Một chủng mã độc tống tiền mới có tên LunaLock ransomware đã xuất hiện, khởi động một chiến dịch nhắm mục tiêu vào các nghệ sĩ độc lập và khách hàng của họ. Nhóm này yêu cầu một khoản tiền chuộc lớn để đổi lấy các tác phẩm sáng tạo bị đánh cắp và dữ liệu cá nhân bị rò rỉ.

Sự Xuất Hiện Của LunaLock và Chiến Dịch Mục Tiêu

Nhóm LunaLock bắt đầu hoạt động vào đầu tháng 9 năm 2025. Chúng đã lên tiếng nhận trách nhiệm về việc xâm nhập nền tảng Artists & Clients, một thị trường kỹ thuật số phổ biến nơi các họa sĩ kết nối với khách hàng để tạo ra các tác phẩm nghệ thuật theo yêu cầu.

Chiến dịch này của LunaLock khác biệt so với các cuộc tấn công mã độc ransomware quy mô lớn thông thường, bởi nó tập trung vào một cộng đồng ngách. Bằng cách xâm nhập vào một nền tảng chuyên về các hợp đồng nghệ thuật, những kẻ tấn công có thể trích xuất tài sản trí tuệ giá trị cao.

Chi Tiết Về Lỗ Hổng và Cơ Chế Tấn Công Mạng

Theo các báo cáo từ VenariX, một startup tình báo mối đe dọa mạng, các đối tượng vận hành LunaLock đã khai thác một lỗ hổng bảo mật nghiêm trọng trong dịch vụ máy tính từ xa của Artists & Clients. Sự cố này đã gây ra tình trạng hết thời gian kết nối và lỗi máy chủ diện rộng vào cuối ngày 6 tháng 9 năm 2025.

Người dùng cố gắng truy cập nền tảng đã gặp phải thông báo “Connection timed out” từ Cloudflare, đi kèm với “Host Error”. Điều này xác nhận rằng sự cố nằm trong chính ứng dụng, trong khi hạ tầng trình duyệt và đám mây vẫn hoạt động bình thường, chứng tỏ rằng đã có một cuộc tấn công mạng thành công vào ứng dụng cốt lõi.

Thông Điệp Đe Dọa và Yêu Cầu Chuộc Tiền

Ngay sau khi xâm nhập, một thông báo đòi tiền chuộc xuất hiện trên trang đăng nhập của Artists & Clients. Thông báo này kèm theo một đồng hồ đếm ngược, hiển thị 4 ngày, 8 giờ, 11 phút và 6 giây, nhấn mạnh tính cấp bách của mối đe dọa.

Đáng báo động hơn, nhóm LunaLock đe dọa rằng nếu tiền chuộc không được thanh toán, tất cả các tác phẩm nghệ thuật bị đánh cắp sẽ được đưa vào các bộ dữ liệu huấn luyện AI và bán cho các công ty công nghệ hàng đầu. Đây là một chiến thuật mới, biến nội dung sáng tạo thành vũ khí chống lại chính những người tạo ra nó.

Tác Động và Hậu Quả Đến Nạn Nhân

Việc rò rỉ dữ liệu như minh họa chưa hoàn thành, hồ sơ khách hàng, chi tiết hợp đồng và thông tin ngân hàng cho việc xử lý thanh toán không chỉ đe dọa sinh kế của các nghệ sĩ mà còn phơi bày quyền riêng tư cá nhân và tài chính của khách hàng.

Nhiều họa sĩ đã báo cáo việc mất quyền truy cập vào danh mục đầu tư, kho lưu trữ ủy quyền và lịch sử trò chuyện với khách hàng. Một nghệ sĩ concept tự do mô tả cuộc tấn công là “sự vi phạm lòng tin”, nhấn mạnh rằng hàng tháng trời phác thảo và tài liệu tham khảo bí mật hiện đang bị giữ làm con tin.

Một nhà sáng tạo khác than thở: “Nó không chỉ là về tiền bạc – chúng đe dọa chuyển giao tác phẩm của chúng tôi cho các công ty AI, làm mất giá trị sự sáng tạo của chúng tôi.”

Phân Tích Kỹ Thuật và Khuyến Nghị Bảo Mật từ VenariX

Các nhà nghiên cứu bảo mật tại VenariX, một startup tình báo mối đe dọa mạng cung cấp dịch vụ giám sát miễn phí cho các cộng đồng dễ bị tổn thương, đã bắt đầu phân tích mã và mẫu tin nhắn của LunaLock ransomware. Theo VenariX, các ghi chú đòi tiền chuộc của LunaLock phản ánh các mẫu của các nhóm ransomware lớn khác nhưng kết hợp hình ảnh liên quan đến mặt trăng, cho thấy nỗ lực có chủ đích để xây dựng một thương hiệu tống tiền dễ nhận diện.

Các nhà phân tích của VenariX khuyến nghị các tổ chức bị ảnh hưởng không nên liên hệ trực tiếp với kẻ tấn công hoặc cố gắng đàm phán qua các kênh không xác minh. Thay vào đó, họ kêu gọi thực hiện các biện pháp khẩn cấp sau:

• Cách ly ngay lập tức các máy chủ bị nhiễm.
• Bảo toàn các nhật ký (logs) để phân tích pháp y.
• Tham khảo các công ty phản ứng sự cố chuyên về lĩnh vực sáng tạo và truyền thông.

Các đối tượng vận hành LunaLock ransomware sử dụng các công cụ trộn tiền điện tử phổ biến để che giấu giao dịch, gây khó khăn cho việc truy vết các khoản thanh toán của cơ quan thực thi pháp luật.

Phản Ứng và Biện Pháp Khắc Phục

Sau vụ việc, Artists & Clients đã tạm thời ngừng dịch vụ để triển khai các bản vá khẩn cấp và tiến hành kiểm tra an ninh toàn diện. Ban lãnh đạo nền tảng đã đưa ra lời xin lỗi công khai và cam kết hoàn trả chi phí lưu trữ cho các khoản giữ tiền hoa hồng, đồng thời cung cấp các tiện ích mở rộng đăng ký miễn phí để lấy lại niềm tin người dùng.

Các tình nguyện viên an ninh mạng độc lập đã huy động trên mạng xã hội, sử dụng hashtag #LunaLock để chia sẻ các mẹo giảm thiểu rủi ro. Các nghệ sĩ và khách hàng đều được khuyến khích xem xét bất kỳ hoạt động tài khoản bất thường nào và thay đổi mật khẩu ngay lập tức.

Các Chỉ Số Thỏa Hiệp (IOCs)

Mặc dù chi tiết về địa chỉ IP, tên miền độc hại hay hàm băm mã độc chưa được công bố rộng rãi, chỉ số thỏa hiệp chính (IOC) hiện tại là tên của chủng mã độc:

• Tên mã độc ransomware: LunaLock

Người dùng tìm kiếm cảnh báo mối đe dọa chủ động có thể đăng ký dịch vụ miễn phí trên nền tảng của VenariX.

Những Bài Học và Xu Hướng Mới trong Tấn Công Mã Độc

Khi các băng nhóm mã độc ransomware LunaLock ngày càng nhắm mục tiêu vào các ngành công nghiệp sáng tạo, sự cố LunaLock làm nổi bật một xu hướng đáng lo ngại: những kẻ tấn công coi các nhà sáng tạo độc lập là con mồi béo bở.

Sự cảnh giác, vệ sinh bảo mật mạnh mẽ và sự hợp tác cộng đồng vẫn là những biện pháp phòng thủ tốt nhất chống lại mối đe dọa đang nổi lên này. Phản ứng nhanh chóng của Artists & Clients có thể giúp ngăn chặn thiệt hại, nhưng hệ sinh thái rộng lớn hơn cần phải chuẩn bị cho các cuộc xâm nhập trong tương lai khi các nhóm ransomware tinh chỉnh chiến thuật của chúng chống lại các lĩnh vực chuyên biệt, đặc biệt là các lĩnh vực liên quan đến rò rỉ dữ liệu nhạy cảm và tài sản trí tuệ.