Công ty an ninh mạng Arctic Wolf đã ghi nhận sự gia tăng đáng kể các cuộc tấn công của mã độc ransomware nhắm vào các thiết bị tường lửa SonicWall vào cuối tháng 7 năm 2025. Bằng chứng thu thập được chỉ ra việc khai thác một lỗ hổng zero-day chưa từng được biết đến trước đó.
Cuộc điều tra của Arctic Wolf cho thấy nhiều cuộc tấn công phối hợp đã sử dụng SonicWall SSL VPN làm điểm truy cập ban đầu. Điều này đặt ra những lo ngại nghiêm trọng về mức độ bảo mật của các thiết bị mạng được triển khai rộng rãi này.
Phân tích Lỗ hổng Zero-day và Tấn công
Mục tiêu và Phương thức Tấn công
Chiến dịch ransomware này chủ yếu liên quan đến nhóm mã độc ransomware Akira. Nhóm này đã thể hiện khả năng vượt qua các giao thức bảo mật tiêu chuẩn một cách đáng lo ngại. Các nhà nghiên cứu của Arctic Wolf quan sát thấy rằng những kẻ tấn công đã xâm nhập thành công tài khoản ngay cả khi xác thực đa yếu tố (MFA) Time-based One-Time Password (TOTP) được bật. Điều này cho thấy lỗ hổng zero-day này cho phép bỏ qua các cơ chế xác thực truyền thống.
Trong một số trường hợp được ghi nhận, các thiết bị SonicWall đã được vá đầy đủ vẫn bị xâm nhập ngay sau khi các tổ chức thay đổi thông tin xác thực của họ. Thực tế này chỉ ra rằng các bản cập nhật bảo mật thông thường là không đủ để ngăn chặn những cuộc xâm nhập này.
Dòng thời gian của cuộc tấn công cho thấy một mô hình leo thang nhanh chóng. Việc mã hóa ransomware diễn ra trong một khoảng thời gian ngắn sau khi truy cập SSL VPN ban đầu được thiết lập. Mặc dù Arctic Wolf chưa loại trừ dứt khoát các cuộc tấn công vét cạn (brute force), tấn công từ điển (dictionary attacks) hoặc nhồi nhét thông tin xác thực (credential stuffing) trong tất cả các trường hợp, bằng chứng đã thu thập được cho thấy mạnh mẽ sự tồn tại của một lỗ hổng zero-day mà những kẻ tấn công đang tích cực khai thác.
Lịch sử Chiến dịch và Mức độ Tinh vi
Gốc rễ của chiến dịch này có thể bắt nguồn từ ít nhất tháng 10 năm 2024, khi các mẫu đăng nhập VPN độc hại tương tự lần đầu tiên được quan sát. Tuy nhiên, cường độ của chiến dịch đã tăng đáng kể bắt đầu từ ngày 15 tháng 7 năm 2025. Dòng thời gian mở rộng này cho thấy một hoạt động được thiết lập tốt đã tinh chỉnh các kỹ thuật của mình trong nhiều tháng. Những kẻ tấn công đã thể hiện kiến thức tinh vi về hạ tầng an ninh mạng, thành công trong việc nhắm mục tiêu vào các tổ chức trên nhiều lĩnh vực khác nhau.
Chỉ số Đáng ngờ và IOCs trong Cuộc Tấn công Mạng
Hạ tầng Mạng Đáng ngờ
Phân tích của Arctic Wolf đã phát hiện ra các mẫu đặc trưng trong phương pháp tấn công giúp phân biệt hoạt động độc hại với truy cập mạng hợp pháp. Không giống như các lần đăng nhập VPN thông thường bắt nguồn từ mạng của nhà cung cấp dịch vụ internet băng thông rộng, các nhóm ransomware luôn sử dụng hạ tầng máy chủ riêng ảo (VPS) để xác thực trong các môi trường bị xâm phạm. Cách tiếp cận chiến thuật này cung cấp cho những kẻ tấn công khả năng ẩn danh cao hơn và tính linh hoạt trong hoạt động. Đây là một chỉ số IOC (Indicator of Compromise) quan trọng giúp phát hiện các cuộc tấn công mạng tương tự.
Arctic Wolf đã xác định một số Hệ thống Tự trị (ASN) đáng ngờ mà những kẻ tấn công đã sử dụng cho các hoạt động của họ. Các tổ chức được khuyến nghị xem xét và có khả năng chặn các nỗ lực xác thực VPN từ các ASN liên quan đến hoạt động độc hại này.
Các ASN đáng ngờ được xác định:
- ReliableSite.Net LLC
- Global Connectivity Solutions LLP
- Các ASN liên quan đến dịch vụ lưu trữ khác chưa được tiết lộ chi tiết.
Biện pháp Khắc phục và Phòng ngừa Chống lại Lỗ hổng SonicWall
Khuyến nghị Khẩn cấp
Với mức độ nghiêm trọng của mối đe dọa từ lỗ hổng zero-day này, Arctic Wolf đã đưa ra các khuyến nghị khẩn cấp cho các tổ chức đang sử dụng dịch vụ SonicWall SSL VPN.
Khuyến nghị chính là vô hiệu hóa hoàn toàn chức năng SonicWall SSL VPN cho đến khi có bản vá chính thức và có thể được triển khai. Biện pháp quyết liệt này phản ánh mức độ tin cậy cao rằng một lỗ hổng zero-day đang tồn tại và đang bị khai thác tích cực.
Các biện pháp bảo vệ bổ sung bao gồm:
- Triển khai việc ghi nhật ký và giám sát toàn diện thông qua các dịch vụ phát hiện và phản ứng được quản lý (MDR).
- Triển khai các tác nhân phát hiện điểm cuối (Endpoint Detection and Response – EDR).
- Tuân thủ các phương pháp hay nhất về tăng cường bảo mật của SonicWall.
- Đánh giá và có thể chặn các nỗ lực xác thực VPN từ các Hệ thống Tự trị (ASN) liên quan đến hoạt động độc hại.
Arctic Wolf cam kết tiếp tục điều tra và chia sẻ thêm các phát hiện khi chúng có sẵn, nhấn mạnh tính chất không ngừng phát triển của mối đe dọa an ninh mạng nghiêm trọng này. Để cập nhật thông tin chi tiết về các quan sát và khuyến nghị này, vui lòng tham khảo bài viết của Arctic Wolf.
