"Hồn ma" mã hóa dữ liệu cực kỳ tinh vi với khả năng phá hủy không thể phục hồi

[WhiteHat Team]

Một biến thể ransomware mới mang tên Yurei (nghĩa là Hồn ma trong Tiếng Nhật) vừa được phát hiện và đang gây chú ý trong cộng đồng an ninh mạng nhờ vào khả năng mã hóa dữ liệu mạnh, lan rộng nhanh và xóa sạch dấu vết sau khi tấn công. Theo báo cáo, đây có thể là một trong những chiến dịch ransomware “đánh cắp rồi mã hóa” chuyên nghiệp và nguy hiểm nhất được ghi nhận cho đến thời điểm này.

​

Mã hóa không thể phục hồi, chống điều tra tối đa​

Yurei được lập trình bằng ngôn ngữ Go, vốn được tin tặc ưa chuộng nhờ khả năng đa nền tảng và xử lý song song hiệu quả. Khi được kích hoạt, ransomware này thực hiện mã hóa tệp bằng thuật toán ChaCha20 riêng cho từng tệp, sau đó khóa bằng ECIES public key của kẻ tấn công khiến việc khôi phục gần như không thể nếu không có khóa giải mã.

Không dừng lại ở đó, Yurei còn thực hiện hàng loạt hành động nhằm xóa sạch các dấu vết và ngăn chặn phục hồi dữ liệu:

• Xóa shadow copies và bản sao lưu hệ thống
• Ghi đè nhật ký sự kiện và xóa các tập tin thực thi
• Tự hủy bằng kỹ thuật overwrite 3 lần bằng byte ngẫu nhiên mạnh về mặt mật mã, trước khi đổi tên và xóa chính nó

Tấn công đa hướng, lan nhanh trong mạng doanh nghiệp​

Yurei không chỉ tấn công một máy đơn lẻ. Nó có khả năng di chuyển ngang (lateral movement) trong mạng doanh nghiệp qua:

• Chia sẻ SMB (dưới dạng file giả mạo System32_Backup.exe)
• USB drive (ngụy trang là WindowsUpdate.exe)
• Thực thi từ xa qua PsExec và CIM

Khả năng phát tán qua cả mạng và thiết bị vật lý giúp Yurei âm thầm lan rộng, đặc biệt nguy hiểm với các hệ thống không được giám sát chặt chẽ.

Khi hoàn tất mã hóa, Yurei để lại ransom note tên _README_Yurei.txt trong mọi thư mục, hướng thẳng đến đối tượng "đầu não", khoe khoang chiến tích của nó rằng:

• Hệ thống đã bị kiểm soát hoàn toàn
• Dữ liệu sao lưu đã bị phá hủy
• Nguy cơ rò rỉ dữ liệu nếu không trả tiền chuộc đúng hạn

Tin tặc còn cung cấp một bản “giải mã thử trong 24 giờ” và liên hệ qua nền tảng Tor để thương lượng, kèm theo mã nhận dạng nạn nhân để theo dõi tiến trình.

Dấu hiệu tái sử dụng mã nguồn từ ransomware mã nguồn mở​

Qua phân tích kỹ thuật, Yurei có nhiều điểm tương đồng với Prince Ransomware, một dự án ransomware mã nguồn mở trên GitHub. Các dấu vết như tên thư viện PrinceCrypto.dll, hàm InitPrinceKeys() và mô hình mã hóa tương tự (ChaCha20 + ECIES) cho thấy Yurei được phát triển dựa trên mã Prince, nhưng được cải tiến rõ rệt về hiệu suất và mức độ ẩn mình nhờ tận dụng khả năng song song của Go.

Đã ghi nhận nạn nhân đầu tiên​

Mẫu đầu tiên của Yurei được phát hiện ngày 5/9/2025, nạn nhân là một công ty sản xuất thực phẩm tại Sri Lanka. Tuy nhiên, các trường hợp tiếp theo được ghi nhận từ Đức, Thổ Nhĩ Kỳ và Morocco, cho thấy chiến dịch phát tán ở quy mô toàn cầu.

Tên mã độc “Yūrei” (trong tiếng Nhật nghĩa là “hồn ma”) không nhất thiết phản ánh nguồn gốc của nhóm tấn công, cũng chưa có dấu hiệu cho thấy nhóm tấn công đến từ Nhật Bản. Dữ liệu biên dịch còn để lộ thông tin tài khoản lập trình intellocker và đường dẫn D:\satanlockv2, có thể liên quan đến SatanLockerV2 - một ransomware cũ từng xuất hiện trước đó.

Chuyên gia WhiteHat: Phục hồi là điều gần như không thể​

Trong bối cảnh các chiến dịch ransomware ngày càng tinh vi và tàn phá mạnh như Yurei, việc khôi phục dữ liệu sau tấn công gần như là bất khả thi. Do đó, thay vì chờ sự cố xảy ra rồi mới ứng phó, các doanh nghiệp cần chủ động củng cố phòng tuyến an ninh mạng của bạn. Điều này bao gồm việc kiểm soát nghiêm ngặt quyền truy cập, tách biệt hệ thống sao lưu khỏi hạ tầng chính, giám sát liên tục các hành vi bất thường và nâng cao nhận thức bảo mật cho toàn bộ nhân sự. Khi chiến lược phòng thủ được xây dựng nhiều lớp và vận hành hiệu quả, tổ chức sẽ giảm thiểu đáng kể nguy cơ bị mã hóa dữ liệu, gián đoạn vận hành hoặc bị tống tiền bởi các nhóm tin tặc.

Theo Security Online​