Sự việc diễn ra đúng thời điểm giới chuyên môn vẫn đang cảnh báo về một lỗ hổng zero-day nguy hiểm khác của Windows, khiến tình hình an ninh mạng càng trở nên căng thẳng.

Hồi tháng 5, Chiến dịch Endgame được xem như đòn quyết định nhằm chấm dứt hoạt động của DanaBot: cơ quan thực thi pháp luật Mỹ - Anh - châu Âu phối hợp đánh sập hệ thống điều khiển, bắt giữ 20 nghi phạm quốc tế và thu giữ khoản lớn tiền điện tử bị đánh cắp. Tuy nhiên, báo cáo mới từ Zscaler cho thấy nhóm vận hành dường như đã nhanh chóng tái tổ chức. Phiên bản mới, mang mã hiệu DanaBot 669, bắt đầu xuất hiện trở lại trên thực tế sau gần nửa năm hoàn toàn im ắng.

Sự tái xuất này không chỉ đơn giản là đánh dấu sự sống sót của mạng lưới tội phạm, mà còn thể hiện năng lực kỹ thuật nâng cấp đáng kể. DanaBot vốn nổi tiếng là loại mã độc đánh cắp thông tin và tiền điện tử, được cho thuê như một “dịch vụ tấn công”. Nó đào dữ liệu trình duyệt, ví tiền ảo, tài khoản ngân hàng và thậm chí làm bàn đạp cho các chiến dịch ransomware quy mô lớn.

Theo phân tích của Zscaler, các cuộc tấn công mới của DanaBot 669 vẫn dựa trên hai con đường “quen mà nguy hiểm”: Email lừa đảo ngụy trang hóa đơn, file công việc, đơn hàng. Quảng cáo độc hại, dẫn người dùng tải về phần mềm giả mạo chứa mã độc.

Điểm khiến giới chuyên môn đặc biệt lo ngại là phiên bản 669 đã chuyển sang cơ sở hạ tầng điều khiển - giám sát (C2) mới, khó truy dấu hơn, đồng thời tinh vi hóa kỹ thuật ẩn mình trên Windows 10, Windows 11 và Windows Server.

Ông Ross Filipek, Giám đốc an ninh của Corsica Technologies, nhận định sự trở lại này phần nào phản ánh khả năng tái tập hợp của nhóm DanaBot: “Họ bị giáng một đòn mạnh hồi tháng 5, nhưng rõ ràng những nhân sự quan trọng vẫn chưa bị bắt giữ”.

Doanh nghiệp và người dùng cần làm gì?

Với tổ chức và doanh nghiệp: Các chuyên gia cảnh báo hệ thống đang chạy Windows cần được bổ sung lớp phòng vệ mạnh hơn, đặc biệt trong giai đoạn DanaBot phát tán trở lại. Doanh nghiệp được khuyến nghị triển khai giám sát mạng nâng cao, hệ thống phát hiện xâm nhập (IDS/IPS) và giải pháp bảo vệ đầu cuối có khả năng phân tích hành vi. DanaBot thay đổi máy chủ C2 liên tục, nên chỉ những hệ thống có giám sát theo thời gian thực mới đủ khả năng nhận diện.

Với người dùng cá nhân: DanaBot chủ yếu nhắm vào nhóm người dùng cuối, nhất là những người thường xuyên xử lý email công việc. Các biện pháp cần thiết bao gồm: Tuyệt đối không mở tệp đính kèm hoặc link trong email lạ; Chỉ tải phần mềm từ website chính thức, tránh nhấp quảng cáo tìm kiếm; Luôn cập nhật Windows và công cụ bảo mật tích hợp; Bật tính năng chống lừa đảo (anti-phishing) trên trình duyệt.

Một thao tác bất cẩn - nhấp chuột vào tệp đính kèm tưởng như vô hại - có thể khiến toàn bộ ví tiền điện tử hoặc danh tính số bị chiếm đoạt.

Sự trở lại của DanaBot 669 là lời nhắc cảnh tỉnh rằng tội phạm mạng vẫn có thể hồi sinh ngay cả sau những chiến dịch truy quét quy mô quốc tế. Trong bối cảnh các lỗ hổng zero-day liên tiếp bị khai thác, việc củng cố hệ thống, nâng cao cảnh giác và cập nhật công cụ bảo mật trở thành ưu tiên hàng đầu nếu không muốn trở thành nạn nhân tiếp theo của làn sóng tấn công ngầm đang lan rộng.

An Lâm