AiLock Ransomware: Khám Phá Cơ Chế Mã Hóa Lai và Kỹ Thuật Né Tránh Tinh Vi

07/07/2025
5 mins read

Tổ chức ransomware AiLock, được Zscaler phát hiện lần đầu vào tháng 3 năm 2025, đã phát triển mạnh mẽ trên thị trường ransomware-as-a-service (RaaS), tạo ra mối đe dọa đáng kể cho các chuyên gia an ninh mạng. Tổ chức này hoạt động với một cấu trúc tinh vi, sử dụng cả trang web đàm phán để đòi tiền chuộc từ nạn nhân và trang web rò rỉ dữ liệu (Data Leak Site – DLS) để đe dọa phát tán dữ liệu đã bị đánh cắp.

Tính đến ngày 4 tháng 7 năm 2025, đã có năm tổ chức trở thành nạn nhân của nhóm này, và dự kiến sẽ có thêm nhiều nạn nhân được liệt kê trên DLS của chúng. Trung tâm Tình báo Đe dọa S2W đã tiến hành phân tích sâu các mẫu ransomware AiLock, tiết lộ các chi tiết kỹ thuật phức tạp, nhấn mạnh phương pháp tiếp cận tiên tiến của nhóm đối với việc mã hóa tệp và xâm phạm hệ thống.

Với cơ sở hạ tầng liên tục phát triển, thể hiện qua việc thay đổi các trang web đàm phán và DLS, AiLock đặt ra một mối đe dọa dai dẳng đòi hỏi sự giám sát chặt chẽ và các chiến lược phát hiện mạnh mẽ từ cộng đồng an ninh mạng.

Nội dung
Cơ chế Mã hóa và Kỹ thuật Né tránh của AiLock Ransomware
Cấu trúc Mã hóa Hai Luồng
Mô hình Mã hóa Lai Độc đáo
Kỹ thuật Che giấu và Xác minh Cấu hình
Tác động đến Hệ thống và Chiến thuật Vận hành
Phá hoại Hệ thống Toàn diện
Chiến thuật Phổ biến và Phòng ngừa
Chỉ số Thỏa hiệp (IOCs)

Cơ chế Mã hóa và Kỹ thuật Né tránh của AiLock Ransomware

Ransomware AiLock, được viết bằng C/C++, sử dụng cơ chế hai luồng (dual-threaded mechanism) để mã hóa tệp. Nó tận dụng I/O Completion Ports (IOCP), một kỹ thuật quản lý I/O hiệu quả trên Windows, để xử lý đồng thời nhiều hoạt động mã hóa, tối ưu hóa hiệu suất và tốc độ lây lan trên các hệ thống đa luồng.

Cấu trúc Mã hóa Hai Luồng

Quá trình mã hóa của AiLock được chia thành hai luồng chính:

  • Path Traversal Thread: Luồng này chịu trách nhiệm xây dựng bản đồ các tệp mục tiêu trên hệ thống. Nó thực hiện việc quét và liệt kê các tệp, đồng thời áp dụng các bộ lọc để bỏ qua các phần mở rộng và thư mục cụ thể (ví dụ: các tệp hệ thống quan trọng hoặc thư mục của chính ransomware), đảm bảo chỉ các tệp hợp lệ mới được xử lý để mã hóa.
  • Encryption Thread: Luồng này sau đó tiếp quản, xử lý quá trình mã hóa thực tế. Dựa trên một EncryptionState được định nghĩa trước, nó thực hiện mã hóa tệp, đảm bảo tính tuần tự và hiệu quả trong việc áp dụng thuật toán mã hóa.

Mô hình Mã hóa Lai Độc đáo

Điểm khác biệt của AiLock là mô hình mã hóa lai (hybrid encryption model) của nó. Ransomware này sử dụng kết hợp hai thuật toán mã hóa mạnh mẽ:

  • ChaCha20: Được sử dụng để mã hóa nội dung của tệp. Thuật toán này được chọn vì tốc độ và hiệu quả cao, đồng thời được tối ưu hóa cho các kiến trúc CPU khác nhau, cho phép mã hóa nhanh chóng một lượng lớn dữ liệu.
  • NTRUEncrypt: Được sử dụng để bảo mật siêu dữ liệu (metadata) của tệp, đặc biệt là khóa ChaCha20 được dùng để mã hóa nội dung tệp. Việc mã hóa khóa ChaCha20 bằng NTRUEncrypt giúp bảo vệ khóa mã hóa chính, làm cho việc giải mã trở nên cực kỳ khó khăn nếu không có khóa riêng của NTRUEncrypt, ngay cả khi nội dung tệp đã được mã hóa bằng ChaCha20.

Chiến lược mã hóa của AiLock cũng thay đổi tùy theo kích thước tệp nhằm tối đa hóa tác động trong thời gian ngắn nhất:

  • Mã hóa toàn bộ (full encryption): Áp dụng cho các tệp có kích thước nhỏ hơn 100MB.
  • Mã hóa một phần (partial encryption): Áp dụng cho các tệp lớn hơn, từ 100MB đến 1GB và thậm chí lớn hơn. Chiến lược này cho phép AiLock nhanh chóng vô hiệu hóa các tệp lớn, thường là các cơ sở dữ liệu, máy ảo hoặc tài liệu quan trọng, mà không cần mã hóa toàn bộ, tối đa hóa tác động phá hoại trong thời gian ngắn.

Sau khi mã hóa, các tệp bị ảnh hưởng sẽ được thêm phần mở rộng .AiLock. Một ghi chú đòi tiền chuộc có tiêu đề Readme.txt sẽ được đặt trong tất cả các thư mục bị mã hóa, cung cấp hướng dẫn cho nạn nhân về cách liên hệ với nhóm tấn công để trả tiền chuộc.

Kỹ thuật Che giấu và Xác minh Cấu hình

Để gây khó khăn cho việc phân tích và phát hiện, AiLock sử dụng nhiều kỹ thuật che giấu:

  • Che giấu chuỗi (String Obfuscation): Các chuỗi quan trọng trong mã nguồn của ransomware được che giấu thông qua các hoạt động XOR. Kỹ thuật này giúp tránh bị phát hiện bởi các công cụ bảo mật dựa trên signature, làm cho việc phân tích tĩnh trở nên khó khăn hơn.
  • Phân giải API động (Dynamic API Resolution): AiLock động phân giải các hàm API cần thiết bằng cách sử dụng LoadLibrary()GetProcAddress() thay vì liên kết tĩnh. Điều này giúp mã thực thi linh hoạt hơn và khó bị các công cụ phân tích tự động nhận diện.
  • Xác minh cấu hình: Ransomware kiểm tra tính toàn vẹn và hợp lệ của cấu hình nội bộ bằng cách sử dụng băm SHA256 và các dấu hiệu nhận dạng cụ thể như chuỗi byte DE AD BA BE. Điều này có thể được sử dụng để đảm bảo rằng mã không bị giả mạo hoặc đang chạy trong môi trường không mong muốn.

Tác động đến Hệ thống và Chiến thuật Vận hành

Phá hoại Hệ thống Toàn diện

AiLock không chỉ tập trung vào việc mã hóa dữ liệu mà còn thực hiện nhiều hành động phá hoại sâu rộng hơn để gây gián đoạn hệ thống và gia tăng áp lực lên nạn nhân:

  • Dừng dịch vụ và kết thúc tiến trình: Ransomware có khả năng xác định và dừng các dịch vụ quan trọng hoặc kết thúc các tiến trình liên quan đến sao lưu, bảo mật, hoặc các ứng dụng có thể ngăn cản việc mã hóa.
  • Xóa dữ liệu phục hồi: Làm trống Thùng rác (Recycle Bin) và có thể xóa các bản sao bóng (shadow copies) để ngăn chặn việc phục hồi dữ liệu dễ dàng.
  • Thay đổi giao diện người dùng: Thay đổi hình nền máy tính và biểu tượng tệp thông qua các sửa đổi registry, nhằm thông báo cho nạn nhân về việc hệ thống đã bị xâm phạm và hiển thị ghi chú đòi tiền chuộc.

Nếu được thực thi với tham số dòng lệnh cụ thể là -del, AiLock còn có khả năng tự xóa khỏi hệ thống để che dấu vết sau khi hoàn thành nhiệm vụ mã hóa, gây khó khăn cho việc điều tra pháp y.

AiLock.exe -del

Chiến thuật Phổ biến và Phòng ngừa

Các chiến thuật hoạt động của AiLock cho thấy một nhóm có ý định gây ra sự gián đoạn lâu dài và tối đa hóa phạm vi thiệt hại:

  • Mục tiêu rộng: Nó nhắm mục tiêu vào cả ổ đĩa cục bộ và các tài nguyên chia sẻ mạng, quét các kết nối để xác định và mã hóa dữ liệu trên các máy chủ tệp, NAS hoặc các thiết bị lưu trữ khác trong mạng nội bộ.
  • Ngăn chặn nhiều phiên bản: Sự hiện diện của một mutex có tên FAUST đảm bảo chỉ một phiên bản của ransomware được chạy đồng thời trên một hệ thống. Điều này ngăn ngừa các vấn đề xung đột và đảm bảo quá trình lây nhiễm diễn ra một cách có kiểm soát và hiệu quả.
  • Ghi nhật ký hoạt động: Các cơ chế ghi nhật ký của AiLock xuất chi tiết mã hóa và tiến trình hoạt động ra cửa sổ lệnh. Điều này có thể phục vụ mục đích gỡ lỗi cho kẻ tấn công hoặc cung cấp thông tin về tiến trình cho chúng từ xa.

Khả năng thích ứng của nhóm thể hiện rõ qua việc cơ sở hạ tầng của chúng liên tục thay đổi, với các trang DLS mới xuất hiện kể từ khi chúng được phát hiện ban đầu. Với khả năng phục hồi và tinh vi như vậy, AiLock được dự đoán sẽ vẫn là một mối đe dọa mạng đáng kể, đòi hỏi sự cảnh giác liên tục, cập nhật các quy tắc phát hiện và các biện pháp phòng thủ chủ động để giảm thiểu tác động của nó đối với các tổ chức trên toàn thế giới.

Chỉ số Thỏa hiệp (IOCs)

Dựa trên phân tích kỹ thuật của AiLock ransomware, các chỉ số thỏa hiệp (IOCs) sau đây đã được xác định. Việc giám sát và chặn các chỉ số này có thể giúp các tổ chức phát hiện và ngăn chặn hoạt động của AiLock trên hệ thống của mình.

  • Phần mở rộng tệp được mã hóa: .AiLock
  • Tên tệp ghi chú đòi tiền chuộc: Readme.txt
  • Tên Mutex sử dụng để kiểm soát phiên bản: FAUST
  • Tham số dòng lệnh để tự xóa: -del (ví dụ: AiLock.exe -del)
  • Dấu hiệu kiểm tra cấu hình nội bộ: Byte sequence DE AD BA BE