giả có thể tham khảo báo cáo chính thức của Unit 42: Fake CAPTCHA to Compromise: Unit 42 Identifies New Social Engineering Tactic Leading to Akira Ransomware.

Các Thành Phần Chính Liên Quan Đến Cuộc Tấn Công

• Nhóm Tấn Công: Howling Scorpius
• Mã Độc Ransomware: Akira
• Malware Ban Đầu: SectopRAT (Remote Access Trojan dựa trên .NET)
• Kỹ Thuật Social Engineering: ClickFix (CAPTCHA giả mạo)
• Công Cụ Di Chuyển Ngang: Remote Desktop Protocol (RDP), Secure Shell (SSH), Server Message Block (SMB)
• Công Cụ Lưu Trữ Dữ Liệu: WinRAR
• Công Cụ Exfiltration Dữ Liệu: FileZillaPortable