Trong nửa đầu năm 2025, Nhật Bản đã chứng kiến sự gia tăng đáng kể các cuộc tấn công mã độc ransomware, với số vụ việc tăng khoảng 1.4 lần so với cùng kỳ năm trước. Dữ liệu từ cuộc điều tra chi tiết của Cisco Talos cho thấy 68 trường hợp ransomware đã nhắm mục tiêu vào các tổ chức Nhật Bản, bao gồm các công ty trong nước và chi nhánh ở nước ngoài, từ tháng 1 đến tháng 6 năm 2025. Sự gia tăng này đối lập hoàn toàn với 48 sự cố được ghi nhận trong năm trước đó, nhấn mạnh một mối đe dọa mạng đang leo thang liên tục.

Bối Cảnh Các Cuộc Tấn Công Mã Độc Ransomware tại Nhật Bản

Tăng Trưởng và Thống Kê

Lượng tấn công hàng tháng biến động từ 4 đến 16 vụ, trung bình khoảng 11 vụ mỗi tháng. Điều này cho thấy một xu hướng gia tăng và duy trì của các cuộc tấn công ransomware nhắm vào các thực thể Nhật Bản.

Mục Tiêu Ngành và Đối Tượng Bị Ảnh Hưởng

Ngành sản xuất chịu ảnh hưởng nặng nề nhất, chiếm 18.2% các trường hợp. Tiếp theo là ngành ô tô (5.7%), các công ty thương mại, xây dựng và vận tải, mỗi ngành chiếm 4.6%, không thay đổi so với năm trước. Mô hình này làm nổi bật sự tập trung liên tục của kẻ tấn công vào các doanh nghiệp vừa và nhỏ (SMEs). Các SMEs chiếm 69% số nạn nhân, trong đó 38% có vốn dưới 100 triệu Yên và 31% nằm trong khoảng từ 100 triệu đến 1 tỷ Yên. Chiến lược nhắm mục tiêu này khai thác các lỗ hổng trong các tổ chức có ít nguồn lực hơn, nơi các biện pháp an ninh mạng mạnh mẽ có thể chưa theo kịp so với các tập đoàn lớn, tạo ra một rủi ro bảo mật đáng kể.

Sự Chuyển Đổi trong Bức Tranh Đe Dọa

Sự vắng mặt của các nhóm từng chiếm ưu thế như LockBit và 8Base, vốn đã bị các cơ quan thực thi pháp luật quốc tế triệt phá vào năm 2024 và 2025, đã mở đường cho các mối đe dọa mới nổi.

Qilin: Ngôi Sao Mới Nổi trong Cuộc Chiến Ransomware

Đáng chú ý, Qilin đã trở thành nhóm ransomware tích cực nhất, tuyên bố đã tấn công tám nạn nhân người Nhật trong giai đoạn này. Đây là một sự gia tăng đột biến so với không có sự cố nào trong năm tài chính 2024. Hoạt động từ tháng 10 năm 2022, các chiến dịch của Qilin minh họa mô hình ransomware-as-a-service (RaaS) toàn cầu, mở rộng phạm vi và tác động của nó.

Các Nhóm Ransomware Khác Đang Hoạt Động

Các nhóm hoạt động khác bao gồm RansomHub và Hunters International từ các bảng xếp hạng trước, cùng với Lynx, Nightspire, và RansomHub, mỗi nhóm gây ra ba sự cố. Các nhóm Akira, Cicada3301, Gunra, Kawa4096, và Space Bears mỗi nhóm gây ra hai sự cố. Các tác nhân chỉ gây ra một sự cố như Black Suit, CLOP, Devman, Fog, và Play tiếp tục làm đa dạng hóa bối cảnh mối đe dọa mạng.

KaWaLocker: Biến Thể Mã Độc Mới và Sự Tiến Hóa

Một tác nhân mới, Kawa4096, đã xuất hiện vào cuối tháng 6 năm 2025, nhanh chóng nhắm mục tiêu vào các thực thể Nhật Bản với hai cuộc tấn công được xác nhận vào cuối tháng. Mã độc ransomware KaWaLocker của nhóm này sử dụng các kỹ thuật tinh vi.

Phương Thức Hoạt Động của KaWaLocker 1.0

• Tải cấu hình: KaWaLocker tải cấu hình từ các phần tài nguyên thông qua các cuộc gọi API FindResourceW. Các cấu hình này quy định các ngoại lệ cho mã hóa (ví dụ: phần mở rộng tệp, thư mục), chấm dứt tiến trình và các lệnh sau mã hóa.
• Lệnh sau mã hóa: Bao gồm các hành động được thực thi bởi WMI, chẳng hạn như khởi chạy máy tính để thử nghiệm hoặc khởi động lại bắt buộc qua lệnh shutdown /r /t 0.
• Phần mở rộng và biểu tượng tệp: Các tệp được mã hóa nhận các phần mở rộng tùy chỉnh được lấy từ dữ liệu tài nguyên, với các biểu tượng liên quan được đăng ký trong sổ đăng ký Windows dưới HKEY_LOCAL_MACHINESoftwareClasses.
• Xử lý đối số: Hỗ trợ đa luồng với -all cho mã hóa toàn diện, -d cho nhắm mục tiêu thư mục cụ thể và -dump cho các bản ghi bộ nhớ dựa trên API MiniDumpWriteDump.
• Mutex: Việc tạo Mutex (SAY_HI_2025) ngăn chặn việc thực thi đồng thời.
• Tống tiền kép: Các chiến thuật tống tiền kép được thể hiện rõ trong các ghi chú đòi tiền chuộc như !!Restore-My-file-Kavva.txt, đe dọa rò rỉ dữ liệu nhạy cảm như hồ sơ nhân viên và khách hàng.
• Dọn dẹp sau mã hóa: Sau khi mã hóa, mã độc thực thi các lệnh để xóa các bản sao lưu (vssadmin.exe, wmic), xóa nhật ký sự kiện (wevtutil) và tự xóa thông qua các lệnh bị trì hoãn.
• Thuật toán mã hóa: Mã hóa sử dụng thuật toán mã hóa luồng Salsa20 với phân đoạn thích ứng. Các tệp nhỏ hơn hoặc bằng 10MB được mã hóa toàn bộ. Các tệp lớn hơn được chia thành các khối 64KB được điều chỉnh theo kích thước (ví dụ: 1 khối cho 10-100MB, lên đến 100 khối cho các tệp lớn hơn 1GB), tối ưu hóa hiệu suất.

KaWaLocker 2.0 và Cải Tiến

Vào cuối tháng 7 năm 2025, KaWaLocker 2.0 đã được giới thiệu với các cải tiến đáng kể. Các cải tiến này bao gồm một ghi chú đòi tiền chuộc được cập nhật với thông tin liên hệ email và một cờ hide_name để băm và làm rối tên tệp, gây thêm khó khăn cho công tác điều tra pháp y. Để biết thêm thông tin chi tiết về các sự cố ransomware này và sự phát triển của KaWaLocker, bạn có thể tham khảo báo cáo của Cisco Talos: Ransomware Incidents in Japan During the First Half of 2025.

IOCs (Indicators of Compromise) Liên Quan Đến KaWaLocker

• Mutex: SAY_HI_2025
• Ghi chú đòi tiền chuộc: !!Restore-My-file-Kavva.txt
• Khóa Registry: HKEY_LOCAL_MACHINESoftwareClasses (để đăng ký biểu tượng tệp mã hóa)
• Các lệnh thực thi sau mã hóa:
  • vssadmin.exe Delete Shadows /All /Quiet (xóa bản sao lưu bóng)
  • wmic shadowcopy delete (xóa bản sao lưu bóng)
  • wevtutil cl system (xóa nhật ký sự kiện hệ thống)
  • wevtutil cl security (xóa nhật ký sự kiện bảo mật)
  • wevtutil cl application (xóa nhật ký sự kiện ứng dụng)
  • shutdown /r /t 0 (khởi động lại hệ thống)
• Thuật toán mã hóa: Salsa20
• Các tham số dòng lệnh: -all, -d <directory>, -dump
• API được sử dụng: FindResourceW, MiniDumpWriteDump

Khuyến Nghị và Tăng Cường Phòng Thủ An Ninh Mạng

Những diễn biến này báo hiệu sự tiến hóa nhanh chóng của Kawa4096 và các biến thể mã độc ransomware khác. Nó đòi hỏi sự cảnh giác cao độ trong quản lý lỗ hổng và chia sẻ thông tin tình báo về mối đe dọa giữa các SMEs của Nhật Bản để giảm thiểu rủi ro bảo mật mạng đang gia tăng này. Để nâng cao khả năng phòng thủ, các tổ chức nên thường xuyên cập nhật bản vá bảo mật, triển khai các giải pháp bảo mật đa lớp, và đào tạo nâng cao nhận thức cho nhân viên về các mối đe dọa lừa đảo và kỹ thuật xã hội. Cisco Talos là một nguồn thông tin tình báo mối đe dọa đáng tin cậy: Cisco Talos.