Kể từ khi xuất hiện vào tháng 3 năm 2024 và chính thức lộ diện trên Dedicated Leak Site (DLS) vào tháng 6 năm 2024, mã độc ransomware BlackLock, phiên bản đổi tên của nhóm El Dorado trước đây, đã nhanh chóng trở thành một mối đe dọa mạng đáng gờm đối với các tổ chức trên toàn cầu. Phân tích chuyên sâu gần đây của AhnLab Security Intelligence Center (ASEC) đã hé lộ chi tiết về khả năng tấn công đa nền tảng, các quy trình mã hóa dữ liệu tinh vi và chiến thuật xóa bản sao lưu (backup deletion) một cách lén lút của BlackLock.
Phân tích Kỹ thuật về Khả năng Tấn Công của Mã độc Ransomware BlackLock
Mã độc ransomware BlackLock được phát triển bằng ngôn ngữ lập trình Go (Golang), một lựa chọn chiến lược cho phép nó nhắm mục tiêu hiệu quả vào nhiều môi trường hệ thống khác nhau. Với một binary duy nhất, BlackLock có thể hoạt động trên các hệ thống Windows, Linux và các máy chủ ảo VMware ESXi. Khả năng tương thích chéo nền tảng này mang lại sự linh hoạt đáng kể cho các nhóm liên kết (affiliates), giúp họ có thể xâm nhập và gây tổn hại đồng thời cho các môi trường CNTT hỗn hợp.
Phạm vi và Mục tiêu của Cuộc Tấn Công Ransomware
Phần lớn các sự cố tấn công được ghi nhận từ BlackLock đã nhắm vào các doanh nghiệp tại Hoa Kỳ và các cơ quan chính quyền địa phương. Tuy nhiên, các báo cáo về các cuộc tấn công ransomware tại Hàn Quốc, Nhật Bản, Châu Âu và nhiều khu vực khác cũng cho thấy rõ ràng phạm vi hoạt động rộng lớn và tham vọng toàn cầu của nhóm.
Các ngành công nghiệp bị ảnh hưởng bởi mã độc ransomware BlackLock rất đa dạng, bao gồm các tổ chức công, các công ty tư vấn, các tổ chức giáo dục và nghiên cứu, mạng lưới giao thông vận tải, các công ty xây dựng, các nhà máy sản xuất, và thậm chí cả các cơ sở giải trí như sân golf. Sự đa dạng về mục tiêu này đòi hỏi các tổ chức thuộc mọi lĩnh vực phải nâng cao cảnh giác.
Mô hình Ransomware-as-a-Service (RaaS) và Phát triển
Phân tích các bình luận trong mã nguồn và hoạt động trên diễn đàn RAMP, một nền tảng tội phạm mạng nổi tiếng trong cộng đồng nói tiếng Nga, cho thấy rằng các nhà phát triển cốt lõi của BlackLock có khả năng là người nói tiếng Nga. Nhóm này hoạt động theo mô hình Ransomware-as-a-Service (RaaS), một chiến lược cho phép họ tuyển dụng và hợp tác với các thành viên có kỹ năng cao để mở rộng quy mô hoạt động độc hại.
Mô hình RaaS giúp nhóm cốt lõi tập trung vào việc phát triển và duy trì mã độc, trong khi các đối tác (affiliates) chịu trách nhiệm thực hiện các cuộc tấn công mạng thực tế. Điều này tạo ra một hệ sinh thái đe dọa hiệu quả và khó lường.
Quy trình Khởi chạy và Tùy chỉnh của Mã độc
Báo cáo của ASEC chi tiết cách BlackLock tận dụng các thư viện tiêu chuẩn của ngôn ngữ Go để tối ưu hóa quá trình phát triển và đảm bảo hoạt động ổn định, giảm thiểu lỗi. Khi được thực thi, mã độc ransomware BlackLock sẽ phân tích các đối số dòng lệnh để tùy chỉnh hành vi tấn công của nó, cho phép các tác nhân đe dọa có thể điều chỉnh theo từng mục tiêu cụ thể.
Nếu không có tùy chọn nào được chỉ định thông qua dòng lệnh, ransomware sẽ tự động tiến hành mã hóa toàn bộ ổ đĩa cục bộ trên hệ thống bị lây nhiễm. Tuy nhiên, các nhà điều hành có thể tùy chỉnh các tham số quan trọng như đường dẫn mục tiêu cụ thể, độ trễ mã hóa (encryption delay), tỷ lệ phần trăm mã hóa một phần tệp (partial file encryption percentage), số lượng luồng (thread count) được sử dụng để tăng tốc quá trình mã hóa, và khả năng quét chia sẻ SMB từ xa để mở rộng phạm vi tấn công.
Đáng chú ý, mặc dù một cờ -esxi được bao gồm trong binary của BlackLock, được thiết kế để nhắm mục tiêu vào các môi trường VMware ESXi, tính năng này vẫn chưa được triển khai hoàn chỉnh hoặc không hoạt động trong các mẫu mã độc đã được phân tích.
Cơ chế Mã hóa và Xóa Dự phòng của Mã độc Ransomware BlackLock
Quá trình mã hóa dữ liệu của mã độc ransomware BlackLock được thực hiện thông qua thuật toán mã hóa luồng ChaCha20, tận dụng gói crypto mạnh mẽ của ngôn ngữ Go. Đây là một lựa chọn phổ biến trong mã độc hiện đại nhờ tốc độ và độ bảo mật cao. Đối với mỗi tệp tin mục tiêu, ransomware sẽ tạo ra một FileKey ngẫu nhiên có độ dài 32 byte và một giá trị nonce (number used once) ngẫu nhiên dài 24 byte.
Các khóa và nonce này sau đó được sử dụng để xây dựng một thuật toán mã hóa XChaCha20. Quá trình mã hóa thực tế dữ liệu của tệp được tiến hành bằng cách áp dụng XORKeyStream, biến đổi nội dung gốc thành dạng không thể đọc được mà không có khóa giải mã phù hợp.
Bảo vệ Khóa Giải mã và Ngăn chặn Khôi phục Dữ liệu
Một khía cạnh quan trọng trong thiết kế của BlackLock là khả năng duy trì khả năng giải mã tệp sau khi nạn nhân thanh toán tiền chuộc. Để đạt được điều này, ransomware sẽ thêm một phần siêu dữ liệu (metadata) đã được mã hóa vào cuối mỗi tệp tin bị ảnh hưởng. Phần siêu dữ liệu này không chỉ bao gồm FileKey và nonce cần thiết cho việc giải mã, mà còn được bảo vệ thêm một lớp.
Cụ thể, việc mã hóa siêu dữ liệu này sử dụng một quá trình trao đổi khóa Elliptic Curve Diffie-Hellman (ECDH), một phương pháp mã hóa khóa công khai an toàn. Sau đó, hàm secretbox.Seal() của thư viện NaCl/libsodium được sử dụng để niêm phong và bảo vệ thông tin này. Cơ chế bảo vệ kép này có tác dụng ngăn chặn nạn nhân trích xuất FileKey và nonce mà không có khóa riêng của kẻ tấn công, qua đó đảm bảo rằng việc khôi phục dữ liệu chỉ có thể thực hiện được sau khi thanh toán tiền chuộc theo yêu cầu của BlackLock.
Chiến lược Xóa Dự phòng Tinh vi
Sau khi hoàn thành quá trình mã hóa, mã độc ransomware BlackLock triển khai một quy trình xóa bản sao lưu cực kỳ lén lút và hiệu quả. Thay vì sử dụng các lệnh WMI (Windows Management Instrumentation) trực tiếp và dễ bị phát hiện, BlackLock tạo ra một đối tượng COM (Component Object Model). Đối tượng COM này sau đó được sử dụng để thực thi các truy vấn WMI từ bộ nhớ, thông qua việc nhúng shellcode.
Kỹ thuật này giúp BlackLock che giấu hoạt động độc hại của mình khỏi các công cụ giám sát thông thường, đồng thời vô hiệu hóa các cơ chế khôi phục dữ liệu quan trọng. Mục tiêu chính của quy trình xóa này là các bản sao lưu Volume Shadow Copy Service (VSS), thường được sử dụng để khôi phục tệp và hệ thống, cũng như các tệp trong Thùng rác (Recycle Bin), ngăn chặn mọi nỗ lực khôi phục dữ liệu từ các nguồn này. CISA cung cấp các tài nguyên hữu ích để hiểu rõ hơn về cách các nhóm ransomware vô hiệu hóa các bản sao lưu.
Thông báo Đòi Tiền Chuộc
Khi quá trình tấn công hoàn tất, các nạn nhân sẽ phát hiện ra rằng tất cả các tệp của họ đã bị đổi tên với các phần mở rộng ngẫu nhiên không thể đoán trước. Đồng thời, một thông báo đòi tiền chuộc có tiêu đề HOW_RETURN_YOUR_DATA.TXT sẽ được đặt trong mỗi thư mục bị ảnh hưởng. Thông báo này thường chứa các hướng dẫn liên hệ với kẻ tấn công và các cảnh báo nghiêm khắc về hậu quả nếu tiền chuộc không được thanh toán.
Nội dung thông báo sẽ cảnh báo về sự gián đoạn kinh doanh nghiêm trọng hoặc nguy cơ rò rỉ dữ liệu công khai, điều này tạo ra một rủi ro bảo mật lớn và áp lực đáng kể lên các tổ chức nạn nhân.
Biện pháp Phòng ngừa và Nâng cao Bảo mật Mạng
Những phát hiện từ phân tích của ASEC về mã độc ransomware BlackLock một lần nữa nhấn mạnh tầm quan trọng thiết yếu của việc áp dụng các biện pháp phòng thủ an ninh mạng nhiều lớp. Điều này bao gồm việc duy trì các bản sao lưu ngoại tuyến (offline backups) thường xuyên, không kết nối mạng, và việc giám sát chặt chẽ các hoạt động thực thi mã từ xa (remote code execution) cũng như mọi hoạt động quy trình bất thường trên hệ thống.
Các tổ chức đang vận hành hệ điều hành Windows, Linux hoặc môi trường ảo hóa VMware ESXi cần ưu tiên hàng đầu việc quản lý bản vá (patch management) định kỳ, triển khai phân đoạn mạng (network segmentation) để hạn chế sự lây lan, và thực hiện kiểm tra tính toàn vẹn của các bản sao lưu một cách thường xuyên. Đây là các bước cần thiết để giảm thiểu đáng kể mối đe dọa mạng đang phát triển từ mã độc ransomware BlackLock.
Để củng cố an ninh mạng toàn diện và bảo vệ chống lại các cuộc tấn công ransomware tương tự, các tổ chức nên xem xét và thực hiện các khuyến nghị sau:
- Đảm bảo rằng tất cả các hệ thống và ứng dụng luôn được cập nhật các bản vá bảo mật mới nhất ngay khi chúng được phát hành, đặc biệt là cho các lỗ hổng nghiêm trọng.
- Thiết lập và kiểm tra thường xuyên các bản sao lưu dữ liệu quan trọng, đảm bảo chúng được lưu trữ ngoại tuyến hoặc ở một vị trí an toàn, không thể bị ransomware truy cập và mã hóa.
- Triển khai các giải pháp giám sát phát hiện xâm nhập (IDS/IPS) và phân tích hành vi người dùng/thực thể (UEBA) để phát hiện sớm các dấu hiệu bất thường hoặc hoạt động độc hại có thể là tiền thân của một cuộc tấn công ransomware.
- Thực hiện phân đoạn mạng một cách chiến lược để cô lập các hệ thống quan trọng và hạn chế sự lây lan của mã độc ransomware nếu một phần của mạng bị xâm nhập.
- Tăng cường đào tạo nhận thức về an ninh mạng cho toàn bộ nhân viên, đặc biệt là về việc nhận diện email lừa đảo (phishing), các liên kết độc hại và các kỹ thuật tấn công phi kỹ thuật khác, vì đây thường là điểm khởi đầu phổ biến của nhiều cuộc tấn công mạng.
