-
09/04/2020
-
131
-
1.846 bài viết
Cảnh báo mã độc phá hủy dữ liệu vĩnh viễn trên Windows, Linux và ESXi
Một chiến dịch tấn công mới có tên VECT 2.0 đang khiến cộng đồng an ninh mạng toàn cầu "cực rén" khi ngụy trang dưới dạng ransomware nhưng thực chất là data wiper - loại mã độc phá hủy dữ liệu không thể phục hồi, đặc biệt với các tập tin có dung lượng trên 131KB.
Theo phân tích từ các chuyên gia, VECT 2.0 là một chiến dịch tấn công đa nền tảng, có thể hoạt động trên Windows, Linux và ESXi. Dù được quảng bá như ransomware, mã độc này lại tồn tại lỗi kỹ thuật nghiêm trọng trong cơ chế mã hóa, khiến phần lớn dữ liệu bị xóa vĩnh viễn, ngay cả khi nạn nhân chấp nhận trả tiền chuộc. Đáng lo ngại hơn, VECT 2.0 còn được triển khai theo mô hình Ransomware-as-a-Service (RaaS), cho phép nhiều đối tượng khác dễ dàng tham gia tấn công với chi phí thấp, từ đó làm gia tăng nguy cơ lây lan trên diện rộng.
Cụ thể, malware này chia mỗi file lớn thành 4 phần (chunk) và mã hóa bằng thuật toán ChaCha20. Tuy nhiên, nó chỉ lưu lại một giá trị “nonce” cuối cùng, trong khi ba giá trị còn lại vốn là yếu tố bắt buộc để giải mã lại bị xóa hoàn toàn. Điều này khiến ít nhất 75% nội dung của file không thể phục hồi, áp dụng với mọi file có dung lượng lớn hơn 131KB, tức gần như toàn bộ dữ liệu doanh nghiệp.
Đáng chú ý, nhóm đứng sau VECT 2.0 tuyên bố sử dụng chuẩn mã hóa mạnh ChaCha20-Poly1305, nhưng thực tế lại triển khai phiên bản yếu hơn, không có cơ chế xác thực dữ liệu. Điều này cho thấy sự thiếu chuyên nghiệp hoặc khả năng sử dụng code tự động (AI) chưa hoàn thiện.
Trên Windows, VECT 2.0 có khả năng mã hóa dữ liệu trên ổ cứng nội bộ, thiết bị lưu trữ rời và cả hệ thống mạng, đồng thời thiết lập cơ chế duy trì hiện diện bằng cách buộc hệ thống khởi động lại trong chế độ Safe Mode. Trong khi đó, các biến thể trên ESXi và Linux có thể lây lan qua SSH và né tránh phân tích thông qua kỹ thuật geofencing, tức là tự động tránh hoạt động tại một số quốc gia nhất định.
Khi nhiều doanh nghiệp tại Việt Nam vẫn phụ thuộc vào khả năng giải mã sau khi trả tiền chuộc, sự xuất hiện của VECT 2.0 là một báo động đỏ. Với loại mã độc này, việc trả tiền chuộc không mang lại bất kỳ khả năng khôi phục dữ liệu nào, đặc biệt với các file trên 131KB - nhóm dữ liệu quan trọng nhất trong hệ thống.
Các đội kỹ thuật tại Việt Nam cần chuyển trọng tâm từ ứng cứu sau tấn công sang phòng thủ chủ động và khả năng phục hồi:
- Triển khai sao lưu offline định kỳ, đảm bảo dữ liệu không bị truy cập từ hệ thống bị nhiễm mã độc
- Thường xuyên kiểm thử quy trình khôi phục để đảm bảo có thể vận hành lại hệ thống trong thời gian ngắn
- Tăng cường giám sát an ninh (EDR/XDR, SIEM) nhằm phát hiện sớm hành vi bất thường, đặc biệt là truy cập trái phép qua SSH hoặc di chuyển ngang trong mạng
- Xây dựng quy trình cô lập nhanh, bao gồm ngắt kết nối máy nghi nhiễm khỏi mạng nội bộ ngay khi phát hiện dấu hiệu tấn công
- Kiểm soát chặt quyền truy cập và hạn chế sử dụng tài khoản đặc quyền, giảm thiểu nguy cơ bị khai thác diện rộng
không phải mọi ransomware đều có thể “giải mã nếu trả tiền”. Với các biến thể như VECT 2.0, mất dữ liệu là vĩnh viễn và chỉ có chiến lược phòng thủ nhiều lớp cùng hệ thống sao lưu an toàn mới là “phao cứu sinh” thực sự.
The Hacker News