Một biến thể mã độc ransomware mới mang tên Osiris đã được phát hiện trong các cuộc tấn công nhằm vào một công ty dịch vụ thực phẩm lớn tại Đông Nam Á vào tháng 11 năm 2025. Các nhà nghiên cứu bảo mật đã xác định đây là một chủng phần mềm độc hại hoàn toàn mới, không liên quan đến họ ransomware cùng tên từng xuất hiện vào năm 2016.
Sự xuất hiện của Osiris ransomware đánh dấu một bổ sung đáng lo ngại vào danh sách các mối đe dọa mã hóa tinh vi, nhắm mục tiêu vào cơ sở hạ tầng quan trọng và hoạt động kinh doanh. Chiến dịch tấn công này thể hiện các chiến thuật tiên tiến, thường gắn liền với các tác nhân đe dọa có kinh nghiệm cao.
Phân Tích Kỹ Thuật Chiến Dịch Tấn Công Osiris Ransomware
Các kẻ tấn công đã khai thác một bộ công cụ đa dạng, kết hợp giữa các công cụ hệ thống hợp pháp và các tiện ích độc hại. Mục tiêu chính là xâm nhập vào mạng lưới của nạn nhân, thiết lập khả năng duy trì quyền truy cập, và cuối cùng là triển khai payload của Osiris ransomware.
Vụ việc này cho thấy rõ cách thức mà tội phạm mạng hiện đại đang hoạt động. Chúng lạm dụng các tiện ích Windows thông thường cùng với các phần mềm độc hại được phát triển tùy chỉnh. Mục đích là để tránh bị phát hiện xâm nhập và vượt qua các kiểm soát bảo mật truyền thống.
Chồng Lấn Kỹ Thuật Với Các Chiến Dịch Inc Ransomware
Các nhà phân tích của Symantec đã phát hiện và xác định Osiris ransomware sau khi tìm thấy các mẫu hành vi đáng ngờ. Những mẫu này có sự trùng khớp với các chiến dịch ransomware Inc đã được ghi nhận trước đây. Các nhà nghiên cứu đã chỉ ra những điểm chồng lấn về mặt kỹ thuật, bao gồm việc sử dụng tên tệp giống hệt cho các công cụ trích xuất thông tin đăng nhập và các phương pháp trích xuất dữ liệu tương tự.
- Trích xuất Thông Tin Đăng Nhập: Kẻ tấn công sử dụng Mimikatz, một công cụ nổi tiếng trong giới hacker để trích xuất thông tin xác thực từ bộ nhớ. Cụ thể, chúng sử dụng một biến thể của Mimikatz có tên tệp là
kaz.exe, một dấu hiệu nhận biết đã được các tác nhân Inc trước đây tận dụng. - Đánh Cắp Dữ Liệu: Trước giai đoạn mã hóa, kẻ tấn công đã sử dụng công cụ Rclone để đánh cắp dữ liệu nhạy cảm. Thông tin bị đánh cắp sau đó được tải lên các vùng lưu trữ đám mây Wasabi, một kỹ thuật phổ biến để gây áp lực đòi tiền chuộc (double extortion).
Để tìm hiểu sâu hơn về phân tích của Symantec và các mối đe dọa liên quan, bạn có thể tham khảo báo cáo threat intelligence chi tiết của họ.
Kỹ Thuật BYOVD Nâng Cao: Driver Độc Hại Poortry
Điểm đáng lo ngại nhất trong chiến dịch tấn công của Osiris ransomware là việc triển khai một driver độc hại mang tên Poortry, còn được biết đến là Abyssworker. Driver tùy chỉnh này được thiết kế để giả mạo phần mềm Malwarebytes hợp pháp, nhằm đánh lừa các quản trị viên hệ thống và phần mềm bảo mật.
Kẻ tấn công đã sử dụng driver Poortry trong một kiểu tấn công được gọi là Bring Your Own Vulnerable Driver (BYOVD). Kỹ thuật này cho phép chúng đạt được quyền truy cập cấp kernel, từ đó vô hiệu hóa các phần mềm bảo mật endpoint một cách hiệu quả.
Cơ Chế Hoạt Động Và Tác Động Của Kỹ Thuật BYOVD
Các cuộc tấn công kỹ thuật BYOVD đã trở thành một kỹ thuật phổ biến và được ưa thích đối với các nhà điều hành mã độc ransomware. Mục tiêu là nhằm vô hiệu hóa các biện pháp phòng thủ endpoint, loại bỏ rào cản chính trước khi triển khai mã độc.
Bằng cách triển khai các driver dễ bị tổn thương đã được ký số hợp lệ (hoặc giả mạo chữ ký), kẻ tấn công có thể leo thang đặc quyền hệ thống. Điều này cho phép chúng chấm dứt các tiến trình bảo mật quan trọng mà không gây ra nghi ngờ ngay lập tức, làm giảm đáng kể khả năng phát hiện xâm nhập.
Sự độc đáo của driver Poortry nằm ở chỗ kẻ tấn công đã tự phát triển driver này, thay vì chỉ dựa vào việc lạm dụng các lỗ hổng trong mã driver có sẵn. Điều này không chỉ cho thấy sự tinh vi về mặt kỹ thuật mà còn ngụ ý về khả năng phát triển phần mềm nội bộ cao của nhóm đe dọa đứng sau Osiris ransomware.
Công Cụ Hậu Khai Thác và Duy Trì Truy Cập Mạng
Để củng cố quyền kiểm soát và duy trì sự hiện diện trong mạng lưới nạn nhân, các tác nhân đe dọa còn triển khai một loạt công cụ bổ sung. Những công cụ này đóng vai trò quan trọng trong việc thu thập thông tin, di chuyển ngang và duy trì quyền truy cập cho Osiris ransomware.
- Netexec: Đây là một công cụ mạnh mẽ được sử dụng để thực thi lệnh từ xa (remote command execution) trên các hệ thống Windows. Nó cho phép kẻ tấn công điều khiển các máy chủ và máy trạm từ xa sau khi đã có quyền truy cập ban đầu.
- Netscan: Công cụ này được dùng để quét và khám phá mạng nội bộ. Bằng cách sử dụng Netscan, kẻ tấn công có thể lập bản đồ cấu trúc mạng, xác định các thiết bị hoạt động, dịch vụ mở và các mục tiêu tiềm năng khác để di chuyển ngang.
- Rustdesk sửa đổi: Một phiên bản sửa đổi của phần mềm quản lý và điều khiển từ xa mã nguồn mở Rustdesk. Nó được ngụy trang một cách khéo léo dưới dạng ứng dụng WinZip thông thường. Việc này giúp duy trì quyền truy cập từ xa một cách kín đáo, khó bị phát hiện bởi người dùng hoặc hệ thống giám sát.
Sự kết hợp của các công cụ này cho phép kẻ tấn công thực hiện một chuỗi tấn công toàn diện và duy trì quyền kiểm soát trong thời gian dài.
Cơ Chế Mã Hóa Đặc Trưng của Osiris Ransomware
Bản thân Osiris ransomware thực hiện mã hóa tệp bằng cách sử dụng một thuật toán mã hóa lai tiên tiến. Nó kết hợp giữa ECC (Elliptic Curve Cryptography) và AES-128-CTR. Điểm đáng chú ý là mỗi tệp bị mã hóa đều được gán một khóa riêng biệt, làm tăng đáng kể tính bảo mật của mã hóa và độ phức tạp trong nỗ lực giải mã nếu không có khóa chính.
Ảnh Hưởng Đến Khả Năng Khôi Phục Hệ Thống Của Nạn Nhân
Để tối đa hóa thiệt hại và ngăn chặn khả năng khôi phục dữ liệu, Osiris ransomware thực hiện nhiều hành động phá hoại hệ thống:
- Chấm Dứt Dịch Vụ Cơ Sở Dữ Liệu: Mã độc sẽ tìm và chấm dứt các tiến trình liên quan đến cơ sở dữ liệu. Điều này không chỉ làm gián đoạn hoạt động kinh doanh mà còn đảm bảo rằng các tệp cơ sở dữ liệu có thể bị mã hóa hoàn toàn.
- Chấm Dứt Dịch Vụ Sao Lưu: Các giải pháp sao lưu hệ thống và dữ liệu thường là tuyến phòng thủ cuối cùng. Osiris ransomware chủ động vô hiệu hóa các dịch vụ này để ngăn chặn việc khôi phục dữ liệu từ các bản sao lưu đã có.
- Xóa Bản Sao Chụp Ổ Đĩa (Volume Snapshots): Kẻ tấn công xóa bỏ các điểm khôi phục hệ thống (System Restore Points) và các bản sao lưu tức thời (Volume Shadow Copies). Hành động này khiến việc phục hồi dữ liệu từ các snapshot cục bộ trở nên bất khả thi, buộc nạn nhân phải trả tiền chuộc.
Những khả năng kỹ thuật này, kết hợp với một chuỗi tấn công tinh vi và sử dụng nhiều công cụ, cho thấy rằng những người điều hành đứng sau họ đe dọa Osiris ransomware mới này là những tác nhân có kinh nghiệm và tổ chức cao.
Chỉ Số Thỏa Hiệp (IoC)
Dựa trên phân tích kỹ thuật chi tiết, các chỉ số thỏa hiệp (Indicators of Compromise – IoC) sau đây có thể hỗ trợ các đội ngũ bảo mật trong việc phát hiện xâm nhập, điều tra và ứng phó với mã độc ransomware:
- Tên tệp công cụ trích xuất thông tin đăng nhập:
kaz.exe(biến thể Mimikatz). Việc tìm kiếm tệp này trên hệ thống có thể là dấu hiệu của sự thỏa hiệp. - Công cụ đánh cắp dữ liệu: Sự hiện diện hoặc hoạt động của Rclone trên các máy chủ quan trọng, đặc biệt là khi dữ liệu được đẩy ra các dịch vụ đám mây không xác định.
- Dịch vụ lưu trữ đám mây bị lạm dụng: Lượng dữ liệu lớn được tải lên các bucket của Wasabi cloud storage từ các máy chủ nội bộ không được ủy quyền.
- Tên driver độc hại: Các tệp driver có tên như
Poortry.syshoặcAbyssworker.sys, đặc biệt nếu chúng có chữ ký giả mạo của các nhà cung cấp phần mềm bảo mật như Malwarebytes. - Công cụ thực thi lệnh từ xa: Việc phát hiện các hoạt động bất thường liên quan đến công cụ Netexec, bao gồm các tiến trình con không mong muốn hoặc kết nối đến các máy chủ bên ngoài.
- Công cụ quét mạng: Hoạt động của Netscan trên mạng nội bộ, đặc biệt là từ các máy trạm hoặc máy chủ không được phép thực hiện quét.
- Phần mềm quản lý từ xa bị ngụy trang: Các phiên bản Rustdesk có tên tệp hoặc biểu tượng bất thường, hoặc được cài đặt trong các thư mục không chuẩn, đặc biệt nếu nó giả mạo thành WinZip hoặc các ứng dụng hợp pháp khác.
Việc giám sát chặt chẽ sự hiện diện của các tệp, tiến trình, kết nối mạng hoặc các hoạt động liên quan đến các chỉ số này là cực kỳ quan trọng. Nó giúp xác định và ngăn chặn kịp thời các cuộc tấn công của Osiris ransomware hoặc các mối đe dọa tương tự.
