Nỗ lực phòng thủ an ninh mạng toàn cầu đang phải đối mặt với một mối đe dọa đáng kể khi các quốc gia, đặc biệt là ở khu vực Châu Á-Thái Bình Dương và Bắc Mỹ, ghi nhận số lượng cuộc tấn công mạng bị chặn đáng kể. Trong bối cảnh này, BlackNevas ransomware đã nổi lên như một tác nhân đe dọa với chiến lược tấn công toàn diện, nhắm mục tiêu vào ba khu vực chính trên thế giới.
Theo báo cáo từ AhnLab ASEC, khu vực Châu Á-Thái Bình Dương đang phải chịu gánh nặng lớn nhất với 50% tổng số hoạt động tấn công của nhóm.
BlackNevas: Chiến lược Tấn công Toàn cầu và Mục tiêu
Các quốc gia chủ yếu bị nhắm mục tiêu trong khu vực Châu Á-Thái Bình Dương bao gồm các nền kinh tế lớn như Nhật Bản, Thái Lan và Hàn Quốc. Nhóm khai thác cơ sở hạ tầng công nghiệp và công nghệ dày đặc của khu vực này.
Tại Châu Âu, các hoạt động tập trung chiến lược vào Tây Âu và các quốc gia ven Biển Baltic. Các mục tiêu có giá trị cao bao gồm Vương quốc Anh, Ý và Lithuania.
Những quốc gia này đại diện cho các trung tâm kinh tế quan trọng với cơ sở hạ tầng kỹ thuật số đáng kể. Điều này khiến chúng trở thành mục tiêu hấp dẫn cho các hoạt động của mã độc ransomware.
Ở Bắc Mỹ, nhóm đã tập trung nỗ lực vào bang Connecticut của Hoa Kỳ. Điều này cho thấy một phương pháp tiếp cận có chọn lọc trong việc xác định mục tiêu.
Mô hình Tống tiền Kép của BlackNevas
Các tác nhân đe dọa hoạt động thông qua mô hình tống tiền kép (dual-extortion). Mô hình này kết hợp mã hóa tệp với hành vi đánh cắp dữ liệu nhạy cảm.
Không giống như các hoạt động Ransomware-as-a-Service (RaaS) truyền thống, BlackNevas duy trì quyền kiểm soát trực tiếp đối với cơ sở hạ tầng của chúng. Nhóm đe dọa nạn nhân thông qua trang rò rỉ dữ liệu (DLS) độc quyền và các mạng đối tác liên kết.
Cách tiếp cận này làm tăng áp lực lên nạn nhân bằng cách đe dọa công khai dữ liệu bên cạnh việc gây gián đoạn hệ thống.
Kỹ thuật Mã hóa và Hoạt động của BlackNevas ransomware
Hệ thống Mã hóa Lai Mạnh mẽ
BlackNevas sử dụng một hệ thống mã hóa lai kết hợp mã hóa đối xứng AES với mã hóa khóa công khai RSA. Sự kết hợp này tạo ra một sơ đồ mã hóa gần như không thể phá vỡ.
BlackNevas ransomware thêm phần mở rộng “.-encrypted” đặc trưng vào các tệp bị xâm phạm. Đây là một chỉ báo rõ ràng về việc nhiễm độc thành công.
Các Tham số Dòng lệnh và Hành vi
Mã độc hỗ trợ nhiều tham số dòng lệnh để sửa đổi đáng kể hành vi của nó:
/allow_system: Cho phép mã hóa các đường dẫn hệ thống quan trọng./fast: Mã hóa chỉ 1% của mỗi tệp để triển khai nhanh chóng./full: Kích hoạt mã hóa tệp hoàn toàn./path: Cho phép chỉ định các thư mục mục tiêu cụ thể./debug: Để ghi nhật ký thực thi./stealth: Dành cho các hoạt động ẩn danh./shdwn: Để tắt hệ thống sau khi mã hóa.
Khi không có chế độ mã hóa cụ thể nào được chỉ định, BlackNevas mặc định mã hóa 10% đầu tiên của mỗi tệp. Cách này cân bằng tốc độ với hiệu quả.
Phương pháp này đảm bảo các phần đầu tệp quan trọng bị hỏng. Đồng thời, nó duy trì hiệu quả hoạt động trong các triển khai quy mô lớn.
Cơ chế Né tránh và Bảo vệ Tệp của BlackNevas
Mã độc ransomware thể hiện khả năng phân tích đường dẫn tinh vi. Nó tránh các thư mục quan trọng của hệ thống chứa chuỗi “system32” hoặc “windows”.
Tuy nhiên, BlackNevas vẫn nhắm mục tiêu vào tất cả các vị trí có thể truy cập khác. Cách tiếp cận đánh giá trong thời gian chạy này khác với ransomware truyền thống, vốn dựa vào danh sách loại trừ được xác định trước. Điều này làm cho BlackNevas ransomware dễ thích ứng hơn với các cấu hình hệ thống đa dạng.
Các loại tệp cụ thể vẫn được bảo vệ để duy trì sự ổn định của hệ thống. Bao gồm các tệp hệ thống (.sys, .dll, .exe), nhật ký và các thành phần máy ảo (.vmem, .vswp, .vmxf).
Mã độc ransomware cũng giữ lại thông báo tiền chuộc của chính nó “how_to_decrypt.txt” và tệp quan trọng “NTUSER.DAT”. Mục đích là ngăn chặn lỗi hệ thống hoàn toàn.
Cấu trúc Tên Tệp và Xác minh Mã hóa
BlackNevas thực hiện một quy ước đặt tên tệp độc đáo trong quá trình mã hóa. Nó tạo ra hai loại riêng biệt:
- Các tệp được mã hóa tiêu chuẩn nhận định dạng “
random name.random name.-encrypted”. - Các tệp trình diễn được đặt tên “
trial-recovery.random name.random name.-encrypted”.
Việc chỉ định “trial-recovery” áp dụng cho các định dạng tài liệu phổ biến như .doc, .docx, .hwp, .jpg, .pdf, .png, .rtf và .txt. Điều này có thể dùng làm bằng chứng khái niệm (proof-of-concept) cho nạn nhân.
Mã độc ransomware sử dụng các phương pháp xác minh mã hóa tinh vi. Nó kiểm tra các giá trị 8-byte ở cuối tệp để xác định trạng thái mã hóa, thay vì chỉ dựa vào phần mở rộng tệp.
Cách tiếp cận này sử dụng ký hiệu “E” cho các thay đổi phần mở rộng tiêu chuẩn và “R” cho các loại tệp khôi phục thử nghiệm. Cùng một giá trị 8-byte cho thấy kích thước dữ liệu bổ sung được thêm vào các tệp gốc.
Quy trình Quản lý Khóa Mã hóa
Trong quá trình mã hóa, BlackNevas tạo các khóa đối xứng AES duy nhất cho mỗi tệp. Sau đó, nó mã hóa các khóa này bằng mật mã khóa công khai RSA trước khi nhúng chúng vào các tệp đã mã hóa.
Phương pháp này đảm bảo rằng không có khóa giải mã nào có thể truy cập được trong môi trường cục bộ. Điều này khiến việc khôi phục trái phép là không thể nếu không có khóa riêng tư RSA của kẻ tấn công.
Quá trình mã hóa để lại một cấu trúc dữ liệu cụ thể ở cuối mỗi tệp. Cấu trúc này chứa các khóa AES đã mã hóa và siêu dữ liệu cần thiết để giải mã hợp pháp.
Thiết kế này khiến quá trình mã hóa không thể đảo ngược về mặt chức năng nếu không có sự hợp tác từ các tác nhân đe dọa. Việc phá vỡ mã hóa RSA vẫn là không khả thi về mặt tính toán với công nghệ hiện tại.
Yêu cầu Tiền Chuộc và Chiến thuật Gây Áp lực của BlackNevas
Nội dung Thông báo Tiền chuộc và Thời hạn
Sau khi mã hóa thành công, BlackNevas triển khai các thông báo tiền chuộc có tiêu đề “how_to_decrypt.txt” trên khắp các hệ thống bị nhiễm. Các bản sao được đặt trong mọi thư mục có thể truy cập ngoại trừ các thư mục bị loại trừ.
Các tác nhân đe dọa tự giới thiệu là “chuyên gia trong các hoạt động mã hóa tệp và gián điệp công nghiệp”. Họ nhấn mạnh khả năng kỹ thuật và chuyên môn tội phạm của mình.
Thông báo tiền chuộc đặt thời hạn bảy ngày để liên hệ ban đầu. Kẻ tấn công đe dọa sẽ rò rỉ dữ liệu bị đánh cắp thông qua nhiều kênh, bao gồm mạng lưới đối tác, blog công khai và các nền tảng đấu giá ngầm.
Chiến lược đe dọa đa chiều này làm tăng áp lực lên nạn nhân. Đồng thời, nó cung cấp nhiều tùy chọn kiếm tiền từ thông tin bị đánh cắp.
Kênh Giao tiếp và Khả năng Phát hiện
Giao tiếp diễn ra qua email và các kênh Telegram được chỉ định trong thông báo tiền chuộc. Điều này cho phép nạn nhân bắt đầu đàm phán giải mã.
Việc không có giao tiếp mạng sau khi mã hóa cho thấy thiết kế tinh vi của mã độc. Nó giảm thiểu cơ hội phát hiện trong khi tối đa hóa bảo mật hoạt động.
Thách thức và Khuyến nghị Phòng ngừa Đối phó BlackNevas
BlackNevas ransomware đại diện cho một sự phát triển đáng kể về sự tinh vi của ransomware. Nó kết hợp các kỹ thuật mã hóa tiên tiến với chiến lược nhắm mục tiêu toàn cầu và các hoạt động đánh cắp dữ liệu.
Việc nhóm tập trung vào khu vực Châu Á-Thái Bình Dương, chiếm 50% hoạt động của chúng, cho thấy sự nhấn mạnh chiến lược vào các mục tiêu kinh tế giá trị cao với cơ sở hạ tầng kỹ thuật số đáng kể. Các tổ chức phải đối mặt với kịch bản đe dọa kép.
Các chiến lược sao lưu truyền thống có thể không đủ để chống lại cách tiếp cận kết hợp mã hóa và đánh cắp dữ liệu. Việc không thể giải mã trái phép, xuất phát từ việc triển khai mã hóa lai AES-RSA, nhấn mạnh tầm quan trọng của các biện pháp bảo mật phòng ngừa.
Các biện pháp này ưu việt hơn các chiến lược khôi phục phản ứng. Khả năng phân tích đường dẫn thích ứng và xác định loại trừ trong thời gian chạy của BlackNevas ransomware khiến việc phòng thủ trở nên đặc biệt khó khăn khi sử dụng các phương pháp phát hiện dựa trên chữ ký truyền thống.
Các tổ chức phải triển khai các giải pháp phát hiện và phản hồi điểm cuối (EDR) toàn diện. Các giải pháp này phải có khả năng xác định các chỉ số hành vi thay vì chỉ dựa vào các chữ ký tệp đã biết hoặc các phương pháp phát hiện dựa trên hash.
