RANSOMWARE – BE AWARE [LockBit]

RANSOMWARE – BE AWARE là seri bài viết tổng hợp thông tin về các dòng ransomware phổ biến và cách phòng chống chúng, được thực hiện bởi những chuyên gia của HTI Services với hơn 15 năm kinh nghiệm trong lĩnh vực bảo mật dữ liệu, điều tra tội phạm công nghệ cao. Thông qua seri này, chúng tôi hy vọng có thể giúp bạn trang bị thêm những kiến thức hữu ích để bảo vệ bản thân trước những sự cố an ninh mạng, đặc biệt là các cuộc tấn công mã hóa dữ liệu tống tiền bằng mã độc ransomware.

Trong bài viết này, hãy cùng tìm hiểu về LockBit, một dòng ransomware có tuổi đời không nhiều nhưng lại đang đứng top đầu các phần mềm độc hại nguy hiểm nhất hiện nay.

1. LockBit Ransomware – Mã độc tống tiền hoạt động tích cực nhất

LockBit là một loại mã độc RaaS (ransomware-as-a-service) được phát hiện lần đầu vào tháng 9/2019 dưới cái tên virus .abcd. Sau khi liên tục phát triển và tạo ra nhiều biến thể mới, chủng ransomware này bắt đầu gây ra nhiều sự chú ý với biến thể LockBit 2.0 vào năm 2021 và gần đây nhất là LockBit 3.0 năm 2022, LockBit Green – được cho là lấy cảm hứng từ ransomware Conti. Với chính sách ăn chia hậu hĩnh dành cho các đại lý phân phối của mình, LockBit sở hữu mạng lưới đối tác (affiliate) rộng khắp, giúp mã độc này được phát tán với tốc độ chóng mặt.

Vượt lên trên rất nhiều cái tên sừng sỏ trong giới ransomware, LockBit trở thành mã độc tống tiền hoạt động mạnh nhất trong năm 2022 và đang tiếp tục bành trướng trong năm 2023. Theo phân tích dữ liệu rò rỉ của công ty an ninh mạng Palo Alto Networks (Mỹ), LockBit có liên quan tới 46% các vụ tấn công mã độc trong quý đầu năm 2022. Số liệu cũng ghi nhận, trong các vi phạm có liên quan đến ransomware từ tháng 7/2022 đến 6/2023 cũng cho thấy có đến gần 30% vụ việc có dấu vết của LockBit.

Mục tiêu ưa thích của LockBit là các doanh nghiệp vừa và nhỏ (chiếm tới 80.5% danh sách nạn nhân được công khai – theo báo cáo của Trend Micro năm 2022). Ở thời điểm hiện tại, băng nhóm LockBit sử dụng mô hình tống tiền kép, tức là vừa mã hóa dữ liệu của nạn nhân, đồng thời tách lọc (hoặc chuyển) các file chứa thông tin nhạy cảm về máy chủ của chúng. Những dữ liệu này sẽ bị công khai trên leak site khiến cho toàn bộ tình huống trở áp lực hơn rất nhiều đối với các tổ chức bị nhắm mục tiêu.

Số lượng đại lý lớn và không có kết nối trực tiếp với nhau khiến cho các cuộc tấn công ransomware LockBit có sự khác biệt đáng kể về chiến thuật, kỹ thuật cũng như quy trình. Điều này tạo ra rất nhiều thách thức cho các tổ chức, doanh nghiệp đang nỗ lực duy trì an ninh mạng và an toàn hệ thống khỏi mối đe dọa từ ransomware.

2. Cách thức tấn công

Các cuộc tấn công của ransomware LockBit rất đa dạng về chiến thuật, kỹ thuật cũng như quy trình nhưng nhìn chung, chúng đều có một vài điểm nổi bật sau:

• Cơ chế tự lây lan trong hệ thống mà không cần các thao tác điều hướng thủ công
• Nhắm mục tiêu cụ thể thay vì lây lan rải rác như các spam malware
• Đánh lừa hệ thống bảo mật và phòng thủ bằng cách lợi dụng các phần mềm miễn phí, các công cụ nguồn mở phổ biến (như PowerShell, Metaslpoit, Netscan và Cobalt Strike) để do thám, thâm nhập hệ thống và ẩn tệp thực thi mã hóa bằng cách ngụy trang nó thành định dạng tệp ảnh .PNG
• Duy trì sự tồn tại trên mạng thông qua nhiều máy tính bị nhiễm
• Truy cập vào các tài khoản đặc quyền cao nhất

Quy trình của một cuộc tấn công mã hóa LockBit

B1: Khai thác điểm yếu của hệ thống.

Như nhiều loại mã độc phổ biến khác, LockBit xâm nhập các mạng mục tiêu bằng cách khai thác một dịch vụ bị cấu hình sai, đặc biệt là một cổng RDP (Remote Desktop Protocol) được mở công khai. Các phương thức truyền thống hơn như email lừa đảo hay tấn công brute force cũng được sử dụng triệt để.

B2: Xâm nhập sâu hơn để thiết lập những yếu tố cần thiết cho một cuộc tấn công.

Từ giai đoạn này, LockBit được lập trình để hoạt động một cách độc lập mà không cần sự can thiệp thủ công từ kẻ tấn công. Từ quyền truy cập đã có sẵn, thông qua chuyển động ngang, chúng bắt mở rộng phạm vi tiếp cận và leo thang đặc quyền giúp chúng có thể di chuyển tự do hơn trong mạng. Trong giai đoạn này, tập lệnh của LockBit cũng sẽ cố gắng vô hiệu hóa các biện pháp bảo mật và bất kỳ cơ sở hạ tầng nào khác có thể cho phép khôi phục hệ thống nhằm gia tăng sức ép lên nạn nhân.

Các nhà nghiên cứu cũng quan sát được LockBit sử dụng Ngrok – một reverse proxy cho phép kẻ tấn công tạo đường hầm (tunel) tới các máy chủ phía sau tường lửa. Việc thực thi Ngrok giúp tin tặc có thể truy cập mạng từ xa, ngay cả khi vector lây nhiễm ban đầu sau đó được vá hoặc loại bỏ.

B3: Triển payload mã độc.

Sau khi các tác nhân đe dọa đã được chuẩn bị sẵn sàng cho cuộc tấn công, LockBit sẽ triển khai phần mềm ransomware để mã hóa các tập tin của nạn nhân đồng thời sao chép dữ liệu quan trọng về máy chủ của chúng. Khi đã chiếm được một hệ thống, chúng sẽ tiếp tục lây lan sang bất cứ máy tính nào trong mạng mục tiêu mà chúng có thể kết nối tới bằng cách thực thi mã độc Neshta.

Khi quá trình mã hóa đã hoàn tất, LockBit sẽ thay đổi hình nền máy tính thành thông báo đòi tiền chuộc đặc trưng và để lại thông tin trong một ghi chú có tiêu đề “Restore-My-Files.txt”. Trực tiếp liên hệ với hacker là hành động không được khuyến khích bởi việc này tiềm ẩn rất nhiều rủi ro lừa đảo.

3. Tiến hóa để nhắm tới những mục tiêu lớn hơn

Các dấu mốc phát triển của dòng mã độc LockBit:

• 9/2019: Ransomware ABCD

LockBit lần đầu tiên được phát hiện với tên gọi ransomware ABCD.

• 1/2020: LockBit

Cái tên LockBit lần đầu tiên xuất hiện trên một forum của tội phạm mạng sử dụng tiếng Nga và gây chú ý với khả năng triển khai quá trình mã hóa chỉ trong chưa đầy 5 phút. Tuy nhiên, phiên bản này không có khác biệt nào đáng kể so với bản gốc. Biến thể này sử dụng những công cụ như Windows PowerShell and Server Message Bock để hỗ trợ phát tán mã độc.

• 6/2021: LockBit 2.0 (LockBit Red)

Ở phiên bản này, tốc độ decode của LockBit được cải thiện đáng kể. LockBit 2.0 cũng có khả năng tự động mã hóa các domain Windows bằng cách khai thác các chính sách Active Directory và vô hiệu hóa Microsoft Defender. LockBit 2.0 cũng tạo ra một ứng dụng có tên “StealBit” – một công cụ được tích hợp để đánh cắp dữ liệu trên máy tính mục tiêu. Cũng trong năm 2021, LockBit 2.0 đã tuyên bố đưa vào một biến thể phụ nhắm đến máy chủ Linux và ESXi có tên “Linux-ESXI Locker Verion 1.0”.

• 3/2022: LockBit 3.0 (LockBit Black)

Tiếp tục xu hướng tăng tốc độ mã hóa để tránh bị hệ thống bảo mật phát hiện, LockBit 3.0 sử dụng thêm các kỹ thuật chống phân tích, thực thi chỉ bằng mật khẩu và tăng cường dòng lệnh. Biến thể này được nhận xét là có điểm tương đồng với ransomware BlackMatter và Alphv (còn gọi là BlackCat).

• 1/2023: LockBit Green

LockBit Green sử dụng khá nhiều dòng lệnh giống với ransomware Conti. Đây là một biến thể mã độc tiêu chuẩn, nhắm vào môi trường Windows.

• 4/2023: LockBit for Mac

Trình mã hóa ransomware LockBit nhắm mục tiêu macOS đã được phát hiện trên VirusTotal. Tệp nhị phân dường như là phiên bản 1.2 của mã độc “Linux-ESXI Locker”. Mặc dù không gây ra mối đe dọa đáng kể ở trạng thái hiện tại, nhưng sự tồn tại của tệp nhị phân macOS LockBit cho thấy băng nhóm này đang phát triển phần mềm đôc hại để có thể tiếp cận nhiều hệ điều hành khác ngoài Windows.

4. Cách phòng chống ransomware LockBit

Với thủ đoạn tống tiền kép, ransomware LockBit là mối đe dọa nghiêm trọng với mọi tổ chức, doanh nghiệp. Để bảo vệ bản thân khỏi nguy cơ trở thành nạn nhân của LockBit, hãy tham khảo một vài cách thức tăng cường an ninh hệ thống dưới đây:

• Sử dụng mật khẩu mạnh

Các tài khoản có mật khẩu quá đơn giản hoặc dễ đoán thường là mục tiêu đầu tiên của những kẻ tấn công. Một mật khẩu mạnh cần đáp ứng các yếu tố: độ dài, mức độ đa dạng ký tự, quy luật riêng.

• Kích hoạt xác thực đa yếu tố

Xác thực đa yếu tố có thể bao gồm các biện pháp như sinh trắc học hoặc trình xác thực khóa USB vật lý. Phương pháp này sẽ giúp ngăn chặn các cuộc tấn công brute force.

• Đánh giá phân quyền người dùng

Cần chú ý đặc biệt tới quyền truy cập của người dùng endpoint và các tài khoản IT. Tên miền web, các dịch vụ online meeting và cơ sở dữ liệu doanh nghiệp đều phải được bảo mật.

• Rà soát và loại bỏ các tài khoản người không còn được sử dụng

Các tài khoản cũ không còn được sử dụng của những nhân viên đã nghỉ việc có thể là điểm yếu tiềm ẩn trong hệ thống.

• Đảm bảo cấu hình của hệ thống tuân thủ tất cả quy trình bảo mật

Việc đánh giá quy trình vận hành của hệ thống có thể tốn nhiều thời gian nhưng cần phải được thực hiện định kỳ để hệ thống luôn được cập nhật trước các mối đe dọa an ninh mạng mới nhất.

• Sao lưu đầy đủ, định kỳ và đảm bảo an toàn cho các bản sao lưu

Khi sự cố xảy ra, các bản sao lưu có giá trị là cách tốt nhất giúp tổ chức, doanh nghiệp có thể ứng phó với tình huống, giúp hạn chế tối đa việc sản xuất, kinh doanh bị gián đoạn. Các bản sao lưu nên được mã hóa và không thể thay đổi (không thể sửa đổi hoặc xóa). Các dữ liệu nhạy cảm nên được lưu trữ, sao lưu ở một hệ thống riêng biệt và hạn chế tối đa quyền truy cập.

• Giải pháp đảm bảo an ninh mạng toàn diện cho hệ thống

Mặc dù LockBit có thể cố gắng vô hiệu hóa các biện pháp bảo vệ hệ thống nhưng phần mềm bảo vệ an ninh mạng sẽ giúp bạn nắm được các lượt tải xuống bằng tính năng bảo vệ theo thời gian thực. Các phương án kiểm soát từ vòng ngoài cũng nên được cân nhắc, ví dụ như: triển khai các sandbox để bảo vệ hệ thống khỏi các phần mềm độc hại có nguồn gốc từ trình duyệt web, hệ thống lọc email khả nghi và chặn các địa chỉ IP đáng ngờ tại tường lửa…

• Phân đoạn network

Phân đoạn network giúp ngăn chặn sự lây lan của ransomware bằng cách kiểm soát lưu lượng và quyền truy cập giữa các subnetwork, hạn chế các chuyển động ngang hàng.

HTI Services cung cấp Dịch vụ Tư vấn giải mã dữ liệu bị mã hóa được thực hiện bởi những chuyên gia đã có nhiều năm kinh nghiệm trong lĩnh vực Pháp y kỹ thuật số điện tử, Bảo mật dữ liệu, Điều tra tội phạm công nghệ cao.

Liên hệ Hotline: 0928.765.688 để được tư vấn chi tiết.