Fog Ransomware: Phân Tích Công Cụ Bất Thường và Cách Phòng Ngừa Hiệu Quả

14/06/2025
3 mins read
Nội dung
Tìm hiểu về Fog Ransomware: Công cụ bất thường và biện pháp phòng ngừa
Đặc điểm nổi bật của Fog Ransomware
Khuyến nghị bảo mật cho tổ chức
Kết luận

Tìm hiểu về Fog Ransomware: Công cụ bất thường và biện pháp phòng ngừa

Fog ransomware là một mối đe dọa bảo mật ngày càng nghiêm trọng với các kỹ thuật tấn công khác biệt so với các chiến dịch ransomware truyền thống. Bài viết này sẽ phân tích các công cụ và phương pháp mà nhóm tấn công Fog sử dụng, cùng với các khuyến nghị cụ thể để bảo vệ tổ chức trước mối đe dọa này.

Đặc điểm nổi bật của Fog Ransomware

Chiến dịch tấn công Fog ransomware được ghi nhận với việc sử dụng các công cụ và cơ chế không phổ biến trong các cuộc tấn công ransomware thông thường. Dưới đây là những điểm đáng chú ý:

  • Phần mềm giám sát nhân viên hợp pháp (Legitimate Employee Monitoring Software): Những kẻ tấn công đã lợi dụng phần mềm giám sát nhân viên hợp pháp có tên Syteca (trước đây gọi là Ekran). Đây là một lựa chọn hiếm gặp trong các cuộc tấn công ransomware, vì phần mềm này hỗ trợ ghi màn hình và theo dõi thao tác bàn phím.
  • Công cụ kiểm thử bảo mật mã nguồn mở (Open-Source Pentesting Tools): Nhóm tấn công triển khai một số công cụ mã nguồn mở thường được sử dụng trong kiểm thử bảo mật, bao gồm:
    • GC2: Công cụ này cho phép thực thi lệnh thông qua Google Sheets hoặc Microsoft SharePoint List, đồng thời trích xuất dữ liệu qua Google Drive hoặc Microsoft SharePoint documents. GC2 từng được nhóm tin tặc APT41 do nhà nước Trung Quốc bảo trợ sử dụng vào năm 2023.
    • Adaptix: Một công cụ kiểm thử bảo mật mã nguồn mở khác, được sử dụng trong chiến dịch này.
    • Stowaway: Tiện ích proxy mã nguồn mở, được sử dụng để triển khai Syteca.
  • Cơ chế duy trì truy cập (Persistence Mechanism): Sau khi triển khai ransomware, những kẻ tấn công đã tạo một dịch vụ (service) để duy trì quyền truy cập trên mạng của nạn nhân. Đây là một bước đi bất thường, vì hoạt động độc hại thường kết thúc sau khi dữ liệu bị đánh cắp và ransomware được triển khai.
  • Thời gian tấn công (Attack Timeline): Nhóm tấn công đã hiện diện trên mạng của mục tiêu khoảng hai tuần trước khi triển khai ransomware. Chúng đã xâm nhập hệ thống bằng các công cụ kiểm thử bảo mật mã nguồn mở và lây nhiễm vào hai máy chủ Exchange trong quá trình này.
  • Vector lây nhiễm ban đầu (Initial Infection Vector): Vào tháng 4 năm 2025, Fog ransomware được ghi nhận sử dụng email làm vector lây nhiễm ban đầu. Các ghi chú tống tiền (ransom notes) chứa ngôn ngữ chế giễu liên quan đến Department of Government Efficiency (DOGE) của Elon Musk, đồng thời đưa ra tùy chọn “giải mã miễn phí” nếu nạn nhân đồng ý lây lan ransomware sang máy tính của người khác.

Khuyến nghị bảo mật cho tổ chức

Dựa trên các đặc điểm và công cụ bất thường được sử dụng trong chiến dịch Fog ransomware, dưới đây là một số khuyến nghị thực tiễn để các tổ chức tăng cường khả năng phòng thủ:

  1. Giám sát phần mềm theo dõi nhân viên:
    • Thường xuyên theo dõi các hoạt động bất thường liên quan đến các phần mềm giám sát nhân viên hợp pháp như Syteca.
    • Đảm bảo rằng các phần mềm này không bị lợi dụng cho mục đích độc hại.
  2. Bảo mật công cụ mã nguồn mở:
    • Áp dụng các kiểm soát truy cập nghiêm ngặt đối với các công cụ kiểm thử bảo mật mã nguồn mở như GC2, Adaptix và Stowaway.
    • Thường xuyên cập nhật và vá lỗi (patch) các công cụ này để ngăn chặn khai thác.
  3. Tăng cường bảo mật mạng:
    • Triển khai phân khúc mạng (network segmentation) mạnh mẽ để hạn chế sự lây lan của mã độc.
    • Thường xuyên quét lỗ hổng (vulnerability scanning) và vá lỗi kịp thời, đặc biệt trên các hệ thống quan trọng như máy chủ Exchange.
  4. Phát hiện cơ chế duy trì truy cập:
    • Xây dựng và triển khai các quy tắc phát hiện (detection rules) để nhận diện và ngăn chặn các cơ chế duy trì truy cập.
    • Thường xuyên theo dõi nhật ký hệ thống (system logs) để phát hiện dấu hiệu của persistence.
  5. Đào tạo nhân viên:
    • Nâng cao nhận thức cho nhân viên về các cuộc tấn công lừa đảo (phishing) và việc sử dụng email làm vector lây nhiễm ban đầu.
    • Khuyến khích nhân viên báo cáo các email hoặc hoạt động đáng ngờ.

Kết luận

Fog ransomware thể hiện sự tiến hóa trong chiến thuật tấn công của các nhóm tội phạm mạng với việc sử dụng các công cụ bất thường và cơ chế duy trì truy cập. Các tổ chức cần áp dụng các biện pháp bảo mật chủ động, từ giám sát công cụ hợp pháp đến tăng cường đào tạo nhân viên, nhằm giảm thiểu nguy cơ trở thành nạn nhân của mối đe dọa này. Việc triển khai các khuyến nghị trên sẽ giúp xây dựng một hệ thống phòng thủ mạnh mẽ hơn trước các chiến dịch ransomware đang ngày càng tinh vi.