Ảnh minh họa. GBHackers

Sau nhiều tháng gần như biến mất do các kênh Telegram bị chặn hàng loạt, nhóm tin tặc CyberVolk quay trở lại với một biến thể ransomware viết bằng ngôn ngữ Golang, có khả năng tấn công đồng thời cả hệ điều hành Windows và Linux. Chiến dịch mới này được các chuyên gia gọi là thế hệ công cụ “CyberVolk 2.x”, nhằm khôi phục và mở rộng hoạt động của nhóm bằng các tin tặc có kỹ năng thấp hơn.

Điểm đặc biệt là, dù tích hợp nhiều cơ chế tự động hóa phức tạp dựa trên các bot Telegram, mã độc VolkLocker lại tồn tại lỗi lập trình nghiêm trọng, cho phép nạn nhân có thể tự giải mã dữ liệu mà không cần trả tiền chuộc.

Tự động hóa bằng Telegram, nền tảng chính của mô hình RaaS

VolkLocker phụ thuộc gần như hoàn toàn vào bot Telegram để điều khiển và quản lý tấn công. Mọi tương tác của người vận hành – từ đăng ký “đối tác”, theo dõi nạn nhân đến quản lý hệ thống bị xâm nhập - đều được thực hiện thông qua bot có tên CyberVolk_Kbot.

Bot này cung cấp các lệnh như /decrypt, /list, /status, cho phép các tin tặc thuê mã độc RaaS VolkLocker theo dõi trạng thái lây nhiễm và giao tiếp với máy bị kiểm soát theo thời gian thực.

Khi tạo một biến thể VolkLocker mới, tin tặc chỉ cần nhập các thông tin sẵn có như địa chỉ Bitcoin để nhận tiền chuộc, thông tin bot Telegram để điều khiển, thời hạn mã hóa và định dạng tệp bị khóa. Toàn bộ mã độc sau đó được tự động tạo sẵn, không đòi hỏi kiến thức lập trình hay kỹ năng kỹ thuật phức tạp.

Cách tiếp cận này cho thấy CyberVolk đang “đóng gói” ransomware thành công cụ dùng sẵn, cho phép các tin tặc trình độ thấp chỉ cần phát tán mã độc, theo dõi nạn nhân qua Telegram và chờ tiền chuộc, thay vì phải tự xây dựng hạ tầng tấn công.

Phần hoạt động của mã độc VolkLocker, viết bằng Golang được biên dịch cho cả Windows và Linux, đồng thời khai thác kỹ thuật bypass UAC “ms-settings” (MITRE ATT&CK T1548.002), cho phép mã độc vượt qua cơ chế bảo vệ UAC của Windows, chạy với quyền quản trị mà không cần người dùng xác nhận, từ đó chiếm quyền kiểm soát hệ thống.

Sau khi xâm nhập, mã độc tiến hành trinh sát hệ thống, kiểm tra môi trường máy ảo thông qua tiền tố địa chỉ MAC, và loại trừ các thư mục hệ thống quan trọng khỏi quá trình mã hóa.

Lỗi mã hóa nghiêm trọng và cơ chế phá hoại hệ thống

VolkLocker sử dụng thuật toán AES-256 ở chế độ GCM để mã hóa tệp. Tuy nhiên, thiết kế mã hóa của ransomware này tồn tại một sai sót nghiêm trọng: khóa mã hóa chính được hard-code (viết trực tiếp) trong file thực thi, đồng thời còn được ghi ra một tệp văn bản thuần có tên system_backup.key trong thư mục %TEMP%.

Điều này cho phép chuyên gia an ninh mạng dễ dàng truy xuất khóa và giải mã dữ liệu mà không cần trả tiền chuộc, phơi bày nhược điểm lớn trong quy trình phát triển của CyberVolk.

Ngoài chức năng mã hóa, VolkLocker còn duy trì khả năng tồn tại lâu dài bằng cách tự sao chép vào nhiều thư mục, vô hiệu hóa Task Manager, Windows Defender và Command Prompt thông qua chỉnh sửa registry. Mã độc cũng xóa Volume Shadow Copies và có thể kích hoạt màn hình xanh chết chóc (BSOD) bằng hàm NtRaiseHardError() khi hết thời gian đếm ngược hoặc khi người dùng nhập sai khóa giải mã nhiều lần.

Dù còn nhiều lỗi kỹ thuật, CyberVolk vẫn tích cực mở rộng “hệ sinh thái” tấn công, chào bán RAT và keylogger với giá khoảng 500 USD mỗi module, cùng các gói RaaS trọn bộ dao động từ 800 đến 2.200 USD. Tình huống này cho thấy, CyberVolk đang mở rộng các “đối tác” có kỹ năng thấp để tăng cường các cuộc tấn công, đồng thời có thể tung ra một biến thể mới, có kỹ thuật hoàn thiện để tạo ra một chiến dịch tấn công quy mô lớn.

Các chuyên gia SentinelOne cảnh báo rằng sự trở lại của CyberVolk cho thấy xu hướng ngày càng rõ rệt: các nhóm tin tặc tống tiền đang tận dụng hạ tầng Telegram để thương mại hóa ransomware, tăng tường “đối tác” kỹ năng thấp để mở rộng các hoạt động tấn công tống tiền đến mọi lĩnh vực.

An Lâm (Theo Cyber Press)