Vào tháng 6 năm 2025, một nhóm mã độc ransomware Kawa4096 mới nổi đã gây chú ý khi nhắm mục tiêu vào các tổ chức đa quốc gia. Nhóm này tấn công trên nhiều ngành nghề khác nhau, bao gồm tài chính, giáo dục và dịch vụ, tại các quốc gia như Nhật Bản và Hoa Kỳ.
Mặc dù chưa có bằng chứng công khai xác nhận mô hình Ransomware-as-a-Service (RaaS) hay quan hệ đối tác với các tội phạm mạng khác, các cuộc tấn công của nhóm ở nhiều quốc gia trong một thời gian ngắn cho thấy một hoạt động được tổ chức chặt chẽ.
Kawa4096: Chiến Lược Tấn Công và Rò Rỉ Dữ Liệu
Mã độc ransomware Kawa4096 vận hành một cổng rò rỉ dữ liệu lưu trữ trên Tor. Tại đây, các tệp bị đánh cắp và thông tin chi tiết về nạn nhân được hiển thị công khai.
Không giống như nhiều tác nhân ransomware tập trung vào các lĩnh vực hẹp, Kawa4096 đã thể hiện việc nhắm mục tiêu bừa bãi vào các doanh nghiệp lớn. Nhóm này nhấn mạnh vào việc đánh cắp dữ liệu và mã hóa nhanh chóng.
Chiến Thuật Tống Tiền Kép và Đàm Phán
Phương pháp của Kawa4096 tuân theo mô hình tống tiền kép. Dữ liệu được trích xuất trước khi mã hóa, và nạn nhân bị gây áp lực bằng cả việc mã hóa tệp và tiết lộ dữ liệu công khai. Mỗi nạn nhân được gán một URL yêu cầu duy nhất, cho thấy sự kiểm soát tập trung và theo dõi có hệ thống các cuộc đàm phán.
Yêu cầu tiền chuộc và chiến thuật đàm phán vẫn chưa được tiết lộ. Tuy nhiên, sự tồn tại của các cổng thanh toán cá nhân hóa ngụ ý rằng các mức tiền chuộc được tùy chỉnh dựa trên khối lượng và độ nhạy cảm của dữ liệu bị đánh cắp.
Kawa4096 đã chứng minh được khả năng tấn công của mình thông qua các trường hợp thực tế.
Phân Tích Kỹ Thuật Mã Độc Ransomware Kawa4096
Tệp thực thi của Kawa4096 có tính năng tự khởi động lại. Nếu được khởi chạy mà không có tham số, nó sẽ tự khởi chạy lại với đối số -all để bắt đầu mã hóa toàn bộ tệp.
Các tùy chọn thực thi có sẵn bao gồm:
-all: Khởi tạo mã hóa toàn bộ tệp.-skip_encryption: Chỉ thực hiện trích xuất dữ liệu mà không mã hóa.-test_mode: Chạy ở chế độ kiểm tra, không thực hiện hành động phá hoại.
Một mutex có tên SAY_HI_2025 được tạo thông qua CreateMutexA để ngăn chặn các lần thực thi đồng thời. Điều này đảm bảo chỉ một phiên bản duy nhất chạy trên mỗi máy chủ.
Các lần khởi chạy trùng lặp sẽ phát hiện mutex hiện có và chấm dứt ngay lập tức, tránh các tác vụ mã hóa dư thừa. Sau khi tạo mutex, tệp thực thi đọc các cài đặt được nhúng trong tài nguyên bằng LoadResource và FindResourceW. Các cài đặt này định nghĩa các ngoại lệ mã hóa, thư mục mục tiêu và danh sách các tiến trình cần chấm dứt, định hình giai đoạn mã hóa tiếp theo.
Cấu hình tài nguyên bao gồm 17 trường. Năm yếu tố quan trọng bao gồm:
- Encryption Exclusions: Danh sách các thư mục và loại tệp không bị mã hóa.
- Target Directories: Các thư mục ưu tiên để quét và mã hóa dữ liệu.
- Process Termination List: Các tiến trình sẽ bị chấm dứt để giải phóng tệp.
- Ransom Note Content: Nội dung thông điệp chuộc tiền.
- Tor URL & QTOX ID: Thông tin liên hệ cho nạn nhân.
Cơ Chế Mã Hóa Dữ Liệu Hiệu Quả
Kawa4096 triển khai mã hóa cục bộ để tăng tốc độ xử lý tệp. Các tệp lớn được chia thành các khối 64 KB, trong đó chỉ 25% được mã hóa. Điều này làm hỏng các tiêu đề hoặc chỉ mục để khiến các tệp không thể sử dụng được trong khi giảm thời gian mã hóa.
Các tệp nhỏ hơn được mã hóa toàn bộ hoặc mã hóa cục bộ yếu tùy thuộc vào ngưỡng kích thước. Salsa20 được sử dụng làm thuật toán mã hóa. Các tệp được mã hóa được đổi tên theo mẫu <original>.<ext>.<9 random chars>, cân bằng giữa tốc độ và tác động phá hoại.
Thông Điệp Chuộc Tiền và Mối Đe Dọa Rò Rỉ
Thông điệp chuộc tiền, !!Restore-My-file-Kavva.txt, có định dạng tương tự với mã độc ransomware Qilin. Thông điệp này đưa ra mối đe dọa kép về mã hóa và tiết lộ công khai.
Đặt trong mỗi thư mục được mã hóa và tại thư mục gốc của hệ thống, thông báo liệt kê các loại dữ liệu bị đánh cắp (hồ sơ khách hàng, nhân viên, tài chính), cung cấp URL Tor onion và ID QTOX để đàm phán, đồng thời cảnh báo rằng các tệp bị rò rỉ có thể sẽ được công bố nếu tiền chuộc không được thanh toán. Các dữ liệu rò rỉ đã được xác nhận bao gồm hồ sơ khách hàng thực tế, nhấn mạnh hiệu lực của chiến dịch tống tiền của chúng.
Biện Pháp Chống Khôi Phục Dữ Liệu
Để ngăn chặn khả năng khôi phục, Kawa4096 thực thi các lệnh xóa bản sao bóng (shadow copy) thông qua WMI (Windows Management Instrumentation). Các lệnh này được thiết kế để loại bỏ tất cả các bản sao bóng ổ đĩa, cản trở khả năng khôi phục từ bản sao lưu của nạn nhân và tăng cường đòn bẩy để buộc nạn nhân trả tiền chuộc.
Các lệnh CLI được sử dụng để xóa bản sao bóng bao gồm:
vssadmin delete shadows /all /quiet
wmic shadowcopy delete
Phát Hiện và Phản Ứng Với Các Cuộc Tấn Công Ransomware Kawa4096
Các sản phẩm bảo mật của AhnLab đã tích hợp khả năng phát hiện Kawa4096 dưới nhiều chữ ký. Chẩn đoán V3 gắn cờ các biến thể là Ransomware/Win.KawaCrypt.C5774792 và Ransomware/Win.KawaLocker.C5791069 với các bản cập nhật engine vào tháng 7 và tháng 8 năm 2025.
AhnLab EDR cũng nhận dạng các mẫu hành vi và sự kiện thao túng hệ thống liên quan đến mối đe dọa này. Điều này đảm bảo khách hàng doanh nghiệp nhận được cảnh báo và hướng dẫn khắc phục cho các sự cố Kawa4096, góp phần tăng cường an ninh mạng.
Chỉ Số Lây Nhiễm (IOCs)
Các chỉ số lây nhiễm liên quan đến mã độc ransomware Kawa4096 bao gồm:
- Tên Mutex:
SAY_HI_2025 - Tên tệp thông báo chuộc tiền:
!!Restore-My-file-Kavva.txt - Mẫu đổi tên tệp được mã hóa:
<original>.<ext>.<9 random chars> - Chữ ký phát hiện của AhnLab V3:
Ransomware/Win.KawaCrypt.C5774792Ransomware/Win.KawaLocker.C5791069
