Một biến thể mã độc ransomware mới có tên VECT 2.0 đang gây ra những lo ngại nghiêm trọng trong giới chuyên gia bảo mật. Lý do đáng báo động là ngay cả khi nạn nhân thanh toán tiền chuộc, công cụ giải mã của chính kẻ tấn công có thể không khôi phục hoàn toàn các tệp tin đã bị mã hóa.
Đây không phải là một lỗi điển hình liên quan đến hệ thống phòng thủ yếu kém hoặc lỗi của nạn nhân. Hư hại trong nhiều trường hợp đã được tích hợp trực tiếp vào thiết kế của mã độc ransomware, khiến nạn nhân phải đối mặt với các tệp bị hỏng và không thể phục hồi nguyên vẹn.
VECT 2.0: Tổng Quan Về Mã Độc Ransomware
VECT 2.0 là một mã độc ransomware chạy trên nền tảng Windows 64-bit, chuyên nhắm mục tiêu vào dữ liệu kinh doanh. Các loại tệp mục tiêu bao gồm tài liệu, PDF, kho lưu trữ, bản sao lưu, cơ sở dữ liệu và đĩa ảo.
Thay vì chỉ nhắm vào các loại tệp cụ thể, VECT 2.0 quét qua các đường dẫn có thể truy cập và bỏ qua một danh sách loại trừ ngắn. Điều này đồng nghĩa với việc một loạt các tệp quan trọng đều nằm trong phạm vi tấn công của chúng.
Mã độc ransomware này là một phần của một họ mã độc rộng lớn hơn, với các biến thể liên quan cũng được phát hiện dưới thương hiệu DEVMAN 3.0.
Cơ Chế Hoạt Động và Những Sai Lầm Nghiêm Trọng Trong Thiết Kế
Các nhà nghiên cứu tại Morphisec đã phân tích chi tiết một mẫu VECT 2.0 trên Windows, từ đó phát hiện ra cách thiết kế của mã độc ransomware này lại gây bất lợi cho việc phục hồi của nạn nhân.
Họ nhận thấy rằng VECT có thể khiến các tệp bị đổi tên, bị mã hóa một phần hoặc bị hỏng cấu trúc theo cách mà ngay cả công cụ phục hồi của chính kẻ tấn công cũng không thể khắc phục.
Morphisec đã báo cáo rằng lỗ hổng này vượt xa lỗi nonce-loss đã được Check Point Research ghi nhận trước đó. Để tìm hiểu thêm về phân tích này, bạn có thể tham khảo báo cáo chi tiết từ Morphisec: VECT Ransomware That Can’t Decrypt.
Quá Trình Đổi Tên Tệp Gây Nhầm Lẫn
Một trong những phát hiện đáng báo động nhất là VECT đổi tên tệp trước khi bắt đầu mã hóa. Mã độc ransomware này thêm phần mở rộng .vect trước, sau đó mới mở tệp để sửa đổi nội dung.
Điều này có nghĩa là một tệp có phần mở rộng .vect không nhất thiết đã được mã hóa hoàn toàn. Nó có thể là văn bản gốc hoặc chỉ bị thay đổi một phần.
Chi tiết này khiến việc phục hồi trở nên cực kỳ khó khăn, vì phần mở rộng không thể được dùng làm bằng chứng về những gì đã xảy ra với bất kỳ tệp nào.
Thiếu Siêu Dữ Liệu Quan Trọng Cho Phục Hồi
Mã độc ransomware VECT cũng không lưu trữ hầu như bất kỳ siêu dữ liệu nào bên cạnh các tệp đã mã hóa có thể hỗ trợ phục hồi. Nó chỉ thêm một phần đuôi 12-byte chứa nonce mã hóa cuối cùng của hoạt động.
Không có trường phiên bản, không có kích thước tệp gốc và không có thông tin khối dữ liệu nào được lưu trữ. Dấu vết tối giản này khiến bất kỳ công cụ giải mã nào cũng gần như không thể tái tạo chính xác những gì mã độc ransomware đã làm với từng tệp.
Mã Hóa Tệp Lớn Bị Lỗi Vĩnh Viễn
Đối với các tệp lớn hơn 128 KB, VECT chia nội dung thành bốn phần. Nó mã hóa một khối 32 KB ở đầu mỗi phần bằng bốn khóa khác nhau. Tuy nhiên, chỉ khóa cuối cùng được lưu vào đĩa khi quá trình kết thúc.
Điều đó có nghĩa là ba trong số bốn khối đã mã hóa vĩnh viễn không thể truy cập được bởi công cụ giải mã tích hợp. Dữ liệu cần thiết để đảo ngược chúng không bao giờ được giữ lại.
Sai Lệch Kích Thước Bộ Đệm Gây Hỏng Tệp
Morphisec cũng phát hiện ra sự không khớp về kích thước bộ đệm trong đường dẫn mã hóa một lần. Các tệp có kích thước từ 32 KB đến 128 KB có thể đi vào một đường dẫn mã nơi bộ đệm đích quá nhỏ so với dữ liệu đầu vào.
Tùy thuộc vào hành vi trong thời gian chạy, tệp có thể bị đổi tên mà không mã hóa, bị lỗi giữa chừng hoặc kết thúc ở trạng thái không nhất quán mà không thể sửa chữa một cách sạch sẽ.
Điều Kiện Chạy Đua (Race Condition) Với Bộ Đệm Chia Sẻ
VECT sử dụng nhiều luồng làm việc (worker threads) để xử lý các tệp cùng một lúc. Tuy nhiên, các bộ đệm mà các luồng này dựa vào để đọc đường dẫn tệp và nội dung lại được chia sẻ toàn cầu giữa tất cả các luồng.
Khi hai luồng xử lý các tệp khác nhau cùng một lúc, một luồng có thể ghi đè lên dữ liệu đường dẫn hoặc nội dung mà một luồng khác vẫn đang sử dụng tích cực. Điều kiện chạy đua này có nghĩa là một sự cố VECT duy nhất có thể tạo ra các tệp ở nhiều trạng thái rất khác nhau.
Một tệp có thể chỉ bị đổi tên, một tệp khác bị mã hóa hoàn toàn và tệp thứ ba bị sửa đổi một phần theo cách mà không bên nào có thể đảo ngược hoàn toàn.
Một công cụ giải mã chung thường tuân theo các giả định của kẻ tấn công về định dạng tệp, nhưng việc triển khai của VECT liên tục vi phạm những giả định đó.
Tác Động Nghiêm Trọng Đến Khả Năng Phục Hồi Dữ Liệu
Những sai sót trong thiết kế của mã độc ransomware VECT 2.0 dẫn đến một rủi ro bảo mật đáng kể cho các nạn nhân. Ngay cả khi nạn nhân quyết định trả tiền chuộc, khả năng phục hồi dữ liệu hoàn chỉnh vẫn bị đe dọa nghiêm trọng. Đây là một kịch bản tồi tệ hơn nhiều so với các cuộc tấn công ransomware thông thường.
Các tệp có thể bị hỏng vĩnh viễn, khiến doanh nghiệp mất mát dữ liệu quan trọng và chịu thiệt hại tài chính lớn. Khả năng phục hồi không thể đoán trước tạo ra một thách thức lớn trong việc lập kế hoạch ứng phó sự cố.
Chỉ Số Thỏa Hiệp (Indicators of Compromise – IoCs)
Báo cáo của Morphisec không liệt kê các hàm băm tệp cụ thể, địa chỉ IP, miền C2 hoặc URL như các IoC truyền thống. Dấu hiệu duy nhất liên tục liên quan đến hoạt động của VECT 2.0 là phần mở rộng tệp mà nó thêm vào trong quá trình xử lý.
Chỉ số này rất quan trọng cho các hoạt động săn tìm mối đe dọa (threat hunting) và phân loại sự cố (triage).
- Phần mở rộng tệp:
.vect
Chiến Lược Phòng Ngừa và Bảo Vệ Hệ Thống
Với những rủi ro bảo mật đáng báo động này, các đội ngũ an ninh mạng được khuyến khích mạnh mẽ triển khai các giải pháp ưu tiên phòng ngừa. Mục tiêu là ngăn chặn mã độc ransomware trước khi quá trình mã hóa bắt đầu.
Giải pháp bảo vệ điểm cuối dựa trên hành vi (behavioral endpoint protection) phù hợp hơn nhiều để phát hiện mối đe dọa này sớm trong chuỗi tấn công.
Khả năng phát hiện xâm nhập sớm là yếu tố then chốt. Một khi các tệp đã bị VECT xử lý, ngay cả việc trả tiền chuộc cũng không đảm bảo phục hồi hoàn toàn.
