Mã độc tống tiền CyberVolk, xuất hiện lần đầu vào tháng 5 năm 2024, đã gia tăng các chiến dịch tấn công nhắm vào các cơ quan chính phủ, cơ sở hạ tầng trọng yếu và các viện nghiên cứu khoa học tại Nhật Bản, Pháp và Vương quốc Anh.

Với xu hướng ủng hộ Nga, CyberVolk tập trung vào các quốc gia bị coi là thù địch với lợi ích của Nga. Mã độc này sử dụng các kỹ thuật mã hóa tinh vi khiến việc giải mã trở nên bất khả thi.

Tổng quan về mã độc tống tiền CyberVolk

CyberVolk được phát hiện vào tháng 5 năm 2024, nhanh chóng nổi bật nhờ tập trung vào các mục tiêu thuộc khu vực công ở các quốc gia có chính sách chống Nga. Nhóm tấn công liên lạc qua các kênh Telegram, đưa ra các mối đe dọa và yêu cầu tiền chuộc trực tiếp tới nạn nhân.

Các cuộc tấn công đáng chú ý bao gồm lưới điện Nhật Bản, các phòng thí nghiệm nghiên cứu của Pháp và các tập đoàn khoa học của Anh. Động cơ của CyberVolk dường như mang tính địa chính trị, phù hợp với các luận điệu ủng hộ Nga bằng cách làm suy yếu khả năng công nghệ của các quốc gia đối địch.

Để biết thêm chi tiết về sự xuất hiện của CyberVolk, bạn có thể tham khảo báo cáo từ AhnLab.

Phương thức hoạt động và Khai thác quyền

Khi được khởi chạy dưới quyền người dùng tiêu chuẩn, mã độc tống tiền CyberVolk tự động thực thi lại với quyền quản trị viên để giành toàn quyền truy cập hệ thống. Điều này đảm bảo khả năng thực hiện các thao tác ghi và sửa đổi tệp trên toàn bộ hệ thống.

Sau khi nâng quyền, mã độc xây dựng một danh sách loại trừ để tránh gây mất ổn định các thư mục hệ thống quan trọng. Các đường dẫn chứa chuỗi con như “Windows”, “Program Files” và “ProgramData” được bỏ qua trong quá trình mã hóa. Mục đích là duy trì tính ổn định của hệ thống và cho phép duy trì sự tồn tại sau khi khởi động lại.

Danh sách loại trừ của CyberVolk

CyberVolk loại trừ các tệp đã có phần mở rộng tùy chỉnh của nó và các thư mục hệ thống để ngăn chặn các hoạt động trùng lặp và lây nhiễm lại. Danh sách cụ thể bao gồm:

• Windows
• Program Files
• ProgramData
• Tệp đã có phần mở rộng .CyberVolk

Kiến trúc mã hóa của CyberVolk

Mã độc tống tiền CyberVolk sử dụng sơ đồ mã hóa đối xứng hai lớp, kết hợp AES-256 GCM và ChaCha20-Poly1305. Đây là một phương pháp mạnh mẽ nhằm tối đa hóa độ phức tạp của việc giải mã.

Một khóa đối xứng duy nhất được tạo khi khởi tạo tiến trình và được áp dụng đồng nhất trên tất cả các tệp mục tiêu. Mỗi quá trình mã hóa tệp bắt đầu bằng một giá trị nonce 12 byte được tạo bởi hàm crypto_rand_Read().

Nonce này đảm bảo rằng ngay cả các dữ liệu gốc giống hệt nhau cũng sẽ tạo ra các văn bản mã hóa (ciphertexts) khác nhau, tăng cường tính bảo mật. Nội dung tệp trước tiên được mã hóa bằng AES-256 GCM, tạo ra cả ciphertext và thẻ xác thực (authentication tag), trước khi được mã hóa lần thứ hai bằng ChaCha20-Poly1305.

Sự thiếu sót trong lưu trữ siêu dữ liệu

Sau khi mã hóa, các tệp chỉ giữ lại dữ liệu đã được mã hóa và thẻ xác thực ChaCha20-Poly1305. Không có nonce hoặc siêu dữ liệu dẫn xuất khóa nào được lưu trữ cùng với ciphertext. Sự thiếu sót này khiến việc giải mã ngoại tuyến (offline decryption) trở nên không thể thực hiện được.

Việc không lưu trữ nonce cùng với ciphertext là một thiết kế có chủ đích. Điều này đảm bảo rằng ngay cả khi có được khóa mã hóa, việc khôi phục dữ liệu vẫn cực kỳ khó khăn, nếu không muốn nói là không thể, mà không có nonce gốc.

Lỗi trong cơ chế giải mã và tác động

Sau khi hoàn thành quá trình mã hóa, mã độc tống tiền CyberVolk tạo một ghi chú đòi tiền chuộc có tên READMENOW.txt trong thư mục thực thi. Ghi chú này, cùng với việc thay đổi hình nền máy tính, hướng dẫn nạn nhân nhập khóa giải mã đã được mã hóa cứng trong vòng ba lần thử.

Mặc dù logic giải mã có tồn tại, nó xử lý nonce không chính xác – không thể truy xuất hoặc áp dụng giá trị gốc. Điều này dẫn đến thất bại trong quá trình giải mã, khiến dữ liệu bị mã hóa vĩnh viễn không thể khôi phục được ngay cả khi nạn nhân có được khóa.

Thiết kế này, kết hợp với các nonce được tạo ngẫu nhiên không bao giờ được lưu giữ, khiến các ciphertext không thể khôi phục được theo thiết kế. Điều này nhấn mạnh tầm quan trọng của các biện pháp phòng ngừa để giảm thiểu rủi ro bảo mật do loại mã độc này gây ra.

Chỉ số thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp sau đây đã được xác định liên quan đến mã độc tống tiền CyberVolk:

Phát hiện chống vi-rút (V3)

• Ransomware/Win.BlackLock.C5764855 (2025.06.11.03)
• Ransom/MDP.Behavior.M2649 (2022.09.06.00)
• Ransom/MDP.Decoy.M1171 (2016.07.15.02)

Phát hiện EDR

• Ransom/EDR.Decoy.M2716 (2025.08.07.00)

Hash tệp (MD5)

c04e70613fcf916e27bd653f38149f71

Chiến lược giảm thiểu rủi ro và Phục hồi

Các tổ chức phải triển khai các chiến lược sao lưu nghiêm ngặt, duy trì các bản sao ngoại tuyến, được kiểm soát quyền truy cập của dữ liệu quan trọng và thường xuyên thực hiện các cuộc diễn tập phục hồi. Điều này giúp giảm thiểu rủi ro mất dữ liệu không thể phục hồi do mã độc tống tiền CyberVolk gây ra.

Một phương pháp tiếp cận toàn diện đảm bảo bảo mật thông tin của chính các hệ thống sao lưu là rất quan trọng để duy trì tính liên tục trong hoạt động. Việc bảo vệ các bản sao lưu khỏi các cuộc tấn công cũng quan trọng như việc bảo vệ dữ liệu sản xuất ban đầu.

Thường xuyên kiểm tra tính toàn vẹn của các bản sao lưu và khả năng phục hồi dữ liệu từ chúng là yếu tố then chốt. Việc này giúp đảm bảo rằng trong trường hợp xảy ra cuộc tấn công mạng, khả năng phục hồi dữ liệu là khả thi và hiệu quả.