Một mối đe dọa mạng mới nguy hiểm mang tên DynoWiper đã xuất hiện, nhắm mục tiêu vào các công ty năng lượng tại Ba Lan. Mã độc này thực hiện các cuộc tấn công mạng phá hoại được thiết kế để xóa vĩnh viễn dữ liệu quan trọng.
Phần mềm độc hại DynoWiper được phát hiện lần đầu vào tháng 12 năm 2025 khi các nhà nghiên cứu bảo mật phát hiện việc triển khai tại một công ty năng lượng Ba Lan. Không giống như các loại mã độc tống tiền (ransomware) thông thường mã hóa tập tin để đòi tiền chuộc, DynoWiper hoạt động với một mục đích phá hủy duy nhất.
Nó không tìm kiếm lợi ích tài chính, mà thay vào đó tập trung vào việc gây ra thiệt hại tối đa bằng cách hủy hoại dữ liệu. Mã độc này được thiết kế để ghi đè và phá hủy dữ liệu trên các mạng bị xâm nhập, khiến các hệ thống hoàn toàn không thể khởi động.
Cuộc tấn công này cho thấy một sự leo thang đáng lo ngại trong các mối đe dọa mạng chống lại cơ sở hạ tầng quan trọng, đặc biệt là trong lĩnh vực năng lượng.
Triển khai và Ngăn chặn Ban đầu của DynoWiper
DynoWiper được triển khai thông qua nhiều biến thể, bao gồm các tệp tin có tên schtask.exe, schtask2.exe và một tệp thực thi cập nhật. Tất cả các biến thể này đều được phát hành vào ngày 29 tháng 12 năm 2025.
Những kẻ tấn công đã thực hiện nhiều nỗ lực để thực thi mã độc sau những thất bại ban đầu. Chúng đã sửa đổi mã độc mỗi lần nhằm vượt qua các biện pháp phòng thủ bảo mật của hệ thống.
Các nỗ lực triển khai DynoWiper đã được thực hiện nhiều lần, với những kẻ tấn công liên tục điều chỉnh mã độc. Mục tiêu là để vượt qua các lớp bảo vệ và đảm bảo khả năng thực thi thành công trên các hệ thống mục tiêu.
Tuy nhiên, sản phẩm phát hiện và phản ứng điểm cuối (EDR) được cài đặt đã chặn thành công quá trình thực thi. Điều này đã hạn chế đáng kể thiệt hại gây ra bởi DynoWiper, chứng tỏ vai trò quan trọng của các giải pháp bảo mật nâng cao.
Phân tích Kỹ thuật và Liên kết Mã độc
Các nhà phân tích của WeLiveSecurity đã xác định những điểm tương đồng đáng chú ý giữa DynoWiper và một mã độc wiper đã biết trước đó tên là ZOV. Mã độc ZOV đã từng được sử dụng để tấn công các mục tiêu ở Ukraine trước đây.
Nhóm nghiên cứu bảo mật đã quy kết DynoWiper cho Sandworm, một nhóm tấn công khét tiếng. Nhóm này nổi tiếng với việc thực hiện các cuộc tấn công mạng phá hoại chống lại các công ty năng lượng, đặc biệt là trong các chiến dịch gây rối và làm suy yếu cơ sở hạ tầng.
Sandworm, thường được liên kết với Unit 74455, có lịch sử lâu dài trong việc nhắm mục tiêu vào cơ sở hạ tầng quan trọng. Các hoạt động của nhóm này đã được ghi nhận rộng rãi khắp Đông Âu, làm tăng mức độ nghiêm trọng của mối đe dọa mạng này.
Cơ chế Phá hủy Ba Giai đoạn của DynoWiper
Mã độc DynoWiper hoạt động thông qua một quy trình phá hủy ba giai đoạn đã được tính toán kỹ lưỡng. Trong giai đoạn đầu tiên, DynoWiper tìm kiếm đệ quy các tệp trên tất cả các ổ đĩa cố định và di động.
Mã độc này loại trừ một số thư mục hệ thống nhất định để duy trì chức năng hệ thống tạm thời. Điều này cho phép mã độc tiếp tục hoạt động mà không gây ra lỗi hệ thống ngay lập tức trong quá trình phá hủy dữ liệu.
Wiper sử dụng một bộ đệm 16 byte chứa dữ liệu ngẫu nhiên để ghi đè lên nội dung tệp. Các tệp có kích thước nhỏ hơn 16 byte sẽ bị ghi đè hoàn toàn.
Đối với các tệp lớn hơn, DynoWiper sẽ phá hủy các phần nội dung của chúng bằng cách ghi đè một phần. Phương pháp này giúp tăng tốc quá trình phá hủy dữ liệu, tối ưu hóa hiệu quả của cuộc tấn công trong việc gây ra thiệt hại không thể phục hồi.
Phương thức Xâm nhập và Khai thác Quyền Quản trị
Cơ chế lây nhiễm của DynoWiper cho thấy khả năng thâm nhập mạng tinh vi. Những kẻ tấn công đã khai thác chính sách nhóm Active Directory (Active Directory Group Policy) để phân phối mã độc trên toàn bộ mạng bị xâm nhập.
Việc khai thác Active Directory Group Policy là một phương pháp hiệu quả để phát tán mã độc trên diện rộng, cho phép kẻ tấn công kiểm soát và thực thi mã độc trên nhiều máy tính trong mạng cùng một lúc. Điều này đòi hỏi kẻ tấn công phải có đặc quyền quản trị viên miền (Domain Admin privileges), một bằng chứng cho thấy khả năng xâm nhập sâu và giành quyền kiểm soát cấp cao trong môi trường mục tiêu.
Mã độc được đặt trong một thư mục mạng chia sẻ, cho phép thực thi đồng thời trên nhiều máy. Điều này tối đa hóa phạm vi và tốc độ lây lan của DynoWiper, gây ra thiệt hại đồng bộ trên toàn bộ hạ tầng.
Các Hoạt động Tiền Tấn công và Thu thập Thông tin
Trước khi triển khai wiper DynoWiper, những kẻ tấn công đã sử dụng các công cụ đánh cắp thông tin đăng nhập như Rubeus. Công cụ này thường được sử dụng để thao tác hoặc lạm dụng giao thức Kerberos, giúp kẻ tấn công giành quyền truy cập trái phép.
Chúng cũng đã cố gắng kết xuất bộ nhớ quy trình LSASS (Local Security Authority Subsystem Service) bằng cách sử dụng Trình quản lý Tác vụ Windows (Windows Task Manager). Việc cố gắng kết xuất bộ nhớ quy trình LSASS là một kỹ thuật phổ biến để lấy cắp thông tin đăng nhập đã băm hoặc rõ ràng từ bộ nhớ.
Ngoài ra, chúng còn triển khai một công cụ proxy SOCKS5 có tên là rsocx. Công cụ này được dùng để thiết lập các kết nối ngược (reverse connections) với các máy chủ bên ngoài, tạo điều kiện cho việc điều khiển từ xa và trích xuất dữ liệu tiềm năng một cách ẩn danh.
Cách tiếp cận đa giai đoạn này chứng tỏ sự lập kế hoạch và trinh sát kỹ lưỡng trước khi triển khai tải trọng phá hủy cuối cùng. Điều này cho thấy sự chuyên nghiệp và quyết tâm cao của nhóm tấn công.
Biện pháp Phòng ngừa và Tăng cường An ninh mạng
Để đối phó với những mối đe dọa mạng như DynoWiper, các tổ chức trong lĩnh vực năng lượng cần triển khai các biện pháp bảo mật nghiêm ngặt. Điều này bao gồm kiểm soát truy cập chặt chẽ, phân đoạn mạng và giám sát liên tục.
Việc giám sát liên tục giúp phát hiện các nỗ lực xâm nhập tinh vi trước khi mã độc wiper có thể được triển khai. Tăng cường an ninh mạng là yếu tố then chốt để bảo vệ cơ sở hạ tầng quan trọng khỏi các cuộc tấn công phá hoại.
Các khuyến nghị chính bao gồm:
- Kiểm soát truy cập nghiêm ngặt: Triển khai mô hình đặc quyền tối thiểu (Least Privilege) và xác thực đa yếu tố (MFA) để hạn chế tối đa quyền truy cập và ngăn chặn leo thang đặc quyền trái phép.
- Phân đoạn mạng: Chia nhỏ mạng thành các vùng bảo mật riêng biệt, cô lập các hệ thống quan trọng để hạn chế sự lây lan ngang (lateral movement) của mã độc nếu một phần mạng bị xâm nhập.
- Giám sát liên tục: Sử dụng các hệ thống EDR (Endpoint Detection and Response) và SIEM (Security Information and Event Management) để theo dõi hành vi bất thường và cảnh báo sớm về các hoạt động khả nghi trong thời gian thực.
- Cập nhật hệ thống: Thường xuyên áp dụng các bản vá bảo mật và cập nhật phần mềm để khắc phục các lỗ hổng đã biết, giảm thiểu bề mặt tấn công và điểm yếu tiềm tàng.
- Sao lưu và phục hồi: Thiết lập quy trình sao lưu dữ liệu định kỳ, lưu trữ bản sao lưu ngoại tuyến (offline) và kiểm tra khả năng phục hồi để đảm bảo hoạt động kinh doanh liên tục sau sự cố và giảm thiểu thiệt hại từ các cuộc tấn công phá hoại dữ liệu.
Tăng cường an ninh mạng thông qua các biện pháp này là cần thiết để bảo vệ cơ sở hạ tầng quan trọng khỏi những mối đe dọa mạng hủy diệt. Nghiên cứu của WeLiveSecurity cung cấp phân tích kỹ thuật chuyên sâu về DynoWiper và các điểm tương đồng với mã độc ZOV. Độc giả có thể tham khảo thêm chi tiết tại phân tích của ESET Research.
