Trustwave SpiderLabs đã đóng vai trò quan trọng trong việc giám sát các biến thể ransomware mới trong bối cảnh mối đe dọa ransomware đầy biến động năm 2025, nơi hàng chục nhóm mới đã xuất hiện và gây ra những gián đoạn lớn trên nhiều lĩnh vực. Trong số đó, ransomware KAWA4096 đã được xác định là một mối đe dọa mới đáng chú ý, lần đầu tiên được phát hiện vào tháng 6 năm 2025. Biến thể này đã gây ra ít nhất 11 sự cố, chủ yếu nhắm mục tiêu vào các tổ chức ở Hoa Kỳ và Nhật Bản, với năm sự cố vẫn chưa được tiết lộ trên trang rò rỉ dữ liệu của nhóm. Bản đồ nhiệt tấn công ransomware toàn cầu của SpiderLabs cho thấy KAWA4096 tập trung vào các khu vực này, nhấn mạnh sự gia tăng nhanh chóng trong hoạt động của chúng.
Khả năng của ransomware này tập trung vào mã hóa đa luồng và nhắm mục tiêu chia sẻ mạng, được thiết kế để khuếch đại sự gián đoạn trong khi kết hợp các chiến thuật né tránh để vượt qua cơ chế phát hiện.
Phân tích Kỹ thuật KAWA4096
Cấu hình và Tham số
Phân tích kỹ thuật cho thấy KAWA4096 nhúng cấu hình của nó trực tiếp vào trong tệp nhị phân, được tải qua API LoadResource. Cấu hình này chi tiết các tham số hành vi như phần mở rộng tệp, thư mục và tiến trình cần bỏ qua hoặc chấm dứt.
Ransomware này hỗ trợ các đối số dòng lệnh như:
-d=<directory>: Dùng để mã hóa mục tiêu trong một thư mục cụ thể.-all: Dùng để xử lý tệp toàn diện.-dump: Dùng để ghi nhật ký sự cố (crash logging).
Khi được thực thi mà không có tham số, nó sẽ tự khởi động lại với cờ -all để đảm bảo kích hoạt đầy đủ. Một mutex có tên “SAY_HI_2025” ngăn chặn các phiên bản đồng thời chạy.
Tắt Dịch vụ và Tiến trình
Phần mềm độc hại này sẽ chấm dứt một cách có hệ thống các dịch vụ và tiến trình liên quan đến các công cụ chống vi-rút, cơ sở dữ liệu SQL, hệ thống sao lưu và môi trường SAP bằng cách sử dụng Windows Service Control Manager APIs và các lệnh gọi TerminateProcess.
Kỹ thuật Né tránh Phòng thủ (Defense Evasion)
Đáng chú ý, KAWA4096 tận dụng Windows Management Instrumentation (WMI) thông qua Win32_Process::Create để thực thi các lệnh nhằm xóa Volume Shadow Copies, gây cản trở nỗ lực khôi phục dữ liệu. Kỹ thuật né tránh phòng thủ này phù hợp với các khuôn khổ MITRE ATT&CK, làm phức tạp các phản ứng điều tra pháp y.
Các lệnh được thực thi bao gồm:
vssadmin.exe Delete Shadows /all /quiet
wmic shadowcopy delete /nointeractiveQuy trình Mã hóa
Quy trình mã hóa của KAWA4096 sử dụng semaphores để đồng bộ hóa đa luồng, tạo ra các luồng có thể cấu hình được – điển hình là 10 luồng trong các mẫu được phân tích – để quét và xử lý các tệp một cách đệ quy.
Nó bỏ qua các phần mở rộng, thư mục và tên tệp cụ thể để tránh gây mất ổn định hệ thống. Các tệp và thư mục được bỏ qua bao gồm:
- Phần mở rộng tệp:
.exe,.dll,.sys - Thư mục:
Windows,Program Files - Tên tệp:
boot.ini,desktop.ini
Thay vào đó, ransomware tập trung vào các ổ đĩa cục bộ và tài nguyên mạng chia sẻ nếu được bật trong cấu hình. Các tệp được xếp hàng chờ các luồng worker, các luồng này sẽ áp dụng mã hóa trong khi thay đổi biểu tượng tệp để giống với giao diện giám sát SQL và tùy chọn đặt hình nền màu đen.
Tự xóa và Né tránh Duy trì
Sau khi mã hóa, ransomware sẽ tự xóa thông qua một lệnh được trì hoãn, chẳng hạn như:
cmd.exe /C ping 127.0.0.1 -n 2 > nul && del /F <ransom filepath>Kỹ thuật này giúp ransomware tiếp tục né tránh việc phát hiện sự duy trì trên hệ thống.
Mô phỏng và Liên kết với các Nhóm Ransomware khác
Thông báo tiền chuộc của KAWA4096 giống hệt với của ransomware Qilin, với một số điều chỉnh nhỏ về định dạng. Trong khi đó, trang rò rỉ dữ liệu của nó mô phỏng giao diện thiết bị đầu cuối màu xanh lá cây trên nền đen của Akira, có khả năng nhằm mục đích nâng cao tính hợp pháp cảm nhận. Mặc dù các liên kết chiến thuật, kỹ thuật và thủ tục (TTP) với các nhóm đã thành lập vẫn chưa rõ ràng, việc KAWA4096 áp dụng các yếu tố này cho thấy ý định tận dụng uy tín của các nhóm khác để đạt được thành công trong hoạt động.
Khả năng Phát hiện và Biện pháp Phòng ngừa
Khả năng phát hiện của Trustwave, bao gồm các quy tắc ISA và SpiderLabs, có thể nắm bắt các hành vi này như xóa bản sao bóng (shadow copy) và xóa nhật ký sự kiện qua wevtutil, cùng với các phương pháp Advanced Continual Threat Hunt (ACTH) để chủ động xác định phần mềm độc hại.
Các tổ chức được khuyến nghị tăng cường khả năng phòng thủ chống lại các kỹ thuật này, bao gồm triển khai xác thực đa yếu tố (MFA), sao lưu dữ liệu thường xuyên và giám sát điểm cuối (endpoint monitoring), để giảm thiểu rủi ro từ mối đe dọa đang phát triển này.
