Hai nhóm ransomware hoạt động tích cực là Interlock và Rhysida có nhiều điểm chung hơn so với suy nghĩ trước đây. Nghiên cứu mới cho thấy cả hai nhóm đều chia sẻ một backdoor có tên Supper, và nhiều công cụ độc hại của chúng dường như phát triển từ cùng một mã nguồn gốc, một dấu hiệu đáng quan ngại về mối đe dọa mạng.
Phân tích mối liên hệ giữa Interlock và Rhysida
Theo các nhà phân tích của IBM X-Force, Interlock (được theo dõi nội bộ là Hive0163) đã thực hiện các chiến dịch ransomware từ tháng 9 năm 2024. Khác với nhiều hoạt động ransomware khác, Interlock không cung cấp công cụ cho các bên thứ ba.
Thay vào đó, nhóm này sử dụng một kho vũ khí tùy chỉnh bao gồm NodeSnake, InterlockRAT và trình tải xuống JunkFiction. Rhysida, mặt khác, đã hoạt động từ ít nhất tháng 5 năm 2023 và hoạt động như một nền tảng Ransomware-as-a-Service (RaaS).
Phát hiện của IBM X-Force
Báo cáo của IBM X-Force, được chia sẻ với Cyber Security News (CSN), đã tiết lộ những kết nối mạnh mẽ giữa hai nhóm trong cuộc điều tra kéo dài hai năm. Phát hiện rõ ràng nhất là việc cả hai nhóm cùng sử dụng Supper backdoor, còn được biết đến với tên SocksShell hoặc WINDYTWIST.
Supper backdoor đã xuất hiện trong các vụ việc được xác nhận liên quan đến cả hai hoạt động ransomware. Tính đến cuối năm 2025, mỗi nhóm đã tuyên bố có khoảng 80 nạn nhân, phần lớn tập trung tại Hoa Kỳ. Các lĩnh vực bị ảnh hưởng nặng nề nhất bao gồm chăm sóc sức khỏe, giáo dục và chính phủ.
Việc hai hoạt động ransomware riêng biệt chia sẻ một backdoor riêng tư cho thấy khả năng có một nhóm phát triển chung hoặc một thỏa thuận có kiểm soát, nơi mã được bán giữa các đối tượng đáng tin cậy. Cisco Talos trước đây đã đánh giá, với độ tin cậy thấp, rằng Interlock có thể xuất phát từ các đối tượng hoặc nhà phát triển của Rhysida. Các phát hiện của IBM X-Force củng cố thêm giả thuyết này, với phân tích mã tiết lộ những điểm tương đồng về cấu trúc trên nhiều họ phần mềm độc hại thuộc về cả hai nhóm.
Khám phá chi tiết về Supper Backdoor
Supper backdoor là trọng tâm của nghiên cứu này. Lần đầu tiên được nhìn thấy vào tháng 7 năm 2024, Supper có trước cả NodeSnake và InterlockRAT. Nó ban đầu được tìm thấy được bảo vệ bởi JunkFiction crypter, cùng loại mà Interlock sử dụng cho các công cụ của mình.
Supper duy trì quyền truy cập bền vững vào hệ thống nạn nhân, tạo các đường hầm được mã hóa và chạy các lệnh shell từ xa. Tất cả các khả năng này phản ánh chặt chẽ InterlockRAT. Điều đặc biệt quan trọng là cách các công cụ này hoạt động bên trong. IBM X-Force nhận thấy InterlockRAT và Supper chia sẻ cấu trúc lệnh gần như giống hệt nhau, các định dạng tương tự để đăng ký với máy chủ điều khiển và phương thức tự xóa giống nhau.
Một DLL nhúng được sử dụng bởi các phiên bản Supper cũ hơn để tự xóa khỏi đĩa là thành phần chính xác giống với thành phần được tìm thấy bên trong binary của Interlock ransomware, được kích hoạt khi có lệnh tự xóa sau khi mã hóa tệp.
NodeSnake, hoạt động như trình tải giai đoạn đầu trong hầu hết các trường hợp nhiễm Interlock, chia sẻ logic mã và địa chỉ máy chủ với cả trình tải xuống JunkFiction và InterlockRAT. Một backdoor mới hơn dựa trên Python có tên ModeloRAT, được triển khai bởi mạng phân phối lưu lượng TAG-124 liên quan đến Interlock, còn mở rộng cấu trúc mã của NodeSnake và sử dụng các byte xác thực mạng giống hệt.
Những điểm tương đồng này mạnh mẽ cho thấy các công cụ được xây dựng bởi cùng các nhà phát triển. Đây là một ví dụ điển hình về việc các nhóm có liên quan đến lỗ hổng zero-day có thể chia sẻ hoặc tái sử dụng mã nguồn.
Phương thức tấn công và phát hiện xâm nhập
Cả hai nhóm đều dựa nhiều vào các trình cài đặt phần mềm bị trojan hóa để xâm nhập vào mạng lưới nạn nhân. Các trang tải xuống giả mạo cho các công cụ như Microsoft Teams được thiết kế để trông hợp pháp, lừa người dùng chạy các tệp độc hại.
Các trình cài đặt này được ký bằng các chứng chỉ ký mã gian lận được mua từ các diễn đàn tội phạm mạng, giúp chúng vượt qua các kiểm tra bảo mật trên hầu hết các hệ thống. Sau khi xâm nhập, kẻ tấn công sử dụng các công cụ như AZcopy, Advanced Port Scanner và các công cụ đánh cắp thông tin xác thực trước khi triển khai ransomware. IBM X-Force cũng tìm thấy một chính sách Windows Defender Application Control tùy chỉnh trên các máy chủ dàn dựng của Interlock, được xây dựng để vô hiệu hóa Defender và các công cụ điểm cuối trong khi cho phép phần mềm độc hại của nhóm chạy tự do.
Các tổ chức nên giám sát các tệp thực thi được ký một cách bất thường, theo dõi việc sử dụng phần mềm quản lý từ xa không mong muốn và coi các lời nhắc trình duyệt theo kiểu ClickFix là dấu hiệu cảnh báo ưu tiên cao. Việc phát hiện sớm các hoạt động bất thường này là chìa khóa để giảm thiểu thiệt hại do cuộc tấn công mạng gây ra.
Các chỉ số xâm nhập (IoCs)
Lưu ý: Địa chỉ IP và tên miền được làm dịu một cách cố ý (ví dụ: [.] ) để ngăn chặn việc phân giải hoặc siêu liên kết ngẫu nhiên. Chỉ làm dịu lại trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- IP Addresses: 185[.]220[.]104[.]130, 192[.]108[.]249[.]155
- Domains: winupdate[.]com, msteamsupdate[.]com, discordapp[.]com
- File Hashes:
- SHA256: 29e9f0001a454690f8c0335020300355e276217e537d38e4a80902125270273b
- SHA256: 6f8a73833995655d84e4d3a7f7032f309649d11d99708d1b85139318707f5624
- SHA256: 1c6b44019c8760683567136b10f88c5d4a05b5857d0355f3a57a12c8b4d37c31
Nghiên cứu này nhấn mạnh tầm quan trọng của việc theo dõi các biến thể ransomware mới và các mối liên hệ giữa chúng. Việc hiểu rõ các kỹ thuật, công cụ và quy trình (TTPs) được chia sẻ giữa các nhóm ransomware khác nhau giúp các chuyên gia bảo mật xây dựng các biện pháp phòng ngừa và phát hiện hiệu quả hơn.
