Các nhà nghiên cứu bảo mật thuộc CISCO Talos vừa qua đã trình bày về những phát hiện trong sự tiến hoá của mã độc tống tiền Akira ransomware trong thời gian gần đây.

Lần đầu được phát hiện vào đầu năm 2023, mã độc tống tiền Akira ransomware nhắm mục tiêu tới các doanh nghiệp với hệ thống chạy trên nền tảng hệ điều hành Windows và Linux, đồng thời sử dụng ChaCha2008 nhằm ngăn chặn nạn nhân truy cập tới dữ liệu của họ. Hàng loạt các doanh nghiệp lớn ngành giáo dục, tài chính, sản xuất, y tế,... trong khu vực Bắc Mỹ, châu Âu và châu Úc đã trở thành nạn nhân của loại mã độc này khi dữ liệu của họ bị mã hoá thành các tệp tin có đuôi .akira, ước tính tới tháng 10/2024 gây thiệt hại hơn 42 triệu USD với khoảng 250 nạn nhân trên toàn cầu.

Sự thay đổi được ghi nhận

Trong báo cáo phát hành trên trang chủ ngày 21/10/2024 vừa qua, các nhà nghiên cứu bảo mật thuộc CISCO Talos đã chỉ ra sự tiến hoá của mã độc này trong thời gian gần đây. Một bộ mã hoá mới đã được phát hiện sau một phiên bản mã hoá khác của ransomware này được phát hiện từ đầu năm. Các mẫu thử nghiệm này được viết bằng ngôn ngữ Rust thay vì ngôn ngữ C++ như các phiên bản tiền nhiệm, đồng thời việc mã hoá cùng các chức năng khác của mã độc cũng đang được phát triển trong payload của những mẫu thử này. Các chuyên gia dự đoán, xu hướng khai thác của các nhóm tin tặc sử dụng mã độc tống tiền Akira ransomware trong thời gian tới có thể quay lại mã hoá dữ liệu của nạn nhân, song song với các hoạt động đánh cắp dữ liệu và tống tiền như hiện tại.

Vô số các biến thể của mã độc được ghi nhận cho tới hiện nay được những nhóm tin tặc tận dụng nguồn thông tin các thiết bị mạng tồn tại lỗ hổng, thông tin về những hệ thống dễ bị tấn công, hoặc thông tin đăng nhập VPN credential bị lộ lọt phát triển. Có thể nêu ra một số lỗ hổng bảo mật được các nhóm tin tặc này liên tục cập nhật và tích cực khai thác như CVE-2024-40766 với điểm 9.3 Critical (đánh giá theo thang điểm CVSS 3.1) trong SonicOS của SonicWall, cho phép thực thi mã từ xa trên các thiết bị bị ảnh hưởng; khai thác CVE-2020-3259 (điểm CVSS: 7.5 High) và CVE-2023-20263 (điểm CVSS: 4.7 Medium) vào thiết bị bảo mật trong Cisco Adaptive Security Appliance (ASA) qua phần mềm Firepower Threat Defense (FTD) cho phép kẻ tấn công thực thi mã tùy ý sau khi đã truy cập được qua VPN Cisco AnyConnect SSL hay các cuộc tấn công vào CVE-2023-48788 (điểm CVSS: 9.8 Critical) khai thác phần mềm FortiClientEMS để có được quyền truy cập ban đầu, tạo điều kiện leo thang đặc quyền theo cả chiều ngang và chiều dọc.

Ảnh: Thống kê top nạn nhân của Akira ransomware trong năm 2024

Đầu tháng 9/2024, các nhà nghiên cứu của Talos phát hiện ra mã độc này đang có xu hướng thay đổi giống với các TTPs trước đây, các tệp ghi chú tống tiền mà nạn nhân nhận được đều có chung tên file "akira_readme.txt". Tuy nhiên sự thay đổi trong bộ mã hoá trên máy chủ Window đã được cập nhật, thay thế tham số -remote trước đây bằng -localonly và --exclude, loại trừ các đường dẫn như “$Recycle.Bin” và “System Volume Information” trong quá trình mã hóa. Trong biến thể trên môi trường Linux, tin tặc đã quay trở lại sử dụng thuật toán ChaCha8 thay vì ChaCha20 như phiên bản Akira v2 trước đó, chúng cũng tạo một tiến trình con sử dụng tham số –fork để mã hóa cùng với tham số --exclude.

Bộ mã hoá của Akira v2

Một số tệp tin trên hệ thống Linux được cho là mục tiêu mã hoá mới của Akira được liệt kê dưới đây:

Xu hướng phát triển

Việc khám phá ngôn ngữ lập trình Rust trong các bộ mã hóa hệ thống Linux gần đây cho thấy các nhóm tin tặc sẵn sàng thử nghiệm các khung mã hóa khác nhau, dẫn đến các biến thể ransomware mới mạnh mẽ hơn. Mặc dù việc tái sử dụng biến thể cũ có thể cho thấy một sự thay đổi chiến thuật tạm thời từ quá trình di chuyển mã, nó cũng chứng tỏ rằng các tin tặc sẵn sàng tái sử dụng các kỹ thuật đã được kiểm nghiệm nhằm đảm bảo sự ổn định trong các hoạt động phạm pháp, đồng thời không ngừng tìm kiếm các cách mới để né tránh sự phát hiện và cải thiện tính năng.

Ảnh: Sự tiến hoá của Akira theo thời gian

Do ảo hóa đóng vai trò thiết yếu trong việc triển khai quy mô lớn các tài nguyên lưu trữ và điện toán đám mây, các cuộc tấn công Akira ransomware nhắm vào hypervisor ESXi được dự đoán có thể sẽ diễn ra nhiều hơn trong thời gian tới bởi hệ thống ESXi cung cấp khả năng mã hóa dữ liệu nhanh chóng và rộng rãi, giảm thiểu nhu cầu leo thang đặc quyền theo chiều ngang và đánh cắp thông tin xác thực. Ngoài ra việc mã hóa một tệp .vmdk đơn giản hơn rất nhiều so với việc mã hoá tất cả các tệp riêng lẻ.

Một số khuyến nghị cũng được các nhà nghiên cứu bảo mật của CISCO Talos đưa ra trong bài viết:

• Thực hiện các đánh giá lỗ hổng bảo mật thường xuyên và áp dụng bản vá bảo mật kịp thời cho hệ thống.

• Áp dụng chính sách mật khẩu nghiêm ngặt, yêu cầu mật khẩu phức tạp, duy nhất cho mỗi tài khoản. Ngoài ra, bắt buộc sử dụng xác thực đa yếu tố (MFA) để tăng cường bảo mật.

• Triển khai hệ thống SIEM liên tục giám sát và phân tích các sự kiện bảo mật, triển khai các giải pháp EDR/XDR trên tất cả các máy trạm và máy chủ nhằm cung cấp khả năng phát hiện, điều tra và phản ứng với các mối đe dọa nâng cao.

• Bật cấu hình bảo mật và kiểm soát quyền truy cập để hạn chế quyền truy cập vào giao diện quản lý ESXi, chẳng hạn như chỉ cho phép các IP đáng tin cậy, bắt buộc sử dụng MFA và đảm bảo quyền kiểm soát dựa trên vai trò (RBAC) được cấu hình đúng cách.

• Vô hiệu hóa quyền truy cập WMI không cần thiết bằng cách hạn chế hoặc vô hiệu hóa quyền truy cập WMI cho người dùng không phải quản trị viên. Giám sát/kiểm tra các lệnh WMI, đặc biệt là các lệnh liên quan đến việc xóa các bản shadow copy.

• Ngăn chặn đánh cắp thông tin xác thực, đồng thời kiểm tra và áp dụng các thay đổi cấu hình cần thiết cho các ứng dụng/plug-in không tương thích do phụ thuộc vào quyền truy cập trực tiếp vào thông tin đăng nhập của người dùng.

IOCs

Tham khảo

1. Talos blog: https://blog.talosintelligence.com/akira-ransomware-continues-to-evolve/