Đội Ứng phó Khẩn cấp Mạng Quốc gia Pakistan (NCERT) đã ban hành cảnh báo cấp cao tới 39 bộ và tổ chức chủ chốt, cảnh báo về rủi ro nghiêm trọng từ mã độc ransomware “Blue Locker”. Mã độc này đã xâm phạm hạ tầng quan trọng, bao gồm Pakistan Petroleum Limited (PPL) thuộc lĩnh vực dầu khí.

Các cuộc tấn công này diễn ra trùng với Ngày Độc lập Pakistan vào ngày 14 tháng 8 năm 2025. Chúng đã gây gián đoạn hoạt động, với PPL xác nhận một sự cố vào ngày 6 tháng 8. Sự cố này dẫn đến việc mã hóa hệ thống và xóa các bản sao lưu dữ liệu quan trọng.

Phát ngôn viên của NCERT, ông Imran Haider, báo cáo rằng dù một số tổ chức đã bị ảnh hưởng, các hệ thống phòng thủ được triển khai đã chủ động phát hiện và ngăn chặn mã độc ransomware này. Điều này cho thấy hiệu quả của các biện pháp bảo mật hiện có trong việc đối phó với mối đe dọa.

Phân tích Kỹ thuật Mã độc Ransomware Blue Locker

Đặc điểm và Nguồn gốc

Mã độc ransomware này được liên kết với các biến thể thuộc họ Proton, nổi bật là Shinra, lần đầu tiên xuất hiện vào tháng 4 năm 2024. Blue Locker sử dụng các chiến thuật tiên tiến như mã hóa AES-RSA để bảo vệ dữ liệu nạn nhân và đòi tiền chuộc.

Phân tích của Resecurity chỉ ra mối liên hệ của Blue Locker với dòng mã độc ransomware Proton, bao gồm Shinra. Mặc dù có các yếu tố giả mạo như chuỗi tiếng Trung (“ZhuDongFangYu”), nguồn gốc của nó có thể bắt nguồn từ các tác nhân Iran hoặc được bán dưới dạng mã nguồn trên Dark Web.

Điều này cho thấy sự phát triển của mô hình Ransomware-as-a-Service (RaaS), với những điểm tương đồng với Conti và Black Basta. Các chiến thuật tống tiền kép được sử dụng bao gồm mã hóa dữ liệu và đe dọa rò rỉ thông tin nhạy cảm như hồ sơ nhân viên và hợp đồng.

Kỹ thuật Lây nhiễm và Tấn công

Blue Locker được phân phối chủ yếu qua email lừa đảo (phishing), tệp đính kèm độc hại, và các kênh truy cập từ xa không an toàn. Khi lây nhiễm thành công, nó sẽ thêm phần mở rộng “.Blue” vào các tệp đã mã hóa. Mã độc này bỏ qua các thư mục hệ thống quan trọng để duy trì khả năng hoạt động của hệ thống.

Các ghi chú đòi tiền chuộc, thường là tệp “restore_file.txt”, sẽ được thả vào hệ thống. Kẻ tấn công yêu cầu thanh toán qua các kênh ẩn danh như Protonmail và TOX IM để tránh bị truy vết.

Chiến thuật, Kỹ thuật và Quy trình (TTPs)

Phân tích đảo ngược (reverse engineering) tiết lộ Blue Locker chấm dứt các tiến trình như Chrome.exe bằng cách sử dụng các chuỗi được mã hóa XOR. Hành động này nhằm mục đích truy cập và mã hóa các cơ sở dữ liệu mật khẩu.

Để ngăn chặn khả năng phục hồi dữ liệu, Blue Locker xóa các bản sao bóng (shadow copies) bằng lệnh WMIC. Kỹ thuật này thuộc nhóm T1490 trong MITRE ATT&CK, chuyên về xóa bản sao lưu hệ thống.

wmic shadowcopy delete /nointeractive

Tải trọng của Blue Locker thường được phân phối thông qua các PowerShell loader. Khi thực thi, nó vô hiệu hóa các biện pháp phòng thủ an ninh và leo thang đặc quyền (MITRE ATT&CK T1548.002). Điều này cho phép mã độc truy cập vào các phần quan trọng của hệ thống.

Để đảm bảo duy trì dai dẳng trên hệ thống, Blue Locker tiêm mã độc vào khóa registry HKLMSOFTWAREMicrosoftWindows NTCurrentVersionRun. Điều này giúp mã độc tự khởi chạy mỗi khi hệ thống khởi động lại.

Mã độc này thực hiện liệt kê tiến trình (MITRE ATT&CK T1057) và khám phá cấu trúc tệp (MITRE ATT&CK T1083). Nó cũng bỏ qua UAC (User Account Control – MITRE ATT&CK T1562.001) để thực hiện các hành vi độc hại.

Blue Locker mã hóa các loại tệp mục tiêu cụ thể trong khi loại trừ các tệp thực thi như .bat và .cmd. Mục đích của việc loại trừ này là để duy trì sự ổn định của hệ thống, giúp mã độc có thể tồn tại và né tránh lâu hơn.

Các Chỉ số Thỏa hiệp (IOCs) của Blue Locker

Các chỉ số thỏa hiệp liên quan đến **mã độc ransomware** Blue Locker bao gồm:

• SHA-256 Hashes:
  • d3cc6cc4538d57f2d1f8a9d46a3e8be73ed849f7fe37d1d969c0377cf1d0fadc
• Network Domains: Các miền mạng cụ thể đã được NCERT chặn để ngăn chặn liên lạc với máy chủ điều khiển (C2).

Khuyến nghị và Chiến lược Ứng phó An ninh mạng

Biện pháp Phòng ngừa và Ứng phó với Mã độc Ransomware

Để đối phó với các cuộc tấn công **mã độc ransomware** như Blue Locker, NCERT khuyến nghị áp dụng các biện pháp bảo mật mạnh mẽ. Các biện pháp này nhằm giảm thiểu rủi ro và tăng cường khả năng phục hồi của hệ thống. Thông tin chi tiết có thể được tham khảo từ phân tích của Resecurity tại Resecurity: Blue Locker Analysis.

• Xác thực Đa yếu tố (MFA): Triển khai MFA cho tất cả các tài khoản, đặc biệt là tài khoản có đặc quyền cao, để ngăn chặn truy cập trái phép.
• Phân đoạn Mạng: Chia nhỏ mạng thành các phân đoạn nhỏ hơn để giới hạn sự lây lan của mã độc nếu một phần mạng bị xâm nhập.
• Quản lý Bản vá Định kỳ: Thường xuyên cập nhật và vá lỗi các hệ thống, phần mềm để khắc phục các lỗ hổng bảo mật đã biết.
• Sao lưu Ngoại tuyến: Duy trì các bản sao lưu dữ liệu quan trọng ngoài mạng (offline backups) để đảm bảo khả năng phục hồi sau tấn công.
• Đào tạo Nhân viên: Nâng cao nhận thức và kỹ năng của nhân viên trong việc phát hiện email lừa đảo (phishing) và các hình thức tấn công kỹ thuật xã hội khác, nhằm ngăn chặn các vector tấn công ban đầu.

Kế hoạch Ứng phó Sự cố

Trong trường hợp hệ thống bị xâm nhập, các kế hoạch ứng phó sự cố cần nhấn mạnh việc cô lập ngay lập tức các hệ thống bị nhiễm. Điều này nhằm ngăn chặn sự lây lan của **mã độc ransomware** trong mạng.

Việc bảo toàn bằng chứng pháp y là cực kỳ quan trọng để điều tra nguyên nhân gốc rễ và xác định phạm vi của cuộc tấn công. NCERT cũng khuyến cáo tránh trả tiền chuộc, vì điều này không đảm bảo phục hồi dữ liệu và có thể khuyến khích kẻ tấn công tiếp tục hoạt động.

Thách thức An ninh Mạng Quốc gia

Các chuyên gia như Tariq Malik, cựu CTO quân đội Pakistan, đã nhấn mạnh những điểm yếu mang tính hệ thống trong khung an ninh mạng của chính phủ. Ông kêu gọi các chính sách chủ động để đối phó với các mối đe dọa.

Ammar Jaffri từ Hiệp hội An ninh Thông tin Pakistan (Pakistan Information Security Association) nhấn mạnh sự cần thiết phải thích ứng liên tục với các mối đe dọa đang phát triển. Giữa các tuyên bố chưa được xác minh trên Dark Web về rò rỉ dữ liệu, PPL đã kích hoạt các giao thức phân tích pháp y và phục hồi theo giai đoạn.

Tình hình và Tầm quan trọng của Threat Intelligence

Vụ việc này một lần nữa underscores một thực tế đáng lo ngại: sự gia tăng 350% các cuộc tấn công **mã độc ransomware** toàn cầu kể từ năm 2018. Blue Locker là một ví dụ điển hình về các mối đe dọa tinh vi đòi hỏi sự tích hợp chặt chẽ của threat intelligence.

Việc áp dụng threat intelligence là thiết yếu để phát hiện sớm các mối đe dọa và tăng cường khả năng phục hồi của tổ chức. Khi các cuộc tấn công nhằm vào hạ tầng quan trọng ngày càng gia tăng, các tổ chức Pakistan phải ưu tiên phòng thủ đa lớp. Điều này nhằm giảm thiểu gián đoạn hoạt động và rủi ro rò rỉ dữ liệu nhạy cảm.