Một cuộc xâm nhập an ninh đáng kể đã xảy ra trong hoạt động của nhóm mã độc ransomware Qilin. Vụ việc này đã cung cấp cái nhìn chưa từng có về cấu trúc mạng lưới đối tác (affiliate network) và các phương thức hoạt động nội bộ của nhóm. Vào ngày 31 tháng 7 năm 2025, những mâu thuẫn nội bộ giữa nhóm ransomware và một trong các đối tác đã dẫn đến việc công khai các chi tiết hoạt động nhạy cảm. Đây là một sự kiện hiếm hoi, mang đến cái nhìn sâu sắc vào cơ chế vận hành bên trong của một tổ chức Ransomware-as-a-Service (RaaS) quy mô lớn. Vụ việc này cũng làm nổi bật những rủi ro bảo mật luôn hiện hữu từ các mối đe dọa phức tạp như mã độc ransomware.
Bối Cảnh Vụ Rò Rỉ Hoạt Động của Qilin Ransomware
Sự cố bùng phát khi một đối tác của Qilin, hoạt động dưới biệt danh “hastalamuerte”, đã công khai cáo buộc nhóm ransomware thực hiện một vụ lừa đảo “exit scam”. Đối tác này tuyên bố đã bị nhóm Qilin gian lận số tiền 48.000 USD. Tranh chấp này nhanh chóng leo thang, thu hút sự chú ý của cộng đồng tội phạm mạng.
Một tin tặc khác có biệt danh “Nova”, được biết đến là có liên hệ với một nhóm ransomware đối thủ, đã tận dụng cơ hội này. Nova đã công khai thông tin đăng nhập và chi tiết truy cập vào bảng điều khiển quản lý đối tác của Qilin trên các diễn đàn dark web. Hành động này không chỉ phơi bày hoạt động của Qilin mà còn cho thấy sự cạnh tranh khốc liệt giữa các nhóm tội phạm mạng. Sự tham gia của Nova dường như có động cơ chiến lược rõ ràng, bởi các nhóm ransomware đối thủ thường tìm cách phá hoại hoạt động của nhau nhằm giành lợi thế thị trường.
Thông tin bị rò rỉ bao gồm quyền truy cập quản trị vào các hệ thống nội bộ của nhóm Qilin. Đây là những hệ thống mà Qilin đã sử dụng để điều phối các cuộc tấn công. Theo ghi nhận, nhóm này đã nhắm vào hơn 600 nạn nhân khác nhau kể từ năm 2022. Khối lượng nạn nhân lớn này cho thấy quy mô và mức độ nguy hiểm của các chiến dịch do Qilin thực hiện.
Mô Hình Ransomware-as-a-Service (RaaS) của Qilin
Mô hình Ransomware-as-a-Service (RaaS) là nền tảng hoạt động chính của nhóm Qilin. Mô hình này cho phép nhiều đối tác (affiliate) thực hiện các cuộc tấn công bằng cách sử dụng hạ tầng và công cụ do nhóm Qilin cung cấp. Điều này giúp nhóm Qilin mở rộng đáng kể quy mô hoạt động và tăng cường tác động của các chiến dịch mã độc ransomware của chúng trên toàn cầu. Các đối tác chỉ cần tập trung vào việc tìm kiếm mục tiêu và thực hiện tấn công, trong khi Qilin cung cấp công nghệ và hỗ trợ cần thiết.
Các Mục Tiêu Bị Ảnh Hưởng Nổi Bật
Trong số các mục tiêu cấp cao bị xâm phạm bởi các chiến dịch của Qilin có:
- Bộ Y tế Palau.
- Trung tâm Ung thư Utsunomiya của Nhật Bản.
- Lee Enterprises tại Hoa Kỳ.
Những mục tiêu này cho thấy phạm vi ảnh hưởng rộng lớn và khả năng nhắm mục tiêu đa dạng của nhóm mã độc ransomware này.
Phân Tích Công Cụ Khai Thác và Khả Năng Kỹ Thuật
Phân tích sâu hơn các hoạt động của đối tác bị lộ đã hé lộ các khả năng kỹ thuật tinh vi và các mô hình sử dụng công cụ chuyên nghiệp. Các nhà nghiên cứu an ninh mạng đã phát hiện ra rằng đối tác “hastalamuerte” duy trì một kho lưu trữ GitHub công khai. Kho lưu trữ này chứa nhiều công cụ kiểm thử xâm nhập (penetration testing) và thu thập thông tin đăng nhập (credential harvesting).
Bộ Công Cụ của Affiliate “hastalamuerte”
Đặc biệt, trong số các công cụ được tìm thấy có một phiên bản của Mimikatz. Phiên bản này được đóng gói bằng công nghệ mã hóa Themida nhằm né tránh sự phát hiện của các giải pháp bảo mật thông thường và phần mềm diệt virus. Mimikatz là một công cụ nổi tiếng được dùng để trích xuất thông tin xác thực từ bộ nhớ.
Bộ công cụ của đối tác này còn bao gồm NetExec, một framework mạnh mẽ cho việc kiểm thử xâm nhập mạng. NetExec đặc biệt hiệu quả trong việc khai thác các điểm yếu trong các môi trường Active Directory, giúp kẻ tấn công di chuyển ngang (lateral movement) và leo thang đặc quyền. Ngoài ra, đối tác này còn thể hiện sự quan tâm đặc biệt đến các công cụ liên quan đến tiền điện tử, bao gồm các API dành cho Bitkub, sàn giao dịch Bitcoin hàng đầu tại Thái Lan. Sự hiện diện của các công cụ này gợi ý về khả năng nhắm mục tiêu địa lý cụ thể hoặc các khả năng rửa tiền phức tạp trong hoạt động của nhóm.
Khai Thác Lỗ Hổng CVE Nghiêm Trọng
Một điểm đáng lo ngại đặc biệt là bộ sưu tập công cụ khai thác (exploit tools) của đối tác này. Các công cụ này nhắm vào nhiều lỗ hổng CVE đã biết, bao gồm CVE-2021-40444 và CVE-2022-30190 (Follina). Điều này cho thấy nhóm đang tích cực khai thác các lỗ hổng bảo mật đã được công bố rộng rãi. CVE-2021-40444 liên quan đến lỗ hổng thực thi mã từ xa trong Microsoft MSHTML, trong khi CVE-2022-30190 (Follina) là một lỗ hổng trong Microsoft Support Diagnostic Tool (MSDT) cũng cho phép thực thi mã từ xa. Sự hiện diện của các exploit này khẳng định tính nguy hiểm của bộ công cụ.
Các công cụ được phát hiện bao trùm toàn bộ vòng đời tấn công của mã độc ransomware. Chúng bao gồm các giai đoạn từ trinh sát ban đầu, thu thập thông tin xác thực, leo thang đặc quyền cho đến đánh cắp dữ liệu và mã hóa. Điều này chứng minh tính chất toàn diện và chuyên nghiệp của các chiến dịch ransomware hiện đại, không chỉ dừng lại ở việc mã hóa dữ liệu.
Cơ Hội Phòng Thủ và Tăng Cường An Toàn Thông Tin
Thông tin tình báo thu thập được từ vụ rò rỉ này mang lại những cơ hội phòng thủ quý giá cho các chuyên gia an ninh mạng. Các nhà nghiên cứu bảo mật đã xác định các chữ ký phát hiện (detection signatures) và mô hình hành vi cụ thể. Những thông tin này có thể giúp các tổ chức xác định sớm các cuộc tấn công tiềm tàng liên quan đến Qilin trước khi chúng phát triển hoàn chỉnh. Việc chủ động nhận diện các mối đe dọa là yếu tố then chốt để nâng cao đáng kể mức độ an toàn thông tin cho các hệ thống và dữ liệu quan trọng.
Quy Trình Phát Hiện và Giám Sát Chủ Động
Để bảo vệ hiệu quả chống lại các mối đe dọa tương tự, các khuyến nghị phòng thủ chính bao gồm việc triển khai giám sát chủ động:
- Giám sát chặt chẽ các biến thể Mimikatz, đặc biệt là những phiên bản được đóng gói bằng Themida, trong môi trường mạng của bạn.
- Phát hiện việc sử dụng NetExec bất thường hoặc không được ủy quyền trong các bối cảnh kiểm thử xâm nhập hoặc trên các hệ thống quan trọng.
- Theo dõi các sự kết hợp đáng ngờ của các công cụ đã được xác định, đặc biệt là các công cụ thường được sử dụng trong chuỗi tấn công.
- Các tổ chức cần triển khai giám sát tăng cường đối với các lỗ hổng CVE cụ thể, bao gồm CVE-2021-40444 và CVE-2022-30190, xuất hiện trong bộ sưu tập công cụ khai thác của đối tác Qilin.
- Thiết lập các quy tắc phát hiện và cảnh báo cho các mô hình hoạt động được tiết lộ, giúp nhận biết sớm các dấu hiệu xâm nhập.
Chỉ Số Nhận Diện Thăm Dò (IOCs) Kỹ Thuật Quan Trọng
Dựa trên phân tích các công cụ và hoạt động được phát hiện từ vụ rò rỉ, các tổ chức nên đặc biệt chú ý đến các chỉ số nhận diện thăm dò (IOCs) kỹ thuật sau đây:
- Sự hiện diện hoặc hoạt động của các biến thể Mimikatz được đóng gói với Themida trên các điểm cuối.
- Việc thực thi hoặc hoạt động mạng liên quan đến NetExec trong các môi trường Active Directory không được phép.
- Các nỗ lực khai thác hoặc dấu hiệu thành công của các lỗ hổng CVE-2021-40444 và CVE-2022-30190 (Follina).
- Truy vấn API hoặc hoạt động mạng liên quan đến sàn giao dịch tiền điện tử Bitkub từ các hệ thống nội bộ mà không có lý do kinh doanh hợp lệ.
Việc theo dõi và phản ứng nhanh chóng với các IOC này là rất quan trọng để bảo vệ chống lại các chiến dịch mã độc ransomware tinh vi và các cuộc tấn công mạng tương tự.
Giá Trị của Threat Intelligence và Khả Năng Thích Nghi
Sự cố này cũng nhấn mạnh tầm quan trọng của việc chia sẻ thông tin tình báo mối đe dọa (threat intelligence) trong cộng đồng an ninh mạng. Phân tích kỹ thuật chi tiết từ vụ rò rỉ này cho phép các đội ngũ bảo mật phát triển các biện pháp đối phó hiệu quả hơn và các phương pháp gán danh (attribution methods) chính xác hơn. Tuy nhiên, vụ việc cũng là một lời nhắc nhở rằng các nhóm mã độc ransomware có thể nhanh chóng thích nghi hoạt động của chúng như thế nào khi các phương pháp bị lộ. Chúng có thể thay đổi chiến thuật để tránh bị phát hiện.
Việc phơi bày này một lần nữa nhắc nhở rằng, mặc dù các nhóm mã độc ransomware như Qilin đặt ra mối đe dọa đáng kể, hoạt động của chúng vẫn dễ bị tổn thương bởi các tranh chấp nội bộ và lỗi bảo mật vận hành. Những sai sót này có thể cung cấp thông tin tình báo quan trọng và có giá trị cho mục đích phòng thủ. Qua đó, cộng đồng bảo mật có thể học hỏi và củng cố khả năng phòng vệ trước các cuộc tấn công mạng trong tương lai.
