Nhóm mã độc ransomware DireWolf mới nổi gần đây đã phát động một chiến dịch tinh vi nhằm vào các hệ thống Windows trên toàn cầu. Nhóm này sử dụng các chiến thuật tàn nhẫn để xóa nhật ký sự kiện, xóa dữ liệu liên quan đến sao lưu và ngăn chặn các nỗ lực khôi phục hệ thống.

DireWolf lần đầu tiên được phát hiện vào tháng 5 năm 2025 và đã nhanh chóng mở rộng hoạt động. Đến nay, nhóm đã lây nhiễm 16 tổ chức tại 16 khu vực, bao gồm Hoa Kỳ, Thái Lan, Đài Loan, Úc và Ý. Chúng yêu cầu khoản tiền chuộc trị giá hàng triệu đô la bằng Bitcoin thông qua kênh Tox messenger.

DireWolf: Mục Tiêu và Chiến Lược Tấn Công Mạng

Mục Tiêu Tài Chính Rõ Ràng

Vào ngày 26 tháng 5 năm 2025, DireWolf đã công khai danh tính sáu nạn nhân đầu tiên trên một trang web rò rỉ dữ liệu trên darknet. Điều này báo hiệu sự khởi đầu của các hoạt động quy mô đầy đủ của chúng.

Không giống như nhiều nhóm ransomware khác, DireWolf tuyên bố rõ ràng mục tiêu duy nhất của chúng là lợi ích tài chính. Nhóm này dựa vào một kế hoạch tống tiền kép: mã hóa dữ liệu quan trọng của doanh nghiệp và đe dọa công khai rò rỉ dữ liệu nếu nạn nhân không trả tiền chuộc.

Các mục tiêu của DireWolf trải rộng trên nhiều ngành công nghiệp đa dạng như sản xuất, IT, xây dựng và tài chính. Điều này nhấn mạnh cách tiếp cận không phân biệt của nhóm.

Cơ Chế Khai Thác Kỹ Thuật của Mã Độc Ransomware DireWolf

Tệp thực thi của DireWolf được tham số hóa thông qua các đối số dòng lệnh, loại bỏ hoàn toàn việc sử dụng các tệp cấu hình.

Các đối tượng khai thác có thể chỉ định thư mục mục tiêu với cờ -d hoặc xem trợ giúp với cờ -h. Khi thực thi, mã độc ransomware DireWolf trước tiên kiểm tra sự tồn tại của mutex GlobaldirewolfAppMutex và tệp đánh dấu C:runfinish.exe.

Nếu một trong hai yếu tố này tồn tại, chương trình sẽ ghi lại sự kiện, tự xóa và thoát để tránh mã hóa trùng lặp. Nếu không, một khoảng dừng hai giây sẽ diễn ra trước khi khởi động một nhóm worker có kích thước gấp tám lần số lượng CPU logic.

Bằng cách tạo ra nhiều goroutine đồng thời như vậy, DireWolf làm bão hòa thời gian chờ I/O, tăng tốc đáng kể quá trình xử lý tệp. Điều này phải trả giá bằng việc sử dụng CPU cao và tăng hàng đợi đĩa.

Chiến Thuật Chống Phát Hiện và Ngăn Chặn Khôi Phục

Vô Hiệu Hóa Nhật Ký Sự Kiện và Sao Lưu

Để cản trở việc phát hiện và khôi phục, DireWolf liên tục chấm dứt dịch vụ Windows Event Log (eventlog) thông qua các truy vấn WMI và lệnh taskkill. Điều này đảm bảo rằng nhật ký không thể được tạo hoặc truy xuất.

Sau đó, nó phát ra một chuỗi lặp “kiểm tra PID → buộc đóng → chờ → lặp lại”, liên tục chặn việc thu thập nhật ký ngay cả khi dịch vụ được khởi động lại.

Tiếp theo, mã độc ransomware này xóa bỏ Volume Shadow Copies và các bản sao lưu đã lên lịch bằng các tiện ích Windows tích hợp:

vssadmin delete shadows /all /quiet
wbadmin stop job -quiet
wbadmin delete backup -keepVersions:0 -quiet

Nó vô hiệu hóa Windows Recovery Environment và ngăn chặn khởi động vào chế độ khôi phục bằng các lệnh sau:

bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures

Cuối cùng, các lệnh wevtutil cl sẽ xóa nhật ký Application, System, Security và Setup.

Chấm Dứt Các Quy Trình Quan Trọng

Hơn nữa, DireWolf buộc chấm dứt các quy trình quan trọng như SQL Server, Oracle, Exchange, VMware, Veeam, Veritas BackupExec, Symantec và Sophos. Kèm theo đó là các dịch vụ như BackupExecJobEngine, SQLSERVERAGENT, wuauserv, VeeamTransportSvc và MSExchangeIS.

Việc loại bỏ các thành phần cơ sở dữ liệu, sao lưu và bảo mật trước khi mã hóa này làm tê liệt các cơ chế giám sát và khôi phục tiêu chuẩn. Đây là một rủi ro bảo mật nghiêm trọng đối với các tổ chức.

Quá Trình Mã Hóa của DireWolf

Phạm Vi và Ngoại Lệ Mã Hóa

Trong giai đoạn mã hóa, DireWolf xử lý một thư mục được chỉ định hoặc tất cả các ổ đĩa cục bộ và mạng (trừ CD/ROM).

Nó loại trừ các thư mục hệ thống thiết yếu — AppData, Windows, Program Files, $Recycle.Bin, System Volume Information — và các tệp quan trọng như bootmgr, ntldr và NTUSER.DAT, cùng với ghi chú tiền chuộc của nó là HowToRecoveryFiles.txt.

Các tệp thực thi (.exe), DLLs (.dll), driver (.sys, .drv) và ảnh đĩa (.iso, .img) cũng được bỏ qua. Điều này nhằm đảm bảo hệ điều hành vẫn có thể khởi động và hiển thị yêu cầu tiền chuộc.

Thuật Toán Mã Hóa

DireWolf sử dụng khóa riêng ngẫu nhiên cho mỗi tệp trong quá trình trao đổi khóa Curve25519 với khóa công khai DireWolf được mã hóa cứng.

Khóa bí mật dùng chung được băm qua SHA-256 để tạo ra cả khóa mã hóa ChaCha20 và nonce. Các tệp nhỏ (dưới 1 MB) được mã hóa hoàn toàn. Trong khi đó, các tệp lớn hơn (trên 1 MB) chỉ được mã hóa megabyte đầu tiên. Điều này giúp tối đa hóa thông lượng đồng thời gây ra thiệt hại pháp y.

Hậu Mã Hóa và IOCs

Các Hoạt Động Sau Mã Hóa

Sau khi quá trình mã hóa hoàn tất, DireWolf ghi một tệp đánh dấu C:runfinish.exe để ngăn chặn việc mã hóa lại. Sau đó, nó lên lịch khởi động lại hệ thống ngay lập tức bằng lệnh:

cmd /c start shutdown -r -f -t 10

Đồng thời, một quy trình tự xóa được kích hoạt thông qua timeout /T 3 theo sau là del, đảm bảo tệp thực thi của phần mềm độc hại biến mất. Điều này làm phức tạp quá trình khôi phục pháp y.

Mỗi thư mục được mã hóa sẽ nhận được một ghi chú “HowToRecoveryFiles.txt” chứa ID phòng và tên người dùng của nạn nhân, bằng chứng về một vụ vi phạm trước đó.

Để chứng minh việc đánh cắp dữ liệu, DireWolf cũng tải các tệp bị đánh cắp lên một trang chia sẻ tệp công khai. Nhóm này gây áp lực đòi tiền chuộc bằng lời đe dọa rò rỉ dữ liệu hàng loạt.

Các Chỉ Số Thỏa Hiệp (IOCs)

Các chỉ số thỏa hiệp sau đây có thể giúp phát hiện sự hiện diện của mã độc ransomware DireWolf:

• Mutex:GlobaldirewolfAppMutex
• Tệp đánh dấu:C:runfinish.exe
• Ghi chú tiền chuộc:HowToRecoveryFiles.txt

Khuyến Nghị Bảo Vệ và Đối Phó Cuộc Tấn Công Mạng

Mặc dù còn non trẻ, DireWolf thể hiện các chiến thuật ransomware tiên tiến — mã hóa Curve25519-ChaCha20, các chiến lược chống khôi phục hệ thống và cơ chế tự vệ mạnh mẽ. Các tổ chức trong ngành sản xuất, IT, xây dựng, tài chính và các lĩnh vực khác đang đối mặt với nguy cơ cấp tính. Các biện pháp đối phó hiệu quả bao gồm:

• Thực hiện sao lưu dữ liệu thường xuyên và đảm bảo tính toàn vẹn của chúng.
• Áp dụng các chính sách mật khẩu mạnh và xác thực đa yếu tố.
• Cập nhật các bản vá bảo mật cho hệ điều hành và phần mềm.
• Triển khai các giải pháp bảo mật điểm cuối (EDR) và giải pháp phát hiện/phòng chống xâm nhập (IDS/IPS).
• Đào tạo nhận thức về an ninh mạng cho nhân viên để chống lại các cuộc tấn công lừa đảo.
• Giám sát nhật ký hệ thống và mạng một cách chủ động để phát hiện các dấu hiệu bất thường.

Để hiểu rõ hơn về các biện pháp phòng chống ransomware, bạn có thể tham khảo hướng dẫn từ CISA.

Cho đến khi các chiến lược phòng thủ thích ứng với những cuộc tấn công mạng tinh vi này, DireWolf sẽ tiếp tục gây ra mối đe dọa nghiêm trọng toàn cầu đối với môi trường Windows.