Một cuộc tấn công bằng mã độc ransomware tinh vi, được thực hiện bởi một nhóm tội phạm mạng chưa từng được biết đến có tên “DarkBit”, đã nhắm mục tiêu vào cơ sở hạ tầng VMware ESXi của một tổ chức lớn. Sự cố này đã mã hóa các tệp máy ảo quan trọng, đồng thời làm dấy lên lo ngại về khả năng liên quan đến chiến tranh mạng do nhà nước bảo trợ.

Vụ việc xảy ra sau những căng thẳng địa chính trị vào cuối tháng 1 năm 2023. Nó minh họa xu hướng các nhóm ransomware ngày càng nhắm mục tiêu vào các nền tảng ảo hóa cấp doanh nghiệp để tối đa hóa thiệt hại và tận dụng hiệu quả.

Diễn Biến Cuộc Tấn Công Mã độc DarkBit

Cuộc tấn công của DarkBit diễn ra ngay sau ngày 28 tháng 1 năm 2023. Thời điểm này trùng khớp với việc nhiều cơ sở của Iran, bao gồm một nhà máy đạn dược ở Isfahan và một nhà máy lọc dầu ở Tabriz, bị tấn công bằng máy bay không người lái.

Thời điểm của cuộc tấn công mạng này, kết hợp với các mô hình hành vi của kẻ tấn công, đã khiến các nhà điều tra nghi ngờ có sự tham gia tiềm tàng của một quốc gia. Điều này khác biệt so với các động cơ tài chính thông thường trong tội phạm mạng.

Tổ chức bị nhắm mục tiêu vận hành hơn 30 bộ phận khác nhau với mức độ kiểm soát tập trung tối thiểu. Cả các máy trạm (endpoint) và nhiều máy chủ ESXi đều bị mã hóa, kèm theo ghi chú đòi tiền chuộc từ nhóm DarkBit chưa từng được biết đến.

Kẻ tấn công đã thể hiện sự nhắm mục tiêu tinh vi bằng cách tập trung đặc biệt vào cơ sở hạ tầng VMware ESXi. Điều này cho thấy nhận thức rõ ràng rằng các máy chủ ảo hóa thường chứa dữ liệu và ứng dụng kinh doanh quan trọng nhất.

Phân tích Kỹ thuật Mã độc DarkBit

Mã độc “esxi.darkbit” và Công cụ Khai thác

Các nhà nghiên cứu bảo mật đã xác định công cụ tấn công chính là “esxi.darkbit”. Đây là một tệp thực thi C++ có kích thước 1.5MB, được thiết kế đặc biệt để nhắm mục tiêu vào các máy chủ VMware ESXi.

Cơ chế Mã hóa và Thư viện Cryptography

Mã độc này sử dụng thư viện mã hóa Crypto++. Nó triển khai mã hóa AES-128-CBC với RSA-2048 để bảo vệ khóa. Điều này cho thấy một phương pháp triển khai kỹ thuật mạnh mẽ, nhưng cuối cùng lại có sai sót nghiêm trọng.

Quy trình Hoạt động của Mã độc trên ESXi

Mã độc ransomware hoạt động bằng cách đầu tiên dừng tất cả các máy ảo. Nó sử dụng các công cụ dòng lệnh của ESXi để thực hiện việc này.

Sau đó, nó phân nhánh nhiều quy trình để mã hóa các tệp đồng thời. Mã độc đặc biệt nhắm mục tiêu vào các tệp đĩa máy ảo (VMDK) và các định dạng tệp VMware quan trọng khác.

Mã độc này sẽ thêm phần mở rộng “.DARKBIT” vào các tệp đã mã hóa. Thay vì mã hóa toàn bộ tệp, phần mềm độc hại sử dụng phương pháp dựa trên phân đoạn (chunk-based). Phương pháp này giúp làm cho các tệp không thể sử dụng được trong khi giảm thời gian xử lý.

Động cơ và Hành vi Bất thường của DarkBit

Không giống như các hoạt động mã độc ransomware thông thường tập trung vào lợi ích tài chính, các nhà điều hành DarkBit đã phát động một chiến dịch ảnh hưởng rộng khắp trên nhiều nền tảng.

Đồng thời, chúng hoàn toàn phớt lờ mọi nỗ lực liên lạc từ các nạn nhân và các nhà nghiên cứu bảo mật. Mô hình hành vi này gợi ý mạnh mẽ các động cơ vượt ra ngoài việc tống tiền tài chính, có khả năng chỉ ra mục tiêu gián điệp hoặc phá hoại.

Điểm yếu Nghiêm trọng trong Thuật toán Mã hóa của DarkBit

Trong quá trình điều tra, các chuyên gia phản ứng sự cố đã phát hiện ra những lỗ hổng triển khai đáng kể trong quy trình tạo số ngẫu nhiên của ransomware.

Việc tạo hạt giống của phần mềm độc hại dựa vào các giá trị có thể dự đoán được. Các giá trị này bao gồm ID tiến trình (PIDs), dấu thời gian (timestamps) và địa chỉ ngăn xếp (stack addresses).

Điều này đã tạo ra một không gian khóa hữu hạn, ước tính khoảng 2^39 giá trị có thể có. Việc khám phá này mở ra khả năng tấn công giải mã bằng phương pháp vét cạn (brute-force decryption attacks).

Đặc biệt, nhiều hệ thống bị ảnh hưởng đã bật tính năng Phân ngẫu nhiên Bố cục Không gian Địa chỉ (ASLR). Mặc dù vậy, chúng vẫn sử dụng các thành phần có thể dự đoán được trong việc tạo khóa.

Phát hiện này đại diện cho một cơ hội hiếm hoi, nơi mã hóa của một mã độc ransomware tinh vi có thể bị đánh bại thông qua phân tích mật mã học. Điều này thay vì phải trả tiền chuộc, mang lại hy vọng lớn cho các nạn nhân.

Tham khảo thêm về phân tích kỹ thuật của DarkBit ransomware tại: Profero Security Blog.

Tác động và Hàm ý về An ninh Mạng

Sự cố DarkBit làm nổi bật mối đe dọa ngày càng tăng đối với cơ sở hạ tầng ảo hóa doanh nghiệp. Nó cũng minh họa cách các căng thẳng địa chính trị ngày càng lan rộng vào không gian mạng.

Trong đó, cơ sở hạ tầng kinh doanh quan trọng bị cuốn vào cuộc xung đột. Việc các tấn công mạng phức tạp như DarkBit nhắm vào các nền tảng cốt lõi yêu cầu các tổ chức phải tăng cường các biện pháp phòng thủ và phản ứng.

Các chuyên gia an ninh mạng cần liên tục cập nhật thông tin về các biến thể mã độc mới. Đồng thời, việc thực hiện các bản vá bảo mật kịp thời và triển khai các giải pháp phát hiện sớm là rất cần thiết.

Các Chỉ số Thỏa hiệp (IOCs)

• Tên mã độc: esxi.darkbit