RansomHub: Tổng quan, chiến thuật và biện pháp giảm thiểu

03/03/2025
7 mins read
Nội dung
Tổng quan về RansomHub
Lịch sử và sự phát triển
Chiến thuật, kỹ thuật và quy trình (TTPs)
Các công cụ và phần mềm độc hại liên quan
Các lĩnh vực bị nhắm mục tiêu
Các khuyến nghị giảm thiểu từ CISA và FBI
Quy mô và tác động
Chỉ số thỏa hiệp (Indicators of Compromise – IOCs)
1. Địa chỉ IP liên quan đến RansomHub
2. Giá trị băm (Hash Values) của tệp độc hại
3. Tên tệp độc hại (Malicious Filenames)
4. URL và liên kết Onion
Lưu ý quan trọng
Kết luận

Tổng quan về RansomHub

RansomHub là một biến thể ransomware hoạt động theo mô hình Ransomware-as-a-Service (RaaS), xuất hiện lần đầu vào tháng 2 năm 2024 và nhanh chóng trở thành một mối đe dọa nghiêm trọng trong lĩnh vực an ninh mạng. Nhóm đứng sau RansomHub được cho là đã tận dụng sự gián đoạn của các tổ chức ransomware lớn như LockBit và ALPHV/BlackCat (do các hoạt động thực thi pháp luật gần đây) để mở rộng hoạt động của mình. RansomHub không chỉ nhắm đến các tổ chức tại Hoa Kỳ mà còn tấn công các mục tiêu trên hơn 70 quốc gia, bao gồm cả các cơ sở hạ tầng quan trọng như y tế, giáo dục, sản xuất và chính phủ.

Theo cảnh báo chung từ Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), Cục Điều tra Liên bang Hoa Kỳ (FBI) và các cơ quan khác vào ngày 29 tháng 8 năm 2024 (cập nhật lần cuối ngày 19 tháng 2 năm 2025), RansomHub đã chứng minh khả năng hoạt động hiệu quả và tinh vi, với các chiến thuật, kỹ thuật và quy trình (TTPs) được cải tiến từ những tiền thân của nó.

Lịch sử và sự phát triển

RansomHub được cho là có liên quan đến các nhóm ransomware trước đó, đặc biệt là sau khi ALPHV/BlackCat bị triệt phá vào cuối năm 2023 bởi FBI và các đối tác quốc tế. Một số nhà nghiên cứu an ninh mạng nghi ngờ rằng RansomHub có thể là sự tái sinh của ALPHV, do sự tương đồng trong mã nguồn và chiến thuật. Tuy nhiên, nhóm này đã cải tiến các phương pháp của mình, bao gồm việc sử dụng các công cụ mới như backdoor dựa trên Python và tích hợp các kỹ thuật mã hóa tiên tiến hơn. Điều này cho thấy RansomHub không chỉ kế thừa mà còn nâng cấp từ các nhóm tiền nhiệm để tránh bị phát hiện và tăng hiệu quả tấn công.

Chiến thuật, kỹ thuật và quy trình (TTPs)

RansomHub sử dụng nhiều phương pháp để xâm nhập, duy trì quyền truy cập và thực hiện mã hóa dữ liệu. Dưới đây là các TTPs chính của nhóm này:

  1. Xâm nhập ban đầu:
    • Phishing: RansomHub thường sử dụng email lừa đảo (phishing) chứa tệp đính kèm độc hại hoặc liên kết dẫn đến phần mềm độc hại để xâm nhập mạng của nạn nhân.
    • Khai thác lỗ hổng: Nhóm này khai thác các lỗ hổng trong phần mềm phổ biến như VPN, phần mềm quản lý hệ thống hoặc các ứng dụng không được vá lỗi kịp thời.
    • Truy cập từ xa (RDP): Dịch vụ Desktop từ xa (Remote Desktop Protocol – RDP) bị xâm nhập thông qua thông tin đăng nhập yếu hoặc bị đánh cắp là một vectơ phổ biến.
  2. Duy trì quyền truy cập:
    • Backdoor dựa trên Python: Sau khi xâm nhập, RansomHub triển khai một backdoor viết bằng Python để duy trì quyền truy cập lâu dài vào hệ thống bị xâm phạm. Backdoor này cho phép tin tặc thực hiện các lệnh từ xa và triển khai thêm payload.
    • Công cụ hợp pháp (Living-off-the-Land): Nhóm sử dụng các công cụ có sẵn trong hệ thống như PowerShell, Windows Management Instrumentation (WMI) hoặc PsExec để tránh bị phát hiện bởi phần mềm bảo mật.
  3. Trinh sát và lan truyền:
    • RansomHub thực hiện trinh sát nội bộ để xác định các hệ thống quan trọng, dữ liệu nhạy cảm và tài khoản quản trị viên.
    • Nhóm sử dụng các kỹ thuật như quét mạng và đánh cắp thông tin đăng nhập (credential dumping) để mở rộng quyền truy cập trong mạng.
  4. Triển khai ransomware:
    • Sau khi đã kiểm soát mạng, RansomHub triển khai ransomware để mã hóa dữ liệu. Quá trình này thường đi kèm với việc đánh cắp dữ liệu (data exfiltration) trước khi mã hóa, cho phép nhóm đe dọa tiết lộ thông tin nhạy cảm nếu không được trả tiền chuộc.
    • Payload ransomware được viết bằng ngôn ngữ lập trình Go (Golang), với các phiên bản khác nhau dành cho hệ điều hành Windows và Linux.
  5. Tống tiền:
    • RansomHub áp dụng chiến thuật “tống tiền kép” (double extortion): vừa mã hóa dữ liệu vừa đe dọa công khai dữ liệu bị đánh cắp trên trang web rò rỉ của chúng trên dark web nếu nạn nhân không trả tiền chuộc.

Các công cụ và phần mềm độc hại liên quan

Ngoài backdoor dựa trên Python, RansomHub sử dụng một loạt công cụ để hỗ trợ các hoạt động của mình:

  • Cobalt Strike: Một công cụ thương mại thường bị lạm dụng để thực hiện các cuộc tấn công mạng.
  • MimiKatz: Dùng để trích xuất thông tin đăng nhập từ bộ nhớ hệ thống.
  • Ngrok: Công cụ tunneling giúp tin tặc vượt qua tường lửa và duy trì kết nối từ xa.
  • Egregor và BlackCat Payloads: Một số yếu tố trong mã của RansomHub có sự tương đồng với các ransomware trước đây như Egregor và ALPHV/BlackCat.

Các lĩnh vực bị nhắm mục tiêu

RansomHub tập trung vào các ngành công nghiệp có dữ liệu nhạy cảm hoặc hệ thống quan trọng, bao gồm:

  • Y tế: Các bệnh viện và nhà cung cấp dịch vụ y tế là mục tiêu chính do tính cấp bách của dữ liệu và khả năng trả tiền chuộc cao.
  • Giáo dục: Các trường học và đại học thường có hệ thống bảo mật yếu, dễ bị khai thác.
  • Chính phủ: Các cơ quan chính phủ bị tấn công để gây rối loạn và thu lợi nhuận lớn.
  • Sản xuất: Các công ty sản xuất bị nhắm đến để làm gián đoạn chuỗi cung ứng.

Các khuyến nghị giảm thiểu từ CISA và FBI

Để đối phó với mối đe dọa từ RansomHub, CISA và FBI đã đưa ra một số biện pháp giảm thiểu quan trọng:

  1. Cập nhật phần mềm: Vá lỗi các lỗ hổng bảo mật trên hệ thống và phần mềm ngay lập tức.
  2. Xác thực đa yếu tố (MFA): Áp dụng MFA cho tất cả các dịch vụ truy cập từ xa như RDP và VPN.
  3. Mật khẩu mạnh: Sử dụng mật khẩu phức tạp, duy nhất và thay đổi định kỳ.
  4. Sao lưu dữ liệu: Duy trì bản sao lưu ngoại tuyến (offline backups) để khôi phục dữ liệu mà không cần trả tiền chuộc.
  5. Đào tạo nhân viên: Nâng cao nhận thức về phishing và các kỹ thuật tấn công xã hội.
  6. Phân đoạn mạng: Giới hạn quyền truy cập giữa các phân đoạn mạng để ngăn chặn sự lan rộng của ransomware.

Quy mô và tác động

Tính đến tháng 2 năm 2025, RansomHub đã tấn công hàng trăm tổ chức trên toàn cầu, với hơn 70 quốc gia bị ảnh hưởng. Sự gia tăng nhanh chóng của nhóm này được thúc đẩy bởi việc tuyển dụng các chi nhánh (affiliates) từ LockBit và ALPHV sau khi các nhóm này bị triệt phá. Điều này cho thấy khả năng thích nghi và mở rộng nhanh chóng của RansomHub trong bối cảnh cảnh quan ransomware đang thay đổi.

Chỉ số thỏa hiệp (Indicators of Compromise – IOCs)

1. Địa chỉ IP liên quan đến RansomHub

Các địa chỉ IP này được xác định là có liên quan đến hoạt động của RansomHub, thường được sử dụng trong quá trình giao tiếp hoặc triển khai mã độc. Lưu ý rằng các địa chỉ IP có thể thay đổi theo thời gian, và cần xác minh thêm trước khi chặn để tránh ảnh hưởng đến các dịch vụ hợp pháp.

  • 45.154.35[.]103: Địa chỉ IP được sử dụng trong các cuộc tấn công của RansomHub.
  • 45.86.208[.]143: Liên quan đến cơ sở hạ tầng điều khiển và kiểm soát (C2).
  • 45.95.11[.]103: Phát hiện trong các hoạt động giao tiếp mạng độc hại.
  • 45.95.11[.]104: Được sử dụng trong quá trình triển khai ransomware.
  • 79.124.8[.] pool: Một nhóm địa chỉ IP liên quan đến RansomHub.
  • 79.137.202[.]151: Phát hiện trong các kết nối từ xa của tin tặc.
  • 83.138.53[.]70: Địa chỉ IP liên quan đến việc triển khai mã độc.
  • 85.206.149[.]67: Được sử dụng trong các hoạt động liên quan đến RansomHub.
  • 85.209.11[.]107: Phát hiện trong các cuộc tấn công gần đây.
  • 91.109.202[.]113: Liên quan đến cơ sở hạ tầng của RansomHub.
  • 91.109.206[.]26: Được sử dụng trong các kết nối mạng độc hại.
  • 91.109.206[.]30: Phát hiện trong quá trình giao tiếp với máy chủ C2.
  • 91.109.206[.]37: Liên quan đến việc triển khai ransomware.
  • 176.111.174[.]171: Địa chỉ IP được sử dụng trong các cuộc tấn công.
  • 185.117.73[.]128: Phát hiện trong các hoạt động của chi nhánh RansomHub.
  • 185.122.204[.]197: Liên quan đến cơ sở hạ tầng mạng độc hại.
  • 188.119.66[.]161: Được sử dụng trong quá trình giao tiếp với nạn nhân.
  • 193.106.32[.]225: Phát hiện trong các kết nối từ xa của RansomHub.
  • 194.61.120[.]112: Liên quan đến việc triển khai mã độc.
  • 195.123.226[.]139: Địa chỉ IP được sử dụng trong các cuộc tấn công.

2. Giá trị băm (Hash Values) của tệp độc hại

Các giá trị băm này đại diện cho các tệp độc hại liên quan đến RansomHub, bao gồm ransomware payload, công cụ hỗ trợ và backdoor. Các giá trị này được biểu diễn dưới dạng SHA-256 để hỗ trợ phát hiện.

  • a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91: Tệp ransomware chính của RansomHub.
  • 7bdbd180c081fa63ca94f9c22c457376: Tệp thực thi độc hại (có thể thiếu một phần do định dạng tài liệu).
  • 47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca: Backdoor Python được sử dụng để duy trì quyền truy cập.
  • 2915b3f8b703eb744fc54c81f4a9c67f: Công cụ hỗ trợ triển khai ransomware.
  • 9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507: Tệp mã độc liên quan đến quá trình mã hóa.

3. Tên tệp độc hại (Malicious Filenames)

Các tên tệp này được phát hiện trên hệ thống nạn nhân, thường là các tệp thực thi hoặc tập lệnh được sử dụng trong quá trình tấn công của RansomHub.

  • RansomHub.exe: Tệp thực thi chính của ransomware.
  • pythonw.exe: Phiên bản Python được sử dụng cho backdoor.
  • setup64.exe: Tệp giả mạo phần mềm hợp pháp để triển khai mã độc.
  • svc.exe: Dịch vụ giả mạo để duy trì quyền truy cập.
  • update.bat: Tập lệnh batch để tự động hóa quá trình tấn công.

4. URL và liên kết Onion

Các URL này liên quan đến cơ sở hạ tầng mạng của RansomHub, bao gồm trang web rò rỉ dữ liệu trên dark web và các liên kết liên lạc với nạn nhân.

  • hxxp://185.117.73[.]128: Địa chỉ IP được định dạng dưới dạng URL, liên quan đến máy chủ C2.
  • ransomehub[.]com: Tên miền giả mạo hoặc thử nghiệm liên quan đến RansomHub.
  • rhub7p2slx4ywad7s7dkl7ngmv4ts3y3nb66cs57nsldnbh3gi2olad[.]onion: Trang web rò rỉ dữ liệu trên mạng Tor.
  • rhub7p2slx4ywad7s7dkl7ngmv4ts3y3nb66cs57nsldnbh3gi2olad[.]onion/chat: Liên kết trò chuyện trên mạng Tor để liên lạc với nạn nhân.

Lưu ý quan trọng

  • Xác minh trước khi hành động: CISA và FBI khuyến cáo rằng các tổ chức cần điều tra và xác minh các IOCs (đặc biệt là địa chỉ IP) trước khi thực hiện các biện pháp như chặn, vì một số địa chỉ có thể liên quan đến hoạt động hợp pháp hoặc thay đổi theo thời gian.
  • Nguồn gốc: Các IOCs này được thu thập từ các cuộc điều tra của FBI tính đến tháng 8 năm 2024 và các báo cáo từ bên thứ ba, đảm bảo tính cập nhật đến thời điểm phát hành tài liệu.
  • Ứng dụng: Các tổ chức nên sử dụng các IOCs này trong hệ thống SIEM, IDS/IPS hoặc công cụ bảo mật khác để phát hiện dấu hiệu hoạt động của RansomHub.

Kết luận

RansomHub là một mối đe dọa ransomware tinh vi và nguy hiểm, kết hợp các chiến thuật cũ với công nghệ mới để tối đa hóa hiệu quả tấn công. Với sự tập trung vào các ngành công nghiệp quan trọng và chiến thuật tống tiền kép, nhóm này đặt ra thách thức lớn cho các tổ chức trên toàn cầu. Các khuyến nghị từ CISA và FBI nhấn mạnh tầm quan trọng của việc tăng cường bảo mật chủ động để giảm thiểu rủi ro từ RansomHub và các mối đe dọa tương tự trong tương lai.