Chiến thuật tấn công có hệ thống

Một máy chủ mở được lưu trữ trên hạ tầng của một nhà cung cấp dịch vụ đám mây tại Đức đã bị phát hiện, chứa toàn bộ bộ công cụ của một thành viên thuộc nhóm ransomware Beast. Phát hiện này không chỉ làm lộ các chiến thuật, kỹ thuật và quy trình (TTP) của kẻ tấn công, mà còn cho thấy nhóm Beast có sự tương đồng đáng kể về phương thức hoạt động với nhiều băng nhóm ransomware khác.

Theo Team Cymru, bộ công cụ này bao gồm các thành phần phục vụ trinh sát, lập bản đồ mạng, đánh cắp thông tin đăng nhập và trích xuất dữ liệu, cùng với các kỹ thuật duy trì truy cập và di chuyển ngang trong hệ thống nội bộ.

Ông Will Thomas - cố vấn cấp cao về tình báo mối đe dọa của Team Cymru, cho biết nhiều công cụ được sử dụng như AnyDesk (phần mềm điều khiển từ xa) hay Mega (dịch vụ lưu trữ và tải xuống dữ liệu) - đều là công cụ “lưỡng dụng”, vừa phục vụ mục đích hợp pháp vừa có thể bị lợi dụng cho các hoạt động tấn công. Đây cũng là những công cụ phổ biến, thường xuyên được các nhóm ransomware tái sử dụng.

Theo ông, cách thức hoạt động của nhiều nhóm ransomware hiện nay là tận dụng lại các công cụ sẵn có, thay vì phát triển hoàn toàn mới. Do đó, việc phòng thủ không quá phức tạp nếu doanh nghiệp triển khai đúng các biện pháp kiểm soát để ngăn chặn các công cụ này hoạt động trái phép trong hệ thống.

Ảnh minh hoạ

Các công cụ phổ biến, nguồn gốc không phổ biến

Nhóm ransomware Beast là một nhóm tương đối mới, được phát triển từ một biến thể trước đó là Monster. Nhóm này tự tuyên bố thành lập vào năm 2024, bắt đầu cung cấp dịch vụ ransomware dưới dạng dịch vụ (RaaS) từ tháng 2/2025, và ra mắt trang web rò rỉ dữ liệu vào tháng 7 vào cùng năm.

Nhóm Beast được biết đến với chiến thuật tập trung vào việc tìm kiếm và vô hiệu hóa các bản sao lưu, đồng thời chặn các quy trình liên quan đến bảo mật. Các nhà nghiên cứu từ AhnLab cho biết nhóm này thường chấm dứt các tiến trình liên quan đến cơ sở dữ liệu, sao lưu và phục hồi, phần mềm chống virus, cũng như các ứng dụng văn phòng và email. Hành động này nhằm làm suy yếu khả năng phòng vệ và khôi phục của nạn nhân.

Theo AhnLab, Beast không chỉ đơn thuần mã hóa dữ liệu mà còn triển khai một phương thức tấn công phức tạp hơn, kết hợp giữa phá hoại khả năng khôi phục và đánh cắp dữ liệu. Điều này khiến việc thiết lập hệ thống phát hiện sớm và phản ứng nhanh trở nên đặc biệt quan trọng.

Nhắm mục tiêu trực tiếp vào hệ thống sao lưu

Một điểm đáng chú ý trong phân tích của Team Cymru là việc các công cụ ransomware thường tập trung vào việc phá hủy các bản sao lưu. Trong bộ công cụ bị lộ, các chuyên gia phát hiện một tệp “disable_backup.bat” được thiết kế để xóa các bản sao lưu được tạo bằng dịch vụ Volume Shadow Copy (VSS) trên Windows, đồng thời vô hiệu hóa dịch vụ này. Đây là một công cụ của hệ điều hành Windows, cho phép người dùng và hệ thống tạo các bản sao (snapshots) của các tập tin hoặc toàn bộ phân vùng ổ đĩa vào một thời điểm nhất định.

Theo ông Thomas, ngay cả các giải pháp sao lưu nâng cao cũng có thể không hiệu quả nếu vẫn được kết nối trực tiếp với hệ thống mạng. Trong nhiều trường hợp, doanh nghiệp sử dụng các giải pháp sao lưu và nhân bản dữ liệu để lưu trữ các thành phần quan trọng như Active Directory hoặc máy chủ nội bộ, nhưng nếu các hệ thống này vẫn nằm trong cùng mạng, chúng cũng có nguy cơ bị mã hóa khi ransomware lan rộng.

Ngoài ra, việc ghi nhật ký ngoại tuyến cũng được đánh giá là cần thiết. Phân tích cho thấy máy chủ của nhóm Beast còn chứa tệp CleanExit.exe - được cho là công cụ dùng để xóa dấu vết nhật ký sau khi mã độc được kích hoạt, nhằm che giấu hoạt động tấn công.

Doanh nghiệp cần tăng cường khả năng phòng vệ

Trước các chiến thuật này, các chuyên gia khuyến nghị doanh nghiệp nên triển khai các giải pháp phát hiện và phản hồi điểm cuối (EDR), hoặc ở mức cao hơn là MDR - phiên bản được quản lý, cho phép giám sát và phản ứng theo thời gian thực. Đồng thời, việc áp dụng danh sách cho phép (application allowlist) cũng giúp kiểm soát các ứng dụng được phép chạy trong hệ thống.

Ông Thomas cho biết thêm, các hệ thống EDR hiện nay có khả năng nhận diện tương đối rõ các lệnh và quy trình đáng ngờ liên quan đến việc triển khai mã độc. Trong nhiều trường hợp, các công cụ lưỡng dụng sẽ bị chặn theo mặc định do được đánh giá là có rủi ro cao.

Ông cũng cho rằng việc phát hiện được các máy chủ hạ tầng của kẻ tấn công - đặc biệt khi chúng chứa các bộ công cụ ransomware - là một bước tiến quan trọng trong công tác phòng chống. Tuy nhiên, do nhiều nhóm sử dụng cùng một tập hợp công cụ, việc quy kết chính xác một cuộc tấn công cho một nhóm cụ thể vẫn là thách thức lớn.

Ví dụ, nhóm Beast sử dụng ứng dụng Mega để đánh cắp dữ liệu, nhưng đây cũng là công cụ được các nhóm như Akira, Conti và nhiều nhóm khác sử dụng. Vì vậy, chỉ dựa vào danh sách công cụ là chưa đủ để xác định nguồn gốc tấn công.

Ông Thomas đưa ra khuyến nghị rằng việc phân tích các tệp nhị phân của mã độc mới là yếu tố then chốt giúp nhận diện chính xác nhóm ransomware đứng sau một cuộc tấn công. Nếu không có các tệp này, việc xác định danh tính kẻ tấn công gần như không thể thực hiện một cách chắc chắn.

                                                                                                                  Thuý Hằng (Tổng hợp)