Giới Thiệu Tổng Quan về Nhóm Ransomware BERT (Water Pombero)
BERT, một nhóm ransomware mới được theo dõi bởi Trend Micro dưới tên Water Pombero, đã nổi lên như một mối đe dọa đáng kể, gây ảnh hưởng đến các tổ chức trên nhiều khu vực địa lý bao gồm châu Á, châu Âu và Hoa Kỳ. Được ghi nhận lần đầu tiên vào tháng 4, nhóm này tập trung nhắm mục tiêu vào các lĩnh vực kinh doanh quan trọng, cụ thể là y tế, công nghệ và dịch vụ sự kiện. Một trong những đặc điểm nổi bật của BERT là khả năng tiếp cận đa nền tảng, cho phép nó lây nhiễm hiệu quả cả hệ thống Windows và Linux. Mặc dù dựa trên một codebase tương đối đơn giản, sự thành công của BERT trong việc làm gián đoạn hoạt động và né tránh các biện pháp phòng thủ đã nhấn mạnh tính chất liên tục tiến hóa và khả năng thích nghi của các mối đe dọa mạng hiện đại.
Phân Tích Kỹ Thuật Các Biện Pháp Khai Thác Trên Nền Tảng Windows
Trên các hệ thống chạy hệ điều hành Windows, BERT triển khai một chuỗi các bước tinh vi để đạt được mục tiêu của mình. Quy trình tấn công bắt đầu bằng việc lợi dụng các script dựa trên PowerShell, chẳng hạn như “start.ps1”, được thiết kế để thực hiện các hành động ban đầu. Các script này đóng vai trò quan trọng trong việc leo thang đặc quyền trên hệ thống mục tiêu. Sau khi có được quyền cao hơn, BERT tiến hành vô hiệu hóa các cơ chế bảo mật cốt lõi của Windows, bao gồm Windows Defender, tường lửa hệ thống và User Account Control (UAC). Mục đích của việc vô hiệu hóa này là nhằm loại bỏ các rào cản phòng thủ tích hợp, cho phép ransomware hoạt động một cách không bị cản trở và tránh kích hoạt các cảnh báo bảo mật hoặc bị hạn chế bởi các chính sách kiểm soát quyền truy cập.
Sau khi làm suy yếu hệ thống phòng thủ, payload chính của ransomware được tải xuống từ một máy chủ từ xa. Địa chỉ IP được xác định của máy chủ này là 185[.]100[.]157[.]74, được biết là liên kết với một Hệ thống Số Tự trị (ASN) của Nga. Loader này sau đó thực thi payload ransomware với quyền quản trị viên, đảm bảo khả năng truy cập sâu rộng và toàn diện vào các tài nguyên hệ thống. Khi đã được thực thi, BERT sẽ chấm dứt một cách có chọn lọc các tiến trình quan trọng liên quan đến máy chủ web và cơ sở dữ liệu. Hành động này không chỉ gây gián đoạn hoạt động mà còn đảm bảo rằng các tệp đang được sử dụng bởi các dịch vụ này có thể được truy cập và mã hóa.
Quá trình mã hóa tệp được thực hiện bằng cách sử dụng thuật toán mã hóa đối xứng AES (Advanced Encryption Standard), một tiêu chuẩn mã hóa mạnh mẽ và được sử dụng rộng rãi. Sau khi mã hóa, các tệp bị ảnh hưởng sẽ được thêm phần mở rộng đặc trưng, chẳng hạn như “.encryptedbybert”, để nhận dạng các tệp đã bị xử lý bởi ransomware. Các biến thể mới hơn của BERT đã cho thấy sự cải tiến đáng kể trong hiệu suất mã hóa thông qua việc triển khai mã hóa đa luồng. Cụ thể, chúng sử dụng các cấu trúc dữ liệu như ConcurrentQueue và các thành phần như DiskWorker để kích hoạt mã hóa tệp ngay lập tức khi chúng được phát hiện trên hệ thống. Đây là một sự nâng cấp đáng chú ý so với các phiên bản cũ hơn, vốn thường trì hoãn quá trình mã hóa cho đến khi tất cả các đường dẫn tệp mục tiêu được thu thập, giúp BERT hiện tại mã hóa nhanh hơn và hiệu quả hơn.
Chi Tiết Kỹ Thuật Khai Thác Trên Nền Tảng Linux và Môi Trường ESXi
Ở môi trường Linux, đặc biệt là trong các hạ tầng ảo hóa dựa trên ESXi của VMware, BERT phô diễn một tiềm năng hủy hoại đáng kể. Biến thể Linux của ransomware này được thiết kế để hỗ trợ tới 50 luồng xử lý đồng thời, cho phép thực hiện quá trình mã hóa dữ liệu với tốc độ cao. Một trong những tính năng phá hoại đặc biệt của nó là khả năng cưỡng bức chấm dứt các tiến trình máy ảo (VM) đang chạy. Điều này được thực hiện thông qua việc sử dụng các lệnh esxcli vm process kill, một công cụ quản lý máy ảo gốc của ESXi, cho phép ransomware làm gián đoạn hoạt động của VM và khiến chúng dễ bị tấn công hơn.
Sau khi các tiến trình máy ảo bị chấm dứt, BERT sẽ tiến hành mã hóa các snapshot – các bản sao lưu tức thời của trạng thái máy ảo và dữ liệu. Việc mã hóa các snapshot này, cùng với việc thêm phần mở rộng “.encrypted_by_bert” vào các tệp bị ảnh hưởng, làm cho các bản sao lưu quan trọng này trở nên không thể truy cập được. Đồng thời, ransomware cũng sẽ thả các ghi chú tiền chuộc trên hệ thống bị nhiễm, hướng dẫn nạn nhân cách thức thanh toán để giải mã dữ liệu.
Việc nhắm mục tiêu có chủ ý vào hạ tầng ảo hóa, đặc biệt là các máy chủ ESXi và các snapshot của chúng, là một chiến lược tấn công nhằm mục đích làm tê liệt hoàn toàn khả năng khôi phục dữ liệu và hệ thống của một tổ chức. Khi các máy ảo và snapshot bị mã hóa trở nên vô dụng, các quản trị viên hệ thống phải đối mặt với một thách thức cực kỳ nghiêm trọng trong việc khôi phục hoạt động kinh doanh bình thường, làm tăng đáng kể chi phí và thời gian ứng phó với sự cố.
Indicators of Compromise (IOCs)
Dựa trên phân tích kỹ thuật về hoạt động của nhóm ransomware BERT, các Indicators of Compromise (IOCs) chính đã được xác định. Việc giám sát và chặn các IOC này là yếu tố then chốt để phòng thủ và phát hiện các cuộc tấn công tiềm tàng:
- Địa chỉ IP Máy chủ Điều khiển và Kiểm soát (C2)/Tải Payload:
185[.]100[.]157[.]74(Liên kết với một ASN của Nga) - Phần mở rộng tệp mã hóa trên hệ thống Windows:
.encryptedbybert - Phần mở rộng tệp mã hóa trên hệ thống Linux/ESXi:
.encrypted_by_bert - Tên script PowerShell được sử dụng để khởi tạo và leo thang đặc quyền (ví dụ):
start.ps1
Sự Tiến Hóa Mã Nguồn và Mối Liên Kết với Các Nhóm Ransomware Khác
Dữ liệu đo từ xa (telemetry) thu thập bởi Trend Micro đã cung cấp bằng chứng về sự tiến hóa liên tục của nhóm ransomware BERT. Phân tích mã nguồn cho thấy các điểm tương đồng đáng kể với các biến thể ransomware khác đã từng được biết đến, đặc biệt là biến thể Linux của REvil. Sự tương đồng này gợi ý rằng BERT có thể đang tái sử dụng các codebase đã bị rò rỉ hoặc được tái mục đích từ các chiến dịch ransomware trước đó. Hiện tượng này nhấn mạnh một xu hướng đáng lo ngại trong thế giới tội phạm mạng: các nhóm mới nổi có khả năng vũ khí hóa và tùy chỉnh các công cụ và kỹ thuật hiện có với hiệu ứng tàn phá, giảm thiểu thời gian và nguồn lực cần thiết để phát triển các mối đe dọa mới từ đầu.
Chiến Lược Phát Hiện và Ngăn Chặn Mối Đe Dọa BERT
Để đối phó hiệu quả với mối đe dọa từ nhóm ransomware BERT, các tổ chức cần triển khai các giải pháp bảo mật mạnh mẽ. Trend Vision One cung cấp các khả năng phát hiện và chặn toàn diện đối với các Indicators of Compromise (IOCs) đã biết của BERT. Bên cạnh việc chặn chủ động, nền tảng này còn cung cấp các truy vấn săn lùng mối đe dọa (hunting queries) và thông tin tình báo mối đe dọa (threat intelligence) cập nhật. Những công cụ này cho phép các chuyên gia bảo mật chủ động tìm kiếm các dấu hiệu xâm nhập, hiểu rõ hơn về các chiến thuật, kỹ thuật và quy trình (TTPs) của BERT, từ đó giúp các tổ chức duy trì một vị thế phòng thủ vững chắc và ứng phó kịp thời với các cuộc tấn công.
