Mô hình Ransomware-as-a-Service (RaaS) tiếp tục dân chủ hóa các cuộc tấn công phức tạp trong thế giới tội phạm mạng không ngừng thay đổi. Mô hình này cho phép các chi nhánh, ngay cả những người có ít kiến thức kỹ thuật, phân phối mã độc ransomware thông qua các hình thức chia sẻ lợi nhuận hoặc đăng ký.

Sự trỗi dậy của BQTLock Ransomware: Mô hình RaaS mới

Một biến thể mã độc ransomware mới được xác định, BQTLock, đã xuất hiện từ giữa tháng 7 năm 2025. BQTLock hoạt động theo mô hình RaaS và được quảng bá rầm rộ trên các diễn đàn dark web cũng như kênh Telegram. Biến thể này được liên kết với ZerodayX, kẻ được cho là thủ lĩnh của nhóm hacktivist ủng hộ Palestine Liwaa Mohammed, trước đây từng liên quan đến vụ rò rỉ dữ liệu game của Saudi.

Chiến thuật tống tiền kép và yêu cầu Monero

BQTLock sử dụng chiến thuật tống tiền kép. Mã độc này mã hóa các tệp với phần mở rộng .bqtlock và đe dọa rò rỉ dữ liệu nếu không thanh toán tiền chuộc. Số tiền chuộc dao động từ 13 đến 40 XMR (khoảng 3.600 đến 10.000 USD) phải được thanh toán trong vòng 48 giờ qua tiền điện tử Monero. Nếu không tuân thủ, yêu cầu tiền chuộc sẽ tăng gấp đôi, và các khóa giải mã sẽ bị xóa, dữ liệu sẽ bị bán sau bảy ngày.

Phương thức phân phối và các biện pháp chống phân tích

BQTLock được phân phối dưới dạng tệp lưu trữ ZIP chứa tệp thực thi Update.exe và các DLL hỗ trợ. Mã độc ransomware này tích hợp nhiều biện pháp chống phân tích để né tránh bị phát hiện. Các biện pháp này bao gồm mã hóa chuỗi, phát hiện trình gỡ lỗi thông qua chức năng IsDebuggerPresent() và các đoạn mã né tránh máy ảo. BQTLock cũng kiểm tra mutex để ngăn chặn nhiều phiên bản của mã độc chạy cùng lúc.

Các cấp độ đăng ký RaaS của BQTLock

BQTLock cung cấp các cấp độ đăng ký khác nhau: Starter, Professional và Enterprise. Mỗi cấp độ cung cấp các tính năng tùy chỉnh riêng biệt, bao gồm:

• Sửa đổi ghi chú tống tiền.
• Sử dụng máy chủ C2 (Command and Control) tùy chỉnh.
• Thay đổi phần mở rộng tệp bị mã hóa.
• Tùy chọn bật/tắt các khả năng chống gỡ lỗi và chống máy ảo.

Hoạt động hậu lây nhiễm và thu thập thông tin

Sau khi lây nhiễm, BQTLock tìm cách leo thang đặc quyền bằng cách sử dụng SeDebugPrivilege. Nó cũng thực hiện kỹ thuật process hollowing vào explorer.exe để hoạt động ẩn mình. Quá trình trinh sát hệ thống thu thập nhiều thông tin chi tiết, bao gồm:

• Tên máy tính.
• Địa chỉ IP.
• ID phần cứng.
• Dung lượng ổ đĩa.

Các dữ liệu này được gửi ra ngoài thông qua các webhook của Discord dưới định dạng JSON, thường kèm theo ảnh chụp màn hình máy tính để bàn được lưu dưới dạng bqt_screenshot.png.

Ngăn chặn phục hồi và vô hiệu hóa tiến trình bảo mật

Để cản trở quá trình phục hồi dữ liệu, BQTLock vô hiệu hóa các cơ chế của Windows bằng các lệnh CLI như:

vssadmin delete shadows
bcdedit /set recoveryenabled No

Đồng thời, mã độc này cũng chấm dứt các tiến trình bảo mật bằng cách sử dụng CreateToolhelp32Snapshot và TerminateProcess chống lại một danh sách được mã hóa cứng.

Cơ chế duy trì và thay đổi hệ thống

BQTLock đạt được khả năng duy trì trong hệ thống bằng cách lên lịch các tác vụ giả mạo các mục hợp pháp của Microsoft, ví dụ như MicrosoftWindowsMaintenanceSystemHealthCheck. Ngoài ra, nó thay đổi hình nền máy tính và biểu tượng tệp thông qua các sửa đổi registry và sử dụng SHChangeNotify.

Biến thể BQTLock nâng cao: Tăng cường né tránh và đánh cắp thông tin đăng nhập

Một biến thể BQTLock được cập nhật, phân tích vào ngày 5 tháng 8 năm 2025, đã tăng cường các biện pháp né tránh với khả năng chống gỡ lỗi nâng cao. Điều này bao gồm việc sử dụng CheckRemoteDebuggerPresent(), OutputDebugString() và GetTickCount() để phát hiện các bất thường về thời gian. Biến thể này cũng sử dụng các kỹ thuật vượt qua UAC (User Account Control) qua CMSTP, fodhelper.exe và eventvwr.exe thông qua việc chiếm quyền điều khiển registry, cùng với việc mã hóa code mạnh hơn.

Mở rộng trinh sát và đánh cắp thông tin đăng nhập

Biến thể mới mở rộng khả năng trinh sát bằng cách sử dụng WMI (Windows Management Instrumentation) để thu thập chi tiết phần cứng. Nó cũng giới thiệu chức năng đánh cắp thông tin đăng nhập từ các trình duyệt phổ biến như Chrome, Firefox và Edge. Việc này được thực hiện bằng cách truy cập các tệp Login Data và giải mã chúng bằng các khóa từ key4.db. Khả năng di chuyển ngang cũng được kích hoạt bằng cách tự sao chép thành bqtpayload.exe trong thư mục %TEMP%. Theo báo cáo từ K7Computing Labs, các chi tiết kỹ thuật về biến thể này đã được phân tích sâu hơn.

Cơ chế mã hóa và xóa dấu vết

Quá trình mã hóa của BQTLock tuân theo sơ đồ hybrid AES-256/RSA-4096. Các khóa và IV ngẫu nhiên được tạo thông qua RAND_bytes và được nối vào cuối các tệp sau khi bỏ qua các thư mục hệ thống như Windows và Program Files để duy trì sự ổn định của hệ thống. Sau khi mã hóa, mã độc tự xóa bằng các tập lệnh batch và nhật ký sự kiện được xóa để xóa bỏ mọi dấu vết.

Nghi ngờ về tính hợp pháp và hoạt động thương mại hóa

Mặc dù có tuyên bố là hoàn toàn không bị phát hiện (FUD) trên VirusTotal, các mẫu của BQTLock thường xuất hiện bị hỏng và được tải lên một cách đáng ngờ từ Lebanon, làm dấy lên nghi ngờ về tính hợp pháp của chúng. Các quảng cáo gần đây nhấn mạnh về Ransomware Builder V4 với nhiều tùy chỉnh mở rộng. Tuy nhiên, các bản cập nhật đã ngừng sau bốn phiên bản trong vòng chưa đầy một tháng, cùng với việc một kênh Telegram bị chặn và các ưu đãi dịch vụ miễn phí trên các kênh mới.

Nhóm đứng sau mã độc ransomware này cũng đã ra mắt BAQIYAT.osint, một công cụ trả phí để tìm kiếm dữ liệu bị đánh cắp, nhấn mạnh cách tiếp cận thương mại hóa đối với các cuộc tấn công mạng.

Các chỉ số thỏa hiệp (IOCs)

Dưới đây là các chỉ số thỏa hiệp liên quan đến BQTLock:

• Tên tệp:Update.exe (trong gói ZIP ban đầu), bqt_screenshot.png (ảnh chụp màn hình), bqtpayload.exe (cho lateral movement).
• Phần mở rộng tệp bị mã hóa:.bqtlock.
• Kênh liên lạc C2/Exfiltration: Discord webhooks.
• Tác vụ theo lịch trình: Ví dụ: MicrosoftWindowsMaintenanceSystemHealthCheck (giả mạo).
• Lệnh CLI được sử dụng:

  vssadmin delete shadows
  bcdedit /set recoveryenabled No

• Các tệp bị nhắm mục tiêu cho đánh cắp thông tin đăng nhập:Login Data, key4.db (từ các trình duyệt như Chrome, Firefox, Edge).
• Thư mục tự sao chép:%TEMP% (dưới dạng bqtpayload.exe).
• Kênh phân phối/quảng bá: Diễn đàn dark web, kênh Telegram. Các diễn đàn như Gbhackers.com thường xuyên cập nhật về các mối đe dọa như vậy.

Giải pháp phòng ngừa và bảo vệ hệ thống

Trước các rủi ro bảo mật ngày càng gia tăng, việc triển khai các giải pháp an ninh mạng cập nhật như K7 Total Security là điều cần thiết để giảm thiểu các mối đe dọa. Việc này nhấn mạnh tầm quan trọng của việc giám sát các lỗ hổng CVE một cách chủ động và cập nhật thông tin tình báo về mối đe dọa. Một chiến lược an ninh mạng toàn diện bao gồm cả phòng ngừa, phát hiện và phản ứng là yếu tố then chốt để bảo vệ hệ thống khỏi các biến thể mã độc ransomware liên tục phát triển.