Makop ransomware bùng phát: RDP yếu và lỗ hổng Windows đẩy doanh nghiệp vào rủi ro

[WhiteHat Team]

Makop (một biến thể của họ ransomware Phobos xuất hiện từ năm 2020) đang trở lại mạnh mẽ và tiếp tục gây thiệt hại cho nhiều doanh nghiệp trên toàn cầu. Các chiến dịch tấn công mới ghi nhận sự kết hợp giữa phương thức brute-force RDP, khai thác loạt lỗ hổng Windows và kỹ thuật BYOVD nhằm vô hiệu hóa phần mềm bảo mật. Sự mở rộng về chiến thuật cho thấy Makop không chỉ đơn thuần mã hóa dữ liệu mà đã trở thành một hệ sinh thái tấn công bài bản, khó phát hiện và gây hậu quả nghiêm trọng nếu không được giám sát kịp thời.

​

Makop ransomware là gì và được phát hiện trong bối cảnh nào?​

Makop là biến thể thuộc dòng Phobos ransomware, họ mã độc nổi tiếng chuyên nhắm vào các hệ thống doanh nghiệp có RDP công khai và cấu hình bảo mật yếu. Trong báo cáo mới nhất, các chuyên gia an ninh mạng mô tả Makop đang ngày càng tinh vi hơn, liên tục bổ sung công cụ tấn công, khả năng leo thang đặc quyền và kỹ thuật né tránh, khiến chuỗi tấn công trở nên khó nhận diện hơn so với các mẫu Phobos truyền thống.

Hoạt động của nhóm tấn công được ghi nhận tại nhiều khu vực, với Ấn Độ chiếm đến 55% số nạn nhân, phần còn lại phân bổ rải rác tại Nam Mỹ, châu Âu và châu Á. Điều này phản ánh xu hướng ransomware hiện nay là tập trung vào doanh nghiệp vừa và nhỏ, nơi thiếu đội ngũ bảo mật chuyên sâu và dễ bị tấn công qua các điểm yếu phổ biến như RDP.

Các lỗ hổng và điểm yếu bị khai thác​

Makop không dựa vào một lỗ hổng duy nhất, mà khai thác cả yếu tố con người (mật khẩu yếu) lẫn các lỗ hổng Windows kéo dài nhiều năm chưa được vá. Chuỗi tấn công thường bắt đầu từ dịch vụ RDP mở ra Internet, nơi tin tặc sử dụng công cụ như NLBrute để dò mật khẩu.

Sau khi đột nhập, nhóm tấn công sử dụng bộ công cụ đa dạng bao gồm phần mềm quét mạng (như NetScan, Masscan), công cụ gỡ antivirus, mã độc tải xuống (như GuLoader) và đặc biệt là hàng loạt lỗ hổng leo thang đặc quyền nhằm chuyển từ quyền user lên quyền System.

Các lỗ hổng Makop thường khai thác gồm:

• CVE-2016-0099: LPE Windows Kernel, CVSS 7,8
• CVE-2017-0213: Windows Update Medic, CVSS 7,8
• CVE-2018-8639: Win32k Elevation, CVSS 7,8
• CVE-2019-1388: Service Control Manager, CVSS 7,0
• CVE-2020-0787: BITS Service, CVSS 7,8
• CVE-2020-0796: SMBGhost, CVSS 10 (RCE/Privilege Escalation)
• CVE-2020-1066: Windows Installer, CVSS 7,8
• CVE-2021-41379: Desktop Window Manager, CVSS 7,8
• CVE-2022-24521: Win32k Subsystem, CVSS 7,8
• CVE-2025-7771: ThrottleStop.sys Driver, CVSS 8,4 (BYOVD)

Danh sách trải dài từ 2016 đến 2025, cho thấy rất nhiều doanh nghiệp vẫn chưa vá các lỗ hổng cũ, tạo điều kiện cho ransomware dễ dàng leo thang đặc quyền và chiếm quyền toàn bộ máy chủ.

Cơ chế tấn công và quá trình khai thác​

Makop có quy trình tấn công theo từng giai đoạn rõ ràng và chuyên nghiệp:

1. Giai đoạn xâm nhập
   Tin tặc dùng brute-force để chiếm quyền RDP có mật khẩu yếu hoặc bị lộ.
2. Giai đoạn mở rộng hiện diện
   Khi vào được hệ thống, chúng sử dụng các công cụ quét mạng để xác định máy chủ giá trị cao, chia sẻ nội bộ và tài nguyên mạng cần chiếm quyền.
3. Giai đoạn leo thang đặc quyền
   Makop dùng hàng loạt lỗ hổng LPE, đồng thời khai thác driver bị ký hợp lệ theo kỹ thuật BYOVD như ThrottleStop.sys hoặc hlpdrv.sys, nhằm giành quyền kernel và vô hiệu hóa EDR/Antivirus.
4. Giai đoạn né tránh và phá hoại
   Mã độc được đặt trong thư mục giả dạng (như desktop, thư mục nhạc) hoặc đặt tên giống tiến trình hợp pháp (taskmgr.exe, mc_osn.exe) để tránh bị phát hiện.
5. Giai đoạn mã hóa
   Khi đã có toàn quyền trên hệ thống và loại bỏ phần mềm bảo mật, Makop bắt đầu mã hóa dữ liệu và để lại ghi chú đòi tiền chuộc.

Rủi ro và hậu quả khi Makop tấn công thành công​

Các chuyên gia cảnh báo rằng Makop gây thiệt hại theo nhiều lớp:

• Nguy cơ tê liệt toàn bộ hoạt động vì hệ thống máy chủ bị mã hóa.
• Mất dữ liệu quan trọng nếu không có bản sao lưu offline.
• Bị rò rỉ dữ liệu nếu nhóm tấn công chọn mô hình “double extortion”.
• Thiệt hại tài chính lớn do gián đoạn vận hành, mất khách hàng, bị phạt tuân thủ.

Quy mô ảnh hưởng không chỉ dừng ở thiết bị bị xâm nhập đầu tiên, mà có thể lan toàn mạng doanh nghiệp trong vài giờ. Đặc biệt, hơn một nửa số vụ tấn công gần đây nhắm vào doanh nghiệp tại Ấn Độ, song các tổ chức ở Brazil, Đức và nhiều quốc gia khác cũng ghi nhận bị xâm nhập.

Giải pháp phòng tránh và khuyến nghị kỹ thuật​

Để giảm thiểu nguy cơ, doanh nghiệp cần triển khai đồng thời nhiều biện pháp.

• Bắt buộc sử dụng mật khẩu mạnh và MFA cho RDP.
• Tắt RDP public hoặc đặt sau VPN.
• Vá toàn bộ lỗ hổng Windows trong danh sách trên, đặc biệt CVE-2020-0796 và CVE-2022-24521.
• Ngăn chặn driver không tin cậy, bật HVCI và chế độ chặn driver dễ bị khai thác (Microsoft vulnerable driver blocklist).
• Triển khai giải pháp EDR có khả năng phát hiện BYOVD.
• Phân tách mạng, hạn chế quyền của tài khoản RDP.
• Duy trì backup offline định kỳ và kiểm tra khả năng phục hồi.

Các chuyên gia an ninh mạng nhấn mạnh rằng BYOVD là xu hướng tấn công đang lan rộng, nên doanh nghiệp không thể chỉ dựa vào việc cập nhật bản vá mà cần kiểm soát cả driver hợp lệ bị lợi dụng.

Makop là minh chứng rõ ràng cho sự tiến hóa của ransomware hiện đại: ưu tiên tấn công đơn giản nhưng hiệu quả, tận dụng lỗ hổng cũ, driver hợp lệ bị khai thác và sai sót trong vận hành của doanh nghiệp. Bài học lớn nhất nằm ở ba yếu tố: bảo vệ RDP, cập nhật hệ thống và giám sát liên tục để phát hiện hành vi bất thường. Khi một chiến dịch ransomware có thể tận dụng lỗ hổng kéo dài gần một thập kỷ, việc chậm vá chỉ cần xảy ra ở một máy chủ cũng đủ mở đường cho thảm họa toàn mạng. Doanh nghiệp cần chủ động phòng vệ, thay vì chờ đến khi mã độc mã hóa dữ liệu rồi mới tìm giải pháp xử lý.

WhiteHat​