Các nhóm vận hành đứng sau biến thể mã độc ransomware Crypto24 đang triển khai các cuộc tấn công đa giai đoạn, được phối hợp chặt chẽ. Chúng kết hợp các công cụ hệ thống hợp pháp với mã độc tùy chỉnh để xâm nhập mạng, duy trì quyền truy cập dai dẳng và né tránh các hệ thống phát hiện và phản hồi điểm cuối (EDR).

Theo phân tích chi tiết từ các nhà nghiên cứu của Trend Micro, những đối tượng này nhắm mục tiêu vào các tổ chức cao cấp trên khắp Châu Á, Châu Âu và Hoa Kỳ. Các lĩnh vực bị ảnh hưởng đặc biệt bao gồm dịch vụ tài chính, sản xuất, giải trí và công nghệ.

Kỹ thuật Tấn công của Crypto24 Ransomware

Các cuộc tấn công thường diễn ra vào những giờ thấp điểm để giảm thiểu khả năng bị phát hiện. Kẻ tấn công khai thác các công cụ hợp pháp và tùy chỉnh để đạt được mục tiêu.

Giai đoạn Trinh sát và Leo thang Đặc quyền

Chuỗi tấn công của Crypto24 ransomware bắt đầu bằng hoạt động trinh sát. Các script ban đầu, như 1.bat, sử dụng lệnh WMIC để liệt kê các phân vùng đĩa, bộ nhớ vật lý, tài khoản người dùng cục bộ và tư cách thành viên nhóm.

Điều này cung cấp cho kẻ tấn công một hồ sơ hệ thống toàn diện để khai thác mục tiêu. Sau đó, kẻ tấn công tiến hành leo thang đặc quyền, sử dụng runas.exe và PSExec để chạy các lệnh nâng cao.

Mục tiêu là thêm người dùng mới được tạo vào nhóm Administrators và Remote Desktop Users. Điều này giúp chúng có quyền kiểm soát cao hơn trên hệ thống.

Né Tránh Phòng Thủ và Di chuyển Ngang

Kỹ thuật né tránh phòng thủ của nhóm mã độc ransomware Crypto24 đạt đến mức độ cao cấp. Chúng sử dụng một biến thể tùy chỉnh của RealBlindingEDR, một công cụ mã nguồn mở được thiết kế để vô hiệu hóa các callback của EDR.

Điều này được thực hiện bằng cách tải các driver dễ bị tấn công như WdFilter.sys hoặc MpKslDrv.sys. Các sản phẩm bảo mật bị nhắm mục tiêu bao gồm của Trend Micro, Kaspersky và Bitdefender.

Công cụ này, thường được phát hiện tại các đường dẫn như %USERPROFILE%AppDataLocalTempLowAVB.exe, lọc các callback dựa trên metadata của công ty. Điều này cho thấy kẻ tấn công có hiểu biết sâu sắc về các lớp bảo mật.

Kẻ tấn công còn tận dụng phương pháp “living off the land” (LotL), tích hợp các hoạt động độc hại một cách liền mạch với các hoạt động IT thường xuyên. Chúng tạo tài khoản đặc quyền, đặt lại mật khẩu và kích hoạt lại hồ sơ quản trị mặc định bằng cách sử dụng các tiện ích Windows gốc như net.exe.

Di chuyển ngang khai thác các dịch vụ từ xa, cho phép RDP thông qua các sửa đổi registry và quy tắc tường lửa. Các công cụ quét IP được sử dụng để xác định các điểm cuối bổ sung trong mạng.

Thu thập Thông tin Đăng nhập và Duy trì Quyền truy cập

Việc duy trì quyền truy cập được đảm bảo hơn nữa thông qua các tác vụ theo lịch trình và các dịch vụ độc hại. Chúng ngụy trang thành các tiến trình hợp pháp như svchost.exe, thực thi các script batch từ các thư mục ẩn như %ProgramData%Update để triển khai payload.

Các payload này bao gồm keylogger và chính mã độc ransomware Crypto24. Truy cập thông tin đăng nhập liên quan đến việc triển khai WinMainSvc.dll dưới dạng một dịch vụ keylogger.

Dịch vụ này ghi lại các thao tác gõ phím, nhật ký phím điều khiển và tải dữ liệu lên Google Drive bằng các lệnh gọi API WinINet sau khi xác minh chức năng bằng các tệp thử nghiệm.

Ở các giai đoạn sau, kẻ tấn công vá tệp termsrv.dll để cho phép nhiều phiên RDPcùng lúc. Sau đó, chúng cài đặt TightVNC để kiểm soát từ xa nâng cao và cố gắng triển khai ransomware thông qua các dịch vụ MSRuntime.dll.

Khi các lần thực thi ban đầu bị chặn bởi các giải pháp bảo mật, kẻ tấn công chuyển sang lạm dụng các trình gỡ cài đặt hợp pháp như XBCUninstaller.exe thông qua gpscript.exe từ các chia sẻ mạng. Điều này nhấn mạnh sự khai thác sau khi xâm nhập thay vì các lỗ hổng cố hữu.

Mã hóa và Tống tiền

Chuỗi tấn công của Crypto24 ransomware đỉnh điểm là quá trình mã hóa dữ liệu và hiển thị ghi chú đòi tiền chuộc. Giai đoạn này thường được thực hiện sau khi dữ liệu nhạy cảm đã bị đánh cắp và các hoạt động giám sát đã được hoàn tất.

Chỉ số Thỏa hiệp (Indicators of Compromise – IOCs)

Để hỗ trợ việc phát hiện và ứng phó với Crypto24 ransomware, dưới đây là các chỉ số thỏa hiệp chính được xác định:

• Thư mục Payload/Persistence:
  • %ProgramData%Update
• Công cụ Né tránh EDR:
  • %USERPROFILE%AppDataLocalTempLowAVB.exe (biến thể tùy chỉnh của RealBlindingEDR)
• Keylogger Service:
  • WinMainSvc.dll
• Dịch vụ Triển khai Ransomware:
  • MSRuntime.dll
• Công cụ Lạm dụng gỡ cài đặt:
  • XBCUninstaller.exe
• Công cụ Di chuyển Ngang/Truy cập Từ xa:
  • PSExec
  • AnyDesk
  • TightVNC
• Tiện ích Windows bị lạm dụng (LOLBins):
  • net.exe
  • runas.exe
  • WMIC
  • sc.exe
  • reg.exe
  • gpscript.exe
• Exfiltration:
  • Google Drive (sử dụng WinINet API)

Để biết thêm chi tiết về các kỹ thuật tấn công và IOC của Crypto24 ransomware, bạn có thể tham khảo báo cáo từ Trend Micro: Crypto24 Ransomware: Stealthy Attacks Leverage Legitimate Tools and Modified EDR Evasion Tactics.

Biện pháp Phòng ngừa và Ứng phó

Để chống lại các mối đe dọa thích ứng như mã độc ransomware Crypto24, các tổ chức phải ưu tiên các cấu hình bảo mật mạnh mẽ. Việc này bao gồm cả việc bật các tính năng tự bảo vệ agent để ngăn chặn việc giả mạo các agent EDR.

Củng cố Cấu hình Bảo mật

Áp dụng nguyên tắc đặc quyền tối thiểu là điều cần thiết. Triển khai khuôn khổ Zero Trust, với việc xác minh liên tục quyền truy cập, cùng với kiểm tra định kỳ các tài khoản đặc quyền, các tác vụ theo lịch trình và việc tạo dịch vụ, có thể làm gián đoạn các cơ chế duy trì quyền truy cập.

Hạn chế việc sử dụng RDP và các công cụ từ xa. Thực thi xác thực đa yếu tố (MFA) là biện pháp bảo mật quan trọng, đặc biệt cho các tài khoản đặc quyền. Giám sát việc sử dụng bất thường các LOLBins như sc.exe hoặc reg.exe cũng rất quan trọng.

Giữ các bản sao lưu ngoại tuyến, đảm bảo các giải pháp bảo mật được cập nhật và đào tạo người dùng về các rủi ro lừa đảo (phishing) sẽ củng cố thêm khả năng phòng thủ. Đây là những biện pháp thiết yếu để giảm thiểu rủi ro bảo mật từ các cuộc tấn công tinh vi.

Phát hiện và Phản ứng Nhanh

Phản ứng sự cố nhanh chóng, bao gồm việc chủ động săn lùng các IOC như lưu lượng truy cập đi bất thường đến các dịch vụ đám mây, vẫn là yếu tố cực kỳ quan trọng.

Điều này giúp giảm thiểu thời gian cư trú kéo dài cho phép trinh sát và đánh cắp dữ liệu rộng lớn trong các hoạt động của Crypto24 ransomware. Khi các nhóm ransomware phát triển để nghiên cứu và vượt qua các biện pháp phòng thủ, việc thích ứng nhanh chóng các tư thế an ninh mạng là điều bắt buộc đối với khả năng phục hồi của doanh nghiệp.