INC ransomware đã phát triển từ một mối đe dọa mới nổi trở thành một trong những chiến dịch ransomware nguy hiểm nhất trên toàn cầu. Khởi đầu là một nhóm tội phạm mới nổi vào giữa năm 2023, INC đã nhắm mục tiêu hơn 800 nạn nhân trên toàn thế giới, đưa nó vào nhóm các nhóm ransomware hàng đầu trong năm nay. Nghiên cứu về INC ransomware cho thấy một sự trưởng thành đáng kể về kỹ thuật.
Chiến lược Ransomware-as-a-Service (RaaS) và Mục tiêu Mở rộng
Nhóm này hoạt động theo mô hình Ransomware-as-a-Service (RaaS), tuyển dụng các đối tác và cung cấp cho họ các công cụ sẵn sàng để thực hiện các cuộc tấn công quy mô lớn. Mối đe dọa đã tiến hóa thông qua một luồng nâng cấp kỹ thuật liên tục, khiến việc phát hiện trở nên khó khăn hơn và có khả năng nhắm mục tiêu vào nhiều loại nạn nhân hơn.
Ban đầu, các lĩnh vực y tế và giáo dục là những mục tiêu sớm, nhưng nhóm đã mở rộng sang các dịch vụ pháp lý, sản xuất, xây dựng và công nghệ. Việc nhắm mục tiêu rộng rãi này phản ánh sự chuyển đổi có chủ đích sang các ngành công nghiệp chịu áp lực pháp lý và có nhiều khả năng thanh toán tiền chuộc một cách nhanh chóng.
Nâng cấp Kỹ thuật và Công cụ Tấn công
Các nhà phân tích tại Acronis đã xác định những phát triển đáng chú ý trong bộ công cụ và cơ sở hạ tầng của nhóm, quan sát các cuộc xâm nhập gần đây cho thấy sự trưởng thành của INC. Acronis báo cáo rằng cả bộ mã hóa Windows và Linux/ESXi đều đã được viết lại hoàn toàn bằng Rust, cho thấy khoản đầu tư dài hạn vào khả năng tấn công đa nền tảng.
Nhóm cũng đã cập nhật công cụ đánh cắp thông tin đăng nhập của mình và tinh chỉnh chương trình đối tác để giúp người vận hành mới dễ dàng gia nhập hơn. Các bản cập nhật này nhằm mục đích tăng cường hiệu quả và khả năng tránh bị phát hiện của các cuộc tấn công.
Cơ chế Mã hóa Nâng cao với Rust
Một trong những cập nhật quan trọng nhất trong bộ công cụ của INC là việc viết lại các payload Windows và Linux/ESXi bằng Rust. Rust cho phép phát triển đa nền tảng gốc, giúp nhóm duy trì một cơ sở mã duy nhất trong khi nhắm mục tiêu vào các môi trường hệ thống hoàn toàn khác nhau. Sự thay đổi này cũng làm tăng độ phức tạp của phân tích, vì các tệp nhị phân Rust tạo ra các mẫu cấu trúc mà nhiều công cụ bảo mật cũ hơn gặp khó khăn trong việc xác định nhanh chóng.
Bộ mã hóa Windows được cập nhật hiện tự động kéo cài đặt kết nối cơ sở dữ liệu từ registry và sử dụng SQL Server trống để nhắm mục tiêu các triển khai sao lưu Veeam. Nó giới thiệu một quy trình mã hóa dự phòng cho các phiên bản Veeam mới hơn và định dạng đầu ra một cách sạch sẽ để phân tích tự động, giúp công cụ đáng tin cậy hơn trong sử dụng hoạt động.
Biến thể Linux/ESXi nhắm mục tiêu vào cơ sở hạ tầng VMware bằng cách xác định các ổ đĩa đang hoạt động và phân biệt giữa các ổ đĩa cố định cục bộ với các ổ đĩa chia sẻ mạng được ánh xạ có thể tháo rời để tối đa hóa tốc độ mã hóa. Cả hai bộ mã hóa đều sử dụng quy trình mã hóa một phần dựa trên kích thước tệp để tăng tốc độ xử lý, đồng thời bỏ qua các tệp hệ thống quan trọng. Điều này ngăn chặn máy chủ trở nên hoàn toàn không sử dụng được, đảm bảo ghi chú đòi tiền chuộc vẫn hiển thị cho nạn nhân.
Payload hoàn toàn có thể cấu hình thông qua các đối số dòng lệnh do người vận hành cung cấp, mang lại cho đối tác quyền kiểm soát chi tiết đối với từng cuộc tấn công.
Chiến thuật Di chuyển và Đánh cắp Thông tin
Ngoài các bộ mã hóa mới, các đối tác của INC sử dụng kết hợp các công cụ truy cập từ xa hợp pháp và phần mềm thương mại để di chuyển trong môi trường nạn nhân mà không gây ra cảnh báo. CobaltStrike, AnyDesk, ScreenConnect và TeamViewer đều xuất hiện trong các sự cố gần đây được cho là của INC, hòa lẫn vào hoạt động CNTT bình thường để tránh giám sát an ninh. Những kẻ tấn công cũng triển khai các công cụ như PsKill và các trình kết thúc tiến trình tùy chỉnh để tiêu diệt các biện pháp phòng vệ điểm cuối trước khi triển khai payload cuối cùng.
Đối với việc đánh cắp thông tin đăng nhập, nhóm sử dụng các tập lệnh đã sửa đổi nhắm mục tiêu các triển khai sao lưu Veeam mới hơn được bảo vệ bằng mã hóa DPAPI có muối. Dữ liệu bị đánh cắp được nén bằng 7-Zip trước khi được tải lên bộ nhớ do kẻ tấn công kiểm soát thông qua rclone.
Khuyến nghị và Chỉ số Xâm nhập (IoC)
Nhóm sử dụng phương pháp tống tiền kép, kết hợp mã hóa tệp với mối đe dọa công khai dữ liệu bị đánh cắp. Nạn nhân từ chối trả tiền sẽ đối mặt không chỉ với các hệ thống bị khóa mà còn với việc lộ các hồ sơ công ty nhạy cảm trên trang web rò rỉ dữ liệu của INC. Áp lực kép này tấn công cả các mối quan ngại về phục hồi hoạt động và các rủi ro pháp lý hoặc danh tiếng theo sau một vụ vi phạm dữ liệu công khai.
Kể từ khi nhà cung cấp mã nguồn của họ bị gián đoạn vào năm 2024, các họ ransomware liên quan như Lynx và Knoba đã xuất hiện với sự trùng lặp mã đáng kể liên quan đến INC. Điều này cho thấy cơ sở mã gốc đã tiếp tục lan rộng sang các hoạt động ransomware liền kề ngay cả khi INC đẩy mạnh các chiến dịch mới.
Các nhóm bảo mật được khuyên nên thực thi xác thực đa yếu tố trên tất cả các điểm truy cập từ xa, vá các lỗ hổng đã biết bao gồm CVE-2023-3519, CVE-2023-4966, CVE-2023-35082 và CVE-2024-4885, và duy trì các bản sao lưu ngoại tuyến được cách ly hoàn toàn khỏi mạng chính.
Chỉ số Xâm nhập (IoC)
Các chỉ số xâm nhập (IoC) sau đây đã được xác định liên quan đến hoạt động của INC ransomware:
- Tên miền/Địa chỉ IP:
- $”attack”$.$”com”$
- $”217.17.44.218″$
- $”104.168.196.10″$
- $”host.com”$
- $”159.69.114.90″$
- $”46.229.139.223″$
- Tên tệp/Đường dẫn:
- %APPDATA%\Microsoft\Windows\wsxm.exe
- %APPDATA%\Microsoft\Windows\wsxl.exe
- %APPDATA%\Microsoft\Windows\wsxm.exe
- %APPDATA%\Microsoft\Windows\wsx.exe
- %APPDATA%\Microsoft\Windows\ws.exe
- %APPDATA%\Microsoft\Windows\wsx.exe
- %TEMP%\
.exe - %TEMP%\
.exe - Registry Keys:
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\wsxm
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\wsxl
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\wsxm
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\wsx
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ws
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\wsx
Lưu ý: Địa chỉ IP và tên miền được làm mờ một cách cố ý (ví dụ: [.]). Cần nạp lại dấu chấm chỉ trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
