GLOBAL GROUP Ransomware-as-a-Service: Nâng cấp Chiến lược, Nền tảng Cũ
Diễn viên ransomware khét tiếng được biết đến với biệt danh $$$ đã chính thức ra mắt GLOBAL GROUP, định vị đây là một hoạt động Ransomware-as-a-Service (RaaS) tiên tiến. Nhóm này quảng bá khả năng đàm phán tự động, các payload đa nền tảng và tỷ lệ chia sẻ lợi nhuận hấp dẫn cho các chi nhánh, đồng thời khẳng định sự đổi mới trong hoạt động tống tiền quy mô lớn.
Tuy nhiên, phân tích pháp y chuyên sâu về các mẫu mã độc, cấu hình hạ tầng và logic vận hành đã hé lộ rằng GLOBAL GROUP thực chất chỉ là một sự tái cấu trúc (rebrand) và tiến hóa của các họ ransomware đã bị khai tử trước đó là Mamona RIP và Black Lock, được duy trì bởi cùng một tác nhân đe dọa. Sự liên tục này được thể hiện rõ qua các thành phần mã nguồn dùng chung, các mô hình lưu trữ và đặc điểm hành vi, cho thấy một chiến lược làm mới để thu hút các chi nhánh mới thay vì một sự đổi mới thực sự.
Thông qua việc phân tích siêu dữ liệu API bị rò rỉ, các binary được kỹ thuật đảo ngược và tương tác của tác nhân, các nhà nghiên cứu bảo mật đã lập bản đồ hệ sinh thái của GLOBAL GROUP, tiết lộ kỹ thuật tấn công đã trưởng thành được xây dựng trên các nền tảng quen thuộc.
Phân tích Kỹ thuật Sâu về GLOBAL GROUP
Mã độc tống tiền của GLOBAL GROUP cốt lõi khai thác ngôn ngữ Golang để tạo ra các binary nguyên khối (monolithic binaries) thực thi liền mạch trên các hệ điều hành Windows, Linux và macOS. Việc sử dụng Go cho phép tận dụng khả năng xử lý đồng thời (concurrency) của ngôn ngữ này để thực hiện mã hóa quy mô lớn một cách nhanh chóng.
Kiến trúc và Cơ chế Mã độc
Một chỉ báo quan trọng về sự kế thừa từ các dòng mã độc trước đó là chuỗi mutex “Global\Fxo16jmdgujs437”. Chuỗi này giống hệt với chuỗi được tìm thấy trong các mẫu Mamona RIP, đảm bảo rằng mã độc chỉ chạy một phiên bản duy nhất và ngăn chặn sự chồng chéo của các tiến trình.
Mã hóa được thực hiện bằng thuật toán ChaCha20-Poly1305, cung cấp tính bảo mật (confidentiality) và tính toàn vẹn (integrity) mạnh mẽ cho dữ liệu. Các goroutine của Golang được sử dụng để song song hóa việc khóa tệp trên nhiều ổ đĩa, tăng tốc độ mã hóa. Các chi nhánh có thể tùy chỉnh phần mở rộng của tệp bị mã hóa, ví dụ như “.lockbitloch”, cùng với tùy chọn mã hóa tên tệp để gây khó khăn cho việc khôi phục.
Ghi chú đòi tiền chuộc được mã hóa cứng trong binary, được tập hợp thông qua các chức năng I/O và ghi ra dưới dạng tệp README.txt. Nội dung ghi chú này chứa ngôn ngữ mang tính ép buộc, liên kết đến các trang web rò rỉ dữ liệu dựa trên Tor và thiết lập cổng kép để rò rỉ dữ liệu và đàm phán. Theo Báo cáo của Picus Security, ghi chú này bao gồm một địa chỉ onion Tor được mã hóa cứng để nạn nhân xác minh, nhúng các ưu đãi “bằng chứng giải mã” nhằm tạo lòng tin giả trong bối cảnh các mối đe dọa công bố dữ liệu trong thời hạn chặt chẽ.
Lỗ hổng Bảo mật trong Hạ tầng Hoạt động
Kiểm tra kỹ hơn đã làm lộ các sơ hở trong bảo mật vận hành của hạ tầng GLOBAL GROUP. Trang web rò rỉ dữ liệu chuyên dụng (Dedicated Leak Site – DLS) được lưu trữ trên Tor sử dụng một giao diện người dùng JavaScript ở phía người dùng (frontend) đã vô tình làm rò rỉ chi tiết backend thông qua một điểm cuối API không được bảo vệ: `/posts`. Điều này đã tiết lộ thông tin đăng nhập SSH nhạy cảm như “[email protected]:22”.
Địa chỉ IP 193.19.119.4 này có liên quan đến nhà cung cấp VPS IpServer của Nga, vốn đã được liên kết với Mamona trước đây, và đóng vai trò là một node trung tâm cho dữ liệu bị rò rỉ ra ngoài. Điều này làm nổi bật sự phân chia không tốt giữa các thành phần hạ tầng.
Cổng Builder RaaS
Cổng builder của RaaS, có thể truy cập trên cả máy tính để bàn và thiết bị di động, cung cấp khả năng cấu hình chi tiết:
* Tỷ lệ phần trăm mã hóa.
* Cờ tự xóa.
* Chấm dứt tiến trình để né tránh các giải pháp AV/EDR.
* Xóa nhật ký thông qua các công cụ như `wevtutil`.
* Biên dịch đa hệ điều hành nhắm mục tiêu vào các hệ thống ESXi, BSD và NAS.
Các khối module này cho thấy việc lắp ráp động tại thời điểm biên dịch, tối ưu hóa các binary để né tránh phát hiện.
Bảng điều khiển Đàm phán
Bảng điều khiển đàm phán của GLOBAL GROUP tích hợp một chatbot điều khiển bằng AI trên một miền Tor riêng biệt. Chatbot này tự động hóa quá trình thao túng tâm lý với các tính năng như bộ đếm thời gian, lời nhắc tải lên tệp để chứng minh việc giải mã và các yêu cầu đòi tiền chuộc leo thang, thường ở mức bảy con số, ví dụ như 9.5 BTC. Cơ chế này giúp mở rộng quy mô hoạt động của các chi nhánh, giảm sự giám sát thủ công.
Kênh Truy cập Ban đầu
Truy cập ban đầu vào hệ thống nạn nhân thường dựa vào các nhà môi giới truy cập (access brokers) như HuanEbashes, những người chuyên cung cấp thông tin đăng nhập RDP và các công cụ brute-force cho VPN và dịch vụ Microsoft. Tác nhân $$$ tham gia vào các thỏa thuận chia sẻ lợi nhuận với các nhà môi giới này.
Chỉ số Nhận diện (IOCs) và Khẳng định Nguồn gốc
Sự liên kết giữa GLOBAL GROUP và các biến thể ransomware trước đây được củng cố thông qua một loạt bằng chứng kỹ thuật:
* **Chuỗi Mutex Tái Sử Dụng:** Chuỗi mutex “Global\\Fxo16jmdgujs437” là một chỉ dấu mạnh mẽ, trực tiếp trùng khớp với các mẫu Mamona RIP, khẳng định sự liên tục trong mã nguồn.
Global\Fxo16jmdgujs437* **Địa chỉ IP Chung:** Địa chỉ IP 193.19.119.4, liên kết với nhà cung cấp VPS IpServer của Nga và đã từng liên quan đến hoạt động của Mamona, cho thấy một hạ tầng được tái sử dụng hoặc có mối liên hệ trực tiếp.
193.19.119.4* **Thông tin đăng nhập rò rỉ:**
[email protected]:22* **Điểm cuối API rò rỉ:**
/posts* **Giao diện Người dùng Builder và Tham chiếu qTOX:** Giao diện người dùng của cổng builder có những điểm tương đồng đáng chú ý với các phiên bản trước đó. Hơn nữa, các tham chiếu trong qTOX đến “Global Black Lock” càng khẳng định GLOBAL GROUP là một sự tiếp nối được cải tiến của các dòng ransomware đã được thiết lập, sẵn sàng khai thác các môi trường đa dạng với sự tinh vi và khả năng gây hại đa nền tảng.
