-
09/04/2020
-
117
-
1.220 bài viết
Khi ransomware biết xóa bóng mình - Qilin và bước tiến của mã độc hiện đại
Nếu như những biến thể ransomware cũ chỉ đơn giản mã hóa dữ liệu rồi đòi tiền chuộc, thì thế hệ mới như Qilin đã biết “xóa bóng” chính mình khỏi hệ thống, vô hiệu hóa sao lưu, xóa nhật ký, tắt bảo vệ và thích ứng linh hoạt với cả môi trường ảo hóa.
Nhóm ransomware Qilin (còn được biết đến với các tên khác như Agenda, Gold Feather hay Water Galura) đang nổi lên như một trong những tổ chức hoạt động mạnh nhất theo mô hình Ransomware-as-a-Service (RaaS). Từ đầu năm 2025, nhóm này duy trì trung bình hơn 40 nạn nhân mỗi tháng, có thời điểm bùng phát tới gần 100 vụ rò rỉ dữ liệu. Riêng trong tháng 8 và 9/2025, mỗi tháng ghi nhận 84 nạn nhân mới.
Theo dữ liệu của Cisco Talos, Mỹ, Canada, Anh, Pháp và Đức là những quốc gia chịu ảnh hưởng nặng nề nhất với mục tiêu tấn công tập trung vào ngành sản xuất, dịch vụ chuyên môn, khoa học và thương mại.
Chuỗi tấn công của Qilin được mô tả cấu trúc rõ rệt và thủ thuật. Giai đoạn xâm nhập ban đầu thường xuất phát từ tài khoản quản trị bị rò rỉ hoặc chiến dịch spear phishing (kẻ tấn công nghiên cứu kỹ mục tiêu trước), kèm theo truy cập VPN và RDP tới kiểm soát domain. Sau khi chiếm được điểm dừng, kẻ tấn công thực hiện trinh sát hệ thống, thu thập thông tin bằng công cụ như Mimikatz, WebBrowserPassView, BypassCredGuard và các tiện ích giải mã mật khẩu rồi đẩy dữ liệu ra máy chủ SMTP bên ngoài bằng script Visual Basic.
Đáng chú ý, Qilin không chỉ dựa vào mã hóa Windows truyền thống. Các chiến dịch tinh vi đã triển khai một mẫu mã độc Linux trên hệ thống Windows truyền file bằng WinSCP/Cyberduck rồi thực thi thông qua dịch vụ quản trị từ xa như Splashtop, tạo khả năng tác động chéo nền tảng bằng một payload duy nhất. Đồng thời, nhóm lợi dụng các công cụ hợp pháp như AnyDesk, ScreenConnect, Splashtop, Atera RMM để duy trì quyền truy cập và che giấu hành vi khiến việc phân biệt hoạt động thật/giả và xâm nhập trở nên khó khăn.
Kỹ thuật BYOVD (bring your own vulnerable driver) xuất hiện trong chuỗi tấn công khi nhóm dùng driver dễ bị khai thác (ví dụ eskle.sys) để vô hiệu hóa lớp bảo vệ, chấm dứt tiến trình bảo mật và né tránh giải pháp EDR/AV phát hiện. Mục tiêu chiến lược của Qilin tập trung vào hạ tầng sao lưu: nhóm chuyên thu thập thông tin đăng nhập từ Veeam, xóa sạch shadow copy do Windows Volume Shadow Copy Service duy trì và xóa nhật ký hệ thống trước khi kích hoạt mã độc tống tiền, hành động làm suy giảm nghiêm trọng khả năng phục hồi của nạn nhân. Một số mẫu mới còn tích hợp nhận diện nền tảng ảo hóa Nutanix AHV cho thấy nhóm nhanh chóng thích ứng với môi trường ảo hóa hiện đại.
Các chiến dịch cũng lợi dụng trang CAPTCHA giả mạo (mô phỏng ClickFix) lưu trữ trên Cloudflare R2 để phân phối thông tin đánh cắp và kích hoạt payload. Hành vi triển khai SOCKS proxy, Cobalt Strike, SystemBC và các kỹ thuật tắt AMSI, bỏ xác thực TLS cho thấy mục tiêu là né tránh phát hiện và duy trì kênh C2.
Theo nhận định của chuyên gia WhiteHat, Qilin biểu lộ xu hướng tấn công lai Windows-Linux, lợi dụng BYOVD và công cụ hợp pháp để mở rộng kiểm soát; nhóm này đặc biệt nhắm vào hạ tầng backup như Veeam và đã mở rộng tấn công tới nền tảng ảo hóa như Nutanix AHV, minh chứng cho khả năng thích ứng và quy mô hoạt động toàn cầu. Mặc dù có bằng chứng về liên minh chiến dịch giữa các nhóm tin tặc khác, Qilin vẫn thể hiện năng lực hoạt động độc lập, phức tạp và ổn định.
Để giảm rủi ro, chuyên gia WhiteHat khuyến cáo kiểm soát chặt giới hạn cài đặt, bật MFA, hạn chế truy cập RDP/VPN công khai, tách biệt và mã hóa hệ thống backup, lưu trữ và giám sát nhật ký tập trung, kiểm tra tính toàn vẹn và khả năng khôi phục định kỳ, đồng thời quản lý driver chặt, chỉ cho phép driver ký số và nâng cao cảnh giác trước spear phishing và trang CAPTCHA giả mạo.
Nhóm ransomware Qilin (còn được biết đến với các tên khác như Agenda, Gold Feather hay Water Galura) đang nổi lên như một trong những tổ chức hoạt động mạnh nhất theo mô hình Ransomware-as-a-Service (RaaS). Từ đầu năm 2025, nhóm này duy trì trung bình hơn 40 nạn nhân mỗi tháng, có thời điểm bùng phát tới gần 100 vụ rò rỉ dữ liệu. Riêng trong tháng 8 và 9/2025, mỗi tháng ghi nhận 84 nạn nhân mới.
Theo dữ liệu của Cisco Talos, Mỹ, Canada, Anh, Pháp và Đức là những quốc gia chịu ảnh hưởng nặng nề nhất với mục tiêu tấn công tập trung vào ngành sản xuất, dịch vụ chuyên môn, khoa học và thương mại.
Chuỗi tấn công của Qilin được mô tả cấu trúc rõ rệt và thủ thuật. Giai đoạn xâm nhập ban đầu thường xuất phát từ tài khoản quản trị bị rò rỉ hoặc chiến dịch spear phishing (kẻ tấn công nghiên cứu kỹ mục tiêu trước), kèm theo truy cập VPN và RDP tới kiểm soát domain. Sau khi chiếm được điểm dừng, kẻ tấn công thực hiện trinh sát hệ thống, thu thập thông tin bằng công cụ như Mimikatz, WebBrowserPassView, BypassCredGuard và các tiện ích giải mã mật khẩu rồi đẩy dữ liệu ra máy chủ SMTP bên ngoài bằng script Visual Basic.
Đáng chú ý, Qilin không chỉ dựa vào mã hóa Windows truyền thống. Các chiến dịch tinh vi đã triển khai một mẫu mã độc Linux trên hệ thống Windows truyền file bằng WinSCP/Cyberduck rồi thực thi thông qua dịch vụ quản trị từ xa như Splashtop, tạo khả năng tác động chéo nền tảng bằng một payload duy nhất. Đồng thời, nhóm lợi dụng các công cụ hợp pháp như AnyDesk, ScreenConnect, Splashtop, Atera RMM để duy trì quyền truy cập và che giấu hành vi khiến việc phân biệt hoạt động thật/giả và xâm nhập trở nên khó khăn.
Kỹ thuật BYOVD (bring your own vulnerable driver) xuất hiện trong chuỗi tấn công khi nhóm dùng driver dễ bị khai thác (ví dụ eskle.sys) để vô hiệu hóa lớp bảo vệ, chấm dứt tiến trình bảo mật và né tránh giải pháp EDR/AV phát hiện. Mục tiêu chiến lược của Qilin tập trung vào hạ tầng sao lưu: nhóm chuyên thu thập thông tin đăng nhập từ Veeam, xóa sạch shadow copy do Windows Volume Shadow Copy Service duy trì và xóa nhật ký hệ thống trước khi kích hoạt mã độc tống tiền, hành động làm suy giảm nghiêm trọng khả năng phục hồi của nạn nhân. Một số mẫu mới còn tích hợp nhận diện nền tảng ảo hóa Nutanix AHV cho thấy nhóm nhanh chóng thích ứng với môi trường ảo hóa hiện đại.
Các chiến dịch cũng lợi dụng trang CAPTCHA giả mạo (mô phỏng ClickFix) lưu trữ trên Cloudflare R2 để phân phối thông tin đánh cắp và kích hoạt payload. Hành vi triển khai SOCKS proxy, Cobalt Strike, SystemBC và các kỹ thuật tắt AMSI, bỏ xác thực TLS cho thấy mục tiêu là né tránh phát hiện và duy trì kênh C2.
Theo nhận định của chuyên gia WhiteHat, Qilin biểu lộ xu hướng tấn công lai Windows-Linux, lợi dụng BYOVD và công cụ hợp pháp để mở rộng kiểm soát; nhóm này đặc biệt nhắm vào hạ tầng backup như Veeam và đã mở rộng tấn công tới nền tảng ảo hóa như Nutanix AHV, minh chứng cho khả năng thích ứng và quy mô hoạt động toàn cầu. Mặc dù có bằng chứng về liên minh chiến dịch giữa các nhóm tin tặc khác, Qilin vẫn thể hiện năng lực hoạt động độc lập, phức tạp và ổn định.
Để giảm rủi ro, chuyên gia WhiteHat khuyến cáo kiểm soát chặt giới hạn cài đặt, bật MFA, hạn chế truy cập RDP/VPN công khai, tách biệt và mã hóa hệ thống backup, lưu trữ và giám sát nhật ký tập trung, kiểm tra tính toàn vẹn và khả năng khôi phục định kỳ, đồng thời quản lý driver chặt, chỉ cho phép driver ký số và nâng cao cảnh giác trước spear phishing và trang CAPTCHA giả mạo.
Theo The Hacker News