Các nhóm liên kết với ransomware như Ryuk, Conti và Diavol ngày càng dựa vào mã độc TrickBot để thực hiện các chiến dịch tống tiền tinh vi, gây thiệt hại hơn 724 triệu USD dưới dạng tiền mã hóa.
Ban đầu xuất hiện vào năm 2016 như một Trojan ngân hàng, TrickBot đã biến đổi thành một nền tảng mã độc đa năng. Nó hỗ trợ truy cập ban đầu, đánh cắp thông tin đăng nhập và di chuyển ngang trong các mạng bị xâm nhập.
Được điều hành bởi tổ chức tội phạm mạng Wizard Spider, có liên kết với các cơ quan tình báo Nga, TrickBot cho phép kẻ tấn công triển khai các payload ransomware bằng cách khai thác các lỗ hổng trong cơ sở hạ tầng trọng yếu, đặc biệt là trong các hệ thống y tế.
Những quan sát gần đây của các nhà nghiên cứu bảo mật nhấn mạnh sự dai dẳng của nó. Các biến thể liên quan đến họ mã độc này đã tống tiền số tiền lớn thông qua các giao dịch tiền mã hóa ẩn danh. Điều này làm nổi bật sự giao thoa giữa động cơ tài chính và các mối đe dọa dai dẳng nâng cao (APT).
Kiến Trúc Mô-đun và Khả Năng Tấn Công của mã độc TrickBot
Sức mạnh kỹ thuật của mã độc TrickBot nằm ở kiến trúc mô-đun của nó. Điều này cho phép các nhà điều hành tùy chỉnh payload cho các vectơ tấn công cụ thể.
Kỹ Thuật Né Tránh và Che Giấu
Ví dụ, mã độc TrickBot sử dụng các kỹ thuật né tránh như API hammering. Kỹ thuật này thực hiện các cuộc gọi API vô hại lặp đi lặp lại để trì hoãn việc thực thi và vượt qua các hệ thống phát hiện và phản hồi điểm cuối (EDR). Đồng thời, nó giả mạo các quy trình hợp pháp như các tác vụ đã lên lịch của WindowsUpdate.
Trong một sự cố gần đây, các nhà phân tích đã phát hiện bốn tác vụ độc hại như vậy trên năm tài sản. Các tác vụ này liên quan đến một DLL độc hại, một script BAT để đăng ký đối tượng COM trong Windows Registry, và một tệp thực thi bắt chước trình bao SQL tương tác. Đây là dấu hiệu của hoạt động “hands-on-keyboard” (kiểm soát trực tiếp).
Theo báo cáo của Akamai, thiết lập này không chỉ tạo điều kiện cho sự dai dẳng mà còn cho phép lây lan ngang, khuếch đại phạm vi tiếp cận của ransomware. Bạn có thể tham khảo thêm tại Báo cáo xu hướng Ransomware 2025 của Akamai.
Việc tích hợp của mã độc TrickBot với các hệ sinh thái ransomware-as-a-service (RaaS) đã dân chủ hóa các cuộc tấn công có mức độ rủi ro cao. Điều này cho phép các đối tác ít chuyên sâu về kỹ thuật hơn thực hiện các chiến dịch đòi tiền chuộc bằng tiền mã hóa tập trung vào quyền riêng tư, qua đó tránh được khả năng truy vết.
Tác Động Tài Chính và Các Cuộc Tấn Công Ransomware
Những hậu quả tài chính của các cuộc tấn công ransomware được kích hoạt bởi mã độc TrickBot đã rất đáng kinh ngạc, với số tiền tống tiền vượt quá 724 triệu USD, thường được chuyển qua các kênh không thể truy dấu.
Các nỗ lực gián đoạn như Operation Endgame 2.0 vào tháng 5 năm 2025, do Europol và Eurojust dẫn đầu, đã nhắm mục tiêu vào cơ sở hạ tầng của mã độc TrickBot. Tuy nhiên, khả năng phục hồi của mã độc, thể hiện qua việc nhanh chóng phục hồi sau các đợt gỡ bỏ trước đó, làm nổi bật những thách thức trong việc xóa bỏ các mối đe dọa này.
Các Chiến Thuật, Kỹ Thuật và Quy Trình (TTPs)
Các nhóm sử dụng mã độc TrickBot, bao gồm Diavol, sử dụng các chiến thuật, kỹ thuật và quy trình (TTPs) phản ánh các hoạt động của các tác nhân được nhà nước tài trợ. Ví dụ, chúng sử dụng các nhị phân “living-off-the-land” (LOLBins) để thực thi lén lút và credential dumping để leo thang đặc quyền.
Sự hội tụ này làm mờ ranh giới giữa tội phạm mạng và hoạt động hacktivism địa chính trị. Điều này được thấy trong các cuộc tấn công kết hợp mã hóa dữ liệu với các phương pháp đa tống tiền, gây áp lực lên nạn nhân thông qua các mối đe dọa vi phạm quy định theo các khuôn khổ như GDPR và HIPAA.
Chiến Lược Phòng Ngừa và Giảm Thiểu Mối Đe Dọa Mạng
Giảm thiểu những mối đe dọa mạng này đòi hỏi một chiến lược phòng thủ đa lớp, kết hợp kiến trúc Zero Trust để phân đoạn mạng và ngăn chặn di chuyển ngang. Ngoài ra, cần triển khai khả năng phát hiện được hỗ trợ bởi AI để nhận diện bất thường theo thời gian thực.
Các tổ chức được khuyến nghị triển khai microsegmentation, quét lỗ hổng thường xuyên và các giao thức sao lưu mạnh mẽ để chống lại API hammering và các chiến thuật né tránh khác của mã độc TrickBot.
Mặc dù các cơ quan thực thi pháp luật đã đạt được một số thành công, mô hình RaaS vẫn tiếp tục thúc đẩy sự phổ biến của mã độc TrickBot. Điều này nhấn mạnh sự cần thiết phải chủ động săn lùng mối đe dọa và hợp tác quốc tế để phá vỡ các mạng lưới tội phạm này.
Khi ransomware phát triển với các cải tiến từ AI tạo sinh, việc xây dựng khả năng phục hồi thông qua các kế hoạch ứng phó sự cố toàn diện vẫn là yếu tố quan trọng để giảm thiểu gián đoạn hoạt động và thiệt hại tài chính.
