Mã độc Ransomware Spirals: Tấn công thần tốc, rủi ro nghiêm trọng

Mã độc Ransomware Spirals: Tấn công thần tốc, rủi ro nghiêm trọng

Một biến thể mã độc ransomware mới mang tên “Spirals” đã tấn công một công ty dịch vụ IT tại khu vực Nam Á vào tháng 6 năm 2026. Nhóm Threat Hunter của Symantec báo cáo rằng kẻ tấn công đã chuyển từ giai đoạn xâm nhập ban đầu đến mã hóa toàn bộ mạng chỉ trong vòng chưa đầy 24 giờ.

Payload dựa trên Rust này dường như là một biến thể hoàn toàn mới hoặc được xây dựng chuyên biệt cho cuộc tấn công mạng có chủ đích này. Danh tính của tác nhân đe dọa đứng sau chiến dịch vẫn chưa được xác định rõ ràng.

Diễn biến Kỹ thuật của Cuộc Tấn công Mã độc Spirals

Giai đoạn Xâm nhập Ban đầu

Sự xâm nhập bắt đầu vào 22:21 ngày 16 tháng 6 theo giờ địa phương, khi kẻ tấn công xâm nhập một máy chủ web IIS hướng Internet và tải lên một web shell ASP.NET.

Trong vòng vài phút, chúng đã triển khai ba công cụ tạo đường hầm riêng biệt, bao gồm Chisel (ngụy trang thành chrome.exe) và một client Cloudflare tunnel. Các công cụ này thiết lập các kênh liên lạc dự phòng và bí mật, tạo ra một rủi ro bảo mật đáng kể.

Một công cụ mạo danh token được triển khai ngay sau đó, có khả năng cho phép leo thang đặc quyền trên hệ thống bị xâm nhập.

Trong một phiên điều khiển trực tiếp (hands-on-keyboard) kéo dài ba giờ tập trung, tác nhân đã khởi tạo cmd.exepowershell.exe thông qua quy trình worker của IIS. Chúng thực hiện bỏ qua User Account Control (UAC), kích hoạt Remote Desktop Protocol (RDP), tạo một tài khoản cục bộ duy trì và lấy cắp tệp SAM hive.

Đến 23:07, các hoạt động tiền thân ban đầu cho thấy những nỗ lực tích cực nhằm vô hiệu hóa các công cụ bảo mật, một dấu hiệu rõ ràng của ý định triển khai mã độc ransomware.

Di chuyển Ngang và Khai thác Tên miền

Như đã được chi tiết trong một báo cáo về mã độc ransomware Spirals, kẻ tấn công đã chuyển sang di chuyển ngang dựa trên WMI vào lúc 23:33. Thông tin thêm có thể tham khảo tại BleepingComputer – Tin tức An ninh mạng.

Chúng đã thành công tấn công hơn một tá máy trong vòng vài phút bằng cách sử dụng thông tin xác thực quản trị viên tên miền bị xâm phạm. Tốc độ nhanh chóng này cho thấy mục tiêu được tự động hóa và lập kế hoạch từ trước, chứ không phải do thăm dò thủ công, cho thấy một chiến thuật tấn công mạng tinh vi.

Vào ngày 17 tháng 6, kẻ tấn công đã thay đổi chiến thuật, sử dụng PsExec làm vector triển khai hàng loạt chính. Bắt đầu khoảng 14:12, một máy chủ bị xâm nhập duy nhất đã đẩy một payload PowerShell được mã hóa base64 giống hệt nhau đến các mục tiêu mạng cứ vài giây một lần trong khoảng 30 phút.

Việc quản lý các công cụ quản trị bị xâm nhập trong một mạng lưới phản ánh những thách thức về an ninh mạng dai dẳng mà các nhà phòng thủ phải đối mặt khi quản lý các lỗ hổng SharePoint bị khai thác bởi các tác nhân cơ hội.

Tham khảo thêm về các lỗ hổng SharePoint tại Microsoft SharePoint Code Execution Vulnerability Exploited.

Triển khai Mã độc và Vô hiệu hóa Dịch vụ

Payload tự động này ngay lập tức vô hiệu hóa tính năng giám sát thời gian thực của Windows Defender và buộc dừng hơn 20 dịch vụ sao lưu, cơ sở dữ liệu và ảo hóa quan trọng, bao gồm Veeam, VMware, SQL ServerExchange. Điều này nhằm xóa bỏ các file handle đang mở trước khi quá trình mã hóa bắt đầu.

Tệp thực thi của mã độc ransomware được đặt tên là bitsadmin.exe để ngụy trang thành một tiện ích hợp pháp của Windows. Nó được dàn dựng trên nhiều vị trí mạng, bao gồm thư mục script miền SYSVOL, đảm bảo sự lây lan tự động ngay cả đến các máy không được nhắm mục tiêu trực tiếp bởi script PsExec.

Kỹ thuật dàn dựng này nhấn mạnh lý do tại sao các tổ chức doanh nghiệp phải kiểm tra các chia sẻ script nội bộ, cũng như kiểm tra hệ thống của họ chống lại các khai thác công cụ lưu trữ khác. Ví dụ, các lỗ hổng 7-Zip có thể cho phép kẻ tấn công thả các tệp nhị phân giả mạo vào các cấu trúc thư mục hợp pháp.

Thông tin chi tiết về các lỗ hổng 7-Zip có thể được tìm thấy tại 7-Zip Vulnerabilities: Code Execution.

Đặc điểm Kỹ thuật của Mã độc Ransomware Spirals

Spirals hoạt động như một công cụ mã hóa đầy đủ tính năng, được xây dựng bằng Rust với các khả năng né tránh phòng thủ, di chuyển ngang tự động, chấm dứt tiến trình và leo thang đặc quyền. Đây là một biến thể mã độc ransomware tinh vi, đặt ra nhiều thách thức cho an ninh mạng doanh nghiệp.

Ransomware để lại dấu vết cục bộ để buộc đàm phán:

  • Ghi chú đòi tiền chuộc được thả trên toàn hệ thống dưới dạng C:\RECOVERY_SECTION.log.
  • Ghi chú đe dọa rò rỉ công khai dữ liệu công ty bị đánh cắp trong vòng sáu ngày nếu mục tiêu không trả tiền.
  • Ghi chú hướng nạn nhân đến một cổng đàm phán Tor, được Symantec xác nhận là gọi rõ ràng họ mối đe dọa là “Spirals”.

Mặc dù Spirals mới chỉ được quan sát thấy đối với một nạn nhân duy nhất cho đến nay, nhưng tính kỷ luật trong hoạt động của nó cho thấy đây là một tác nhân có kỹ năng cao, có khả năng mở rộng các cuộc tấn công mạng một cách nhanh chóng.

Sự kết hợp của hạ tầng đường hầm phân lớp, thu thập thông tin xác thực thông qua bãi chứa LSASS (sử dụng rundll32.execomsvcs.dll), và lây lan trên toàn miền qua SYSVOL đòi hỏi một phản ứng phòng thủ tức thì để củng cố an ninh mạng.

Các Chỉ số IOC và Khuyến nghị Phòng thủ

Danh sách các chỉ số thỏa hiệp (IOC) của Symantec bao gồm hạ tầng dàn dựng chuyên dụng được lưu trữ tại 185.141.216.194 cùng với hai tên miền bị xâm phạm được sử dụng để lưu trữ các payload độc hại của mã độc ransomware này.

Chỉ số IOC

  • Địa chỉ IP Hạ tầng Staging: 185.141.216.194
  • Tên tệp độc hại được ngụy trang: bitsadmin.exe (tệp thực thi ransomware), chrome.exe (ngụy trang cho Chisel)
  • Vị trí ghi chú đòi tiền chuộc: C:\RECOVERY_SECTION.log
  • Công cụ và kỹ thuật được sử dụng: ASP.NET web shell, Chisel, Cloudflare tunnel client, Token impersonation, UAC bypass, RDP enablement, SAM hive dump, WMI-based lateral movement, PsExec, LSASS dump (rundll32.exe, comsvcs.dll), SYSVOL propagation.

Khuyến nghị Phòng thủ

Để giảm thiểu rủi ro bảo mật từ các biến thể mã độc ransomware như Spirals, các tổ chức đang vận hành máy chủ IIS hướng Internet nên ưu tiên thực hiện các biện pháp sau:

  • Thực hiện kiểm tra bảo mật nghiêm ngặt và cập nhật bản vá bảo mật định kỳ cho tất cả các máy chủ hướng Internet, đặc biệt là máy chủ IIS.
  • Triển khai các giải pháp phát hiện và phản ứng điểm cuối (EDR) mạnh mẽ để phát hiện các hoạt động bất thường như triển khai công cụ đường hầm hoặc vô hiệu hóa dịch vụ bảo mật.
  • Giám sát chặt chẽ lưu lượng mạng để phát hiện các kênh liên lạc bí mật và di chuyển ngang dựa trên WMI, góp phần tăng cường an ninh mạng tổng thể.
  • Thường xuyên sao lưu dữ liệu quan trọng và đảm bảo các bản sao lưu được bảo vệ ngoại tuyến hoặc trong các hệ thống biệt lập để chống lại các cuộc tấn công ransomware.
  • Kiểm tra và củng cố chính sách mật khẩu, cũng như triển khai xác thực đa yếu tố (MFA) cho tất cả các tài khoản quản trị viên.
  • Nghiêm túc xem xét việc kiểm tra định kỳ các chia sẻ script nội bộ và các thư mục hệ thống như SYSVOL để phát hiện các tệp nhị phân ngụy trang.