Nghiên cứu viên của Avast đã công bố một công cụ giải mã ransomware miễn phí dành cho các nạn nhân của mã độc ransomware FunkSec, đánh dấu một bước tiến quan trọng trong việc chống lại chủng malware hiện đã không còn hoạt động này. Công cụ giải mã này cho phép người dùng bị ảnh hưởng khôi phục các tệp đã mã hóa mà không cần phải trả tiền chuộc.
Được phát triển với sự hợp tác của các cơ quan thực thi pháp luật, công cụ giải mã của Avast đã được cung cấp rộng rãi cho công chúng sau khi hoạt động của nhóm ransomware này được đánh giá là đã ngừng. Mục tiêu chính của công cụ này là hỗ trợ 113 nạn nhân đã được ghi nhận trên trang rò rỉ dữ liệu của nhóm tấn công.
Dòng Thời Gian và Đặc Điểm Hoạt Động của FunkSec Ransomware
Diễn Biến Lịch Sử Hoạt Động
Dòng thời gian hoạt động của mã độc ransomware FunkSec cho thấy một quá trình tiến triển từ việc trích xuất dữ liệu và tống tiền, bắt đầu từ ngày 4 tháng 12 năm 2024. Các mốc thời gian quan trọng bao gồm:
- 15 tháng 12 năm 2024: Mã nguồn ban đầu của mã độc được tải lên VirusTotal, cho thấy sự phát triển đang diễn ra.
- 31 tháng 12 năm 2024: Mẫu ransomware đầu tiên được biết đến xuất hiện, chính thức đánh dấu sự khởi đầu của các cuộc tấn công mã hóa.
- 15 tháng 3 năm 2025: Nạn nhân cuối cùng của nhóm FunkSec ransomware được báo cáo, sau đó nhóm này đã ngừng hoàn toàn các hoạt động của mình.
Tích Hợp Trí Tuệ Nhân Tạo và Điểm Yếu Trong Thiết Kế
Một điểm đáng chú ý trong hoạt động của mã độc ransomware FunkSec là việc tích hợp trí tuệ nhân tạo (AI) trong khoảng 20% các chiến dịch. AI đã được khai thác để tự động tạo ra các công cụ độc hại và mẫu lừa đảo (phishing templates), phản ánh vai trò ngày càng tăng của máy học trong các mối đe dọa mạng hiện đại.
Tuy nhiên, nhiều mẫu ransomware của FunkSec lại bị lỗi và không hoạt động đúng chức năng. Thường xuyên, chúng dựa vào các hình ảnh bên ngoài được lưu trữ trên Imgur để đặt làm hình nền máy tính sau khi lây nhiễm, chẳng hạn như hxxps://i.imgur.com/HCYqOVR.jpeg và hxxps://i.imgur.com/mlUvWYT.jpeg. Điều này làm nổi bật các yếu tố nghiệp dư trong quá trình phát triển và triển khai của FunkSec ransomware.
Phân Tích Kỹ Thuật Sâu Về Mã độc Ransomware FunkSec
Ngôn Ngữ Lập Trình và Thư Viện Mã Hóa
FunkSec ransomware được phát triển bằng ngôn ngữ lập trình Rust, một ngôn ngữ nổi tiếng về hiệu suất và an toàn bộ nhớ. Đối với các quy trình mã hóa, nó sử dụng thư viện mật mã orion-rs phiên bản 0.17.7.
Cơ chế mã hóa của mã độc này dựa trên việc sử dụng thuật toán mã hóa dòng ChaCha20 kết hợp với mã xác thực thông điệp (MAC) Poly1305. Sự kết hợp này, thường được gọi là ChaCha20-Poly1305, không chỉ cung cấp tính bảo mật cao cho dữ liệu mà còn đảm bảo tính toàn vẹn của dữ liệu được mã hóa, bao gồm khóa, nonce (số dùng một lần), độ dài khối và bản thân văn bản mã hóa. Điều này giúp ngăn chặn việc giả mạo hoặc thay đổi dữ liệu trong quá trình truyền tải hoặc lưu trữ.
Quy Trình Mã Hóa Tệp và Ảnh Hưởng Hệ Thống
Quá trình mã hóa của mã độc ransomware FunkSec diễn ra bằng cách xử lý các tệp theo từng khối 128 byte. Mỗi khối dữ liệu được mã hóa sẽ được thêm vào 48 byte siêu dữ liệu. Kết quả là các tệp sau khi mã hóa có kích thước lớn hơn khoảng 37% so với tệp gốc. Điều này là do việc thêm dữ liệu mã hóa và siêu dữ liệu cho mỗi khối.
Theo báo cáo nghiên cứu chi tiết từ GenDigital tại đây, mã độc này có khả năng quét có hệ thống tất cả các ổ đĩa cục bộ trên hệ thống nạn nhân theo ký tự. Trong quá trình mã hóa, FunkSec ransomware được thiết kế để bỏ qua một số phần mở rộng tệp cụ thể nhằm tránh làm gián đoạn chức năng hệ thống hoặc làm lộ chính nó. Các phần mở rộng bị bỏ qua bao gồm: .exe, .dll, .pdf, .mp3, .xlsx, và .zip.
Chiến Thuật Lẩn Tránh Phát Hiện
Trước khi bắt đầu quá trình mã hóa, mã độc ransomware FunkSec thực hiện việc chấm dứt một số tiến trình và dịch vụ hệ thống quan trọng. Mục tiêu của hành động này là nhằm né tránh phát hiện từ phần mềm bảo mật và loại bỏ các cản trở tiềm năng trong quá trình mã hóa dữ liệu. Các tiến trình bị chấm dứt bao gồm: chrome.exe, outlook.exe, và taskmgr.exe. Các dịch vụ hệ thống bị vô hiệu hóa gồm: spooler, bits, và WinDefend.
Sau khi quá trình mã hóa hoàn tất, các tệp bị ảnh hưởng sẽ nhận một phần mở rộng mới là .funksec. Đồng thời, một ghi chú đòi tiền chuộc có tên README-{random}.md sẽ được đặt trong mỗi thư mục chứa các tệp bị mã hóa. Ghi chú này cung cấp hướng dẫn chi tiết cho nạn nhân về cách liên hệ với kẻ tấn công và thực hiện thanh toán để khôi phục dữ liệu.
Công Cụ Giải Mã Avast cho FunkSec Ransomware
Công cụ giải mã của Avast được cung cấp dưới dạng tệp thực thi 64-bit, đồng thời có một biến thể 32-bit dành cho các hệ thống cũ hơn. Công cụ này được thiết kế với giao diện người dùng dạng thuật sĩ, giúp quá trình sử dụng trở nên trực quan và dễ dàng. Để hoạt động, công cụ yêu cầu quyền quản trị đầy đủ trên hệ thống.
Người dùng bắt đầu bằng việc chọn các vị trí cần giải mã. Mặc định, công cụ sẽ nhắm mục tiêu đến tất cả các ổ đĩa cục bộ, nhưng người dùng hoàn toàn có thể tùy chỉnh để chọn các thư mục cụ thể.
Một tính năng quan trọng và được khuyến nghị là tùy chọn sao lưu các tệp đã mã hóa trước khi tiến hành giải mã. Điều này giúp giảm thiểu rủi ro mất dữ liệu không mong muốn trong trường hợp có sự cố trong quá trình khôi phục.
Quá trình giải mã sau đó sẽ tiếp tục để khôi phục các tệp. Công cụ của Avast tận dụng sự hiểu biết sâu sắc về các lỗ hổng mật mã và cách triển khai không hoàn hảo của mã độc ransomware FunkSec để đảo ngược quá trình mã hóa ChaCha20-Poly1305 mà không cần đến khóa giải mã từ những kẻ tấn công. Điều này là một thành tựu quan trọng trong nỗ lực khôi phục dữ liệu cho nạn nhân.
Các Chỉ Số Thỏa Hiệp (IOCs) Liên Quan Đến FunkSec Ransomware
Việc nhận diện các Chỉ số Thỏa Hiệp (IOCs) là rất quan trọng để phát hiện và ứng phó với mã độc ransomware FunkSec. Dưới đây là các IOCs chính được xác định:
1. Thuộc Tính Tệp
- Phần mở rộng tệp được mã hóa:
.funksec - Tên tệp ghi chú đòi tiền chuộc:
README-{random}.md(trong đó{random}là một chuỗi ký tự ngẫu nhiên)
2. Tài Nguyên Mạng (Artifacts)
- URL hình nền sau lây nhiễm (được sử dụng bởi các biến thể lỗi):
hxxps://i.imgur.com/HCYqOVR.jpeghxxps://i.imgur.com/mlUvWYT.jpeg
3. Tiến Trình và Dịch Vụ Bị Chấm Dứt
Các tiến trình và dịch vụ mà mã độc ransomware FunkSec cố gắng chấm dứt để tránh bị phát hiện và cản trở hoạt động:
- Tiến trình:
chrome.exe,outlook.exe,taskmgr.exe - Dịch vụ:
spooler,bits,WinDefend
4. Thông Tin Kỹ Thuật Mã Độc
- Ngôn ngữ lập trình: Rust
- Thư viện mã hóa: orion-rs (phiên bản 0.17.7)
- Thuật toán mã hóa: ChaCha20-Poly1305
- Kích thước khối mã hóa: 128 byte (cộng thêm 48 byte siêu dữ liệu)
Tầm Quan Trọng và Bài Học trong An Toàn Thông Tin
Việc phát hành công cụ giải mã của Avast không chỉ mang lại hy vọng cho các nạn nhân của mã độc ransomware FunkSec mà còn nhấn mạnh tầm quan trọng của phân tích mật mã chuyên sâu trong việc giảm thiểu thiệt hại từ các cuộc tấn công ransomware. Điều này đóng góp đáng kể vào nỗ lực chung về an toàn thông tin.
Sự phụ thuộc của mã độc ransomware FunkSec vào các thư viện mã nguồn mở như orion-rs, cùng với những lỗ hổng trong việc triển khai mật mã của chúng, đã là yếu tố then chốt cho phép các nhà nghiên cứu tạo ra công cụ giải mã. Bài học này cho thấy rằng việc kiểm tra kỹ lưỡng các thư viện bên thứ ba và thực hành mã hóa đúng đắn là vô cùng cần thiết để xây dựng phần mềm an toàn, đặc biệt trong bối cảnh các mối đe dọa mạng ngày càng phức tạp.
