Sau một thời gian tạm lắng vào năm 2025, nhóm hacktivist CyberVolk đã tái xuất với một nền tảng mã độc ransomware mới mang tên VolkLocker. Nhóm này lần đầu tiên được ghi nhận vào cuối năm 2024 với các cuộc tấn công phù hợp với một số lợi ích nhất định, sau đó tạm ngừng hoạt động do các biện pháp thực thi của Telegram.

Tuy nhiên, vào tháng 8, CyberVolk đã trở lại với một dịch vụ Ransomware-as-a-Service (RaaS) tinh vi, kết hợp các tính năng mã hóa nguy hiểm với công cụ tự động hóa dựa trên Telegram. Nền tảng VolkLocker đánh dấu sự phát triển trong khả năng tấn công của nhóm, giới thiệu cả tự động hóa tiên tiến và những điểm yếu đáng lo ngại.

Sự Tái Xuất Của CyberVolk và Nền Tảng VolkLocker

VolkLocker là một biến thể ransomware được thiết kế để nhắm mục tiêu vào nhiều hệ điều hành khác nhau. Các phiên bản của nó được viết bằng Golang, hỗ trợ cả môi trường Linux và Windows. Cách tiếp cận đa nền tảng này mở rộng đáng kể bề mặt tấn công của nhóm, cho phép chúng xâm phạm nhiều cơ sở hạ tầng tổ chức đa dạng.

Các phiên bản cơ sở của mã độc được phân phối mà không có bất kỳ kỹ thuật che giấu nào. Các nhà điều hành được khuyến khích sử dụng công cụ đóng gói UPX để tăng cường bảo vệ, thay vì dựa vào các tính năng mã hóa tự nhiên thường thấy trong các dịch vụ RaaS cạnh tranh.

Theo phân tích của các nhà nghiên cứu bảo mật tại SentinelOne, các payload của VolkLocker cho thấy sự mở rộng nhanh chóng của nhóm, đồng thời bộc lộ những điểm chưa trưởng thành trong vận hành. Những điểm yếu này có thể tạo cơ hội phục hồi tiềm năng cho các nạn nhân. Xem thêm chi tiết tại blog của SentinelOne: CyberVolk Returns: Flawed VolkLocker Brings New Features With Growing Pains.

Đặc Điểm Kỹ Thuật Nổi Bật Của VolkLocker

Kiến Trúc Đa Nền Tảng và Phương Pháp Đóng Gói

Việc sử dụng Golang cho phép VolkLocker hoạt động hiệu quả trên cả hai hệ điều hành phổ biến nhất: Windows và Linux. Điều này mang lại sự linh hoạt đáng kể cho kẻ tấn công, cho phép chúng điều chỉnh các cuộc tấn công để phù hợp với môi trường mục tiêu, từ máy chủ đến máy trạm.

Điểm đáng chú ý là các bản dựng gốc của VolkLocker không được làm rối mã (obfuscation). Thay vào đó, nhóm khuyến khích các đối tác RaaS của mình sử dụng các công cụ đóng gói bên ngoài như UPX. Điều này cho thấy một quy trình phát triển chưa hoàn thiện, nhưng cũng cung cấp một lớp bảo vệ cơ bản chống lại việc phân tích mã đơn giản.

Những Điểm Yếu Trong Quá Trình Phát Triển

Phân tích mã độc VolkLocker đã phát hiện các tạo tác thử nghiệm quan trọng (critical test artifacts) được nhúng bên trong mã. Điều này cho thấy quá trình phát triển vội vàng và các giao thức bảo mật không đầy đủ trong quá trình tạo ra mã độc ransomware này. Sự hiện diện của các tạo tác này có thể cung cấp manh mối cho các nhà phân tích trong việc phát hiện và gỡ lỗi.

Các điểm yếu trong mã có thể bao gồm các khóa giải mã cứng (hardcoded decryption keys) hoặc các lỗ hổng logic có thể bị khai thác để phục hồi dữ liệu trong một số trường hợp nhất định. Điều này đối lập với các biến thể ransomware trưởng thành hơn, thường được thiết kế để không để lại bất kỳ dấu vết nào có thể hỗ trợ việc phục hồi.

Kỹ Thuật Chiếm Quyền Đặc Quyền (Privilege Escalation)

Khi được thực thi, VolkLocker ngay lập tức triển khai các chiến thuật chiếm quyền đặc quyền tinh vi. Mã độc kiểm tra môi trường thực thi và cố gắng đạt được quyền quản trị (administrative access) khi cần thiết. Kỹ thuật chiếm quyền chính được sử dụng là bỏ qua User Account Control (UAC) thông qua “ms-settings”.

Kỹ thuật này thao túng khóa đăng ký HKCUSoftwareClassesms-settingsshellopencommand để thực thi với các quyền nâng cao. Cụ thể, quy trình chiếm quyền bắt đầu bằng cách mở khóa đăng ký mục tiêu với các quyền phù hợp. Sau đó, mã độc đặt các giá trị chuỗi để chuyển hướng tệp thực thi ms-settings hợp pháp chạy payload ransomware với quyền quản trị viên.

Phương pháp này tấn công vào chức năng cài đặt Windows hợp pháp để vượt qua các kiểm soát bảo mật mà không kích hoạt cảnh báo người dùng. Một khi quyền đặc quyền được thiết lập, mã độc có thể truy cập các tệp được bảo vệ và thư mục hệ thống trên toàn mạng, cho phép mã hóa rộng hơn và gây ra thiệt hại lớn hơn. Tìm hiểu thêm về lỗ hổng privilege escalation tại CISA: CISA Windows Privilege Escalation Vulnerability.

REM Ví dụ về lệnh CLI mô phỏng thao tác registry (không phải lệnh thực tế của mã độc)

REG ADD "HKCUSoftwareClassesms-settingsshellopencommand" /ve /d "C:pathtovolklocker.exe" /f
REG ADD "HKCUSoftwareClassesms-settingsshellopencommand" /v "DelegateExecute" /d "" /f

Phát Hiện Môi Trường và Né Tránh Phân Tích

VolkLocker thực hiện khám phá môi trường toàn diện, bao gồm liệt kê các tiến trình để phát hiện các máy ảo. Mã độc xác định các công cụ ảo hóa phổ biến như VirtualBox, VMware và các tác nhân QEMU. Ngoài ra, nó đối chiếu các tiến trình đang chạy với các tên dịch vụ môi trường ảo đã biết và kiểm tra địa chỉ MAC so với các tiền tố của nhà cung cấp.

Chiến lược né tránh phát hiện này cho phép mã độc nhắm mục tiêu vào các hệ thống sản xuất thực tế, đồng thời tránh bị các nhà nghiên cứu bảo mật phân tích trong môi trường phòng thí nghiệm bị cô lập. Điều này làm phức tạp quá trình nghiên cứu và phát triển các biện pháp đối phó.

Chỉ Số Thỏa Hiệp (IOCs)

Dựa trên nội dung được cung cấp, không có chỉ số thỏa hiệp (Indicators of Compromise – IOCs) cụ thể như băm (hashes) của tệp, địa chỉ IP, tên miền hoặc các quy tắc YARA được công bố rõ ràng liên quan trực tiếp đến các biến thể VolkLocker. Các nhà phân tích cần dựa vào các đặc điểm hành vi và kỹ thuật được mô tả để phát triển các quy tắc phát hiện nội bộ.

Biện Pháp Phòng Ngừa và Phát Hiện

Để bảo vệ hệ thống khỏi các cuộc tấn công ransomware như VolkLocker, các tổ chức cần triển khai một loạt các biện pháp bảo mật mạnh mẽ và đa lớp:

• Cơ chế Phát hiện Mạnh mẽ: Triển khai các giải pháp EDR (Endpoint Detection and Response) và XDR (Extended Detection and Response) để giám sát hoạt động hệ thống và phát hiện các hành vi đáng ngờ liên quan đến mã độc.
• Giám sát Chiếm quyền Đặc quyền: Theo dõi chặt chẽ các hành vi chiếm quyền đặc quyền, đặc biệt là các nỗ lực thay đổi khóa đăng ký hoặc sử dụng các kỹ thuật bỏ qua UAC. Thiết lập cảnh báo cho các hoạt động bất thường liên quan đến HKCUSoftwareClassesms-settingsshellopencommand.
• Kiểm soát Truy cập Đăng ký: Hạn chế quyền truy cập và sửa đổi các khóa đăng ký quan trọng. Triển khai chính sách kiểm soát ứng dụng để chỉ cho phép các chương trình đã được phê duyệt thực thi.
• Quản lý Bản vá: Đảm bảo tất cả hệ điều hành và phần mềm đều được cập nhật các bản vá bảo mật mới nhất để khắc phục các lỗ hổng tiềm ẩn mà mã độc có thể khai thác.
• Sao lưu Dữ liệu Định kỳ: Thực hiện sao lưu dữ liệu quan trọng một cách định kỳ và đảm bảo các bản sao lưu được lưu trữ ngoại tuyến hoặc trên các hệ thống cách ly để ngăn chặn việc bị mã hóa trong một cuộc tấn công.
• Đào tạo Nhận thức Bảo mật: Nâng cao nhận thức cho người dùng về các mối đe dọa lừa đảo (phishing) và kỹ thuật xã hội (social engineering), vốn là những phương tiện phổ biến để phân phối ransomware.

Việc kết hợp các biện pháp phòng ngừa và phát hiện này sẽ giúp các tổ chức giảm thiểu rủi ro từ VolkLocker và các biến thể mã độc ransomware tương tự.