Các nhà nghiên cứu tại ESET vừa công bố một phân tích chuyên sâu về những thay đổi đáng kể của ransomware, đặc biệt nhấn mạnh sự trỗi dậy của RansomHub. Dù chỉ mới xuất hiện, nhóm ransomware-as-a-service (RaaS) này đã nhanh chóng chiếm lĩnh vị thế quan trọng trong giới tội phạm mạng.
“Theo dõi diễn biến ransomware năm 2024, chúng ta chứng kiến hai cột mốc quan trọng: Hai băng nhóm hàng đầu trước đây, LockBit và BlackCat, đã gần như biến mất. Đồng thời, lần đầu tiên kể từ năm 2022, tổng số tiền chuộc được ghi nhận giảm mạnh tới 35%. Tuy nhiên, số nạn nhân bị công bố trên các trang rò rỉ dữ liệu lại tăng khoảng 15%, phần lớn do sự xuất hiện của RansomHub. Nhóm này nổi lên vào thời điểm diễn ra Chiến dịch Cronos của cơ quan thực thi pháp luật – chiến dịch đã làm gián đoạn hoạt động của LockBit,” Jakub Souček, nhà nghiên cứu tại ESET, chia sẻ sau khi điều tra về RansomHub
Các đối tác chi nhánh liên kết
Giống như hầu hết các băng nhóm RaaS mới nổi, RansomHub cần thu hút các đối tác liên kết – những kẻ thuê dịch vụ ransomware từ nhóm điều hành. Vì số lượng càng đông càng có lợi, nên nhóm này không quá khắt khe trong việc tuyển chọn.
Quảng cáo đầu tiên của RansomHub xuất hiện trên diễn đàn RAMP, nơi giao tiếp bằng tiếng Nga, vào đầu tháng 2/2024, chỉ tám ngày trước khi nhóm công bố các nạn nhân đầu tiên. RansomHub đặt ra quy tắc không tấn công các quốc gia thuộc Cộng đồng các Quốc gia Độc lập (CIS) hậu Xô Viết, cùng với Cuba, Triều Tiên và Trung Quốc.
Điều đáng chú ý là nhóm này thu hút đối tác bằng một lời đề nghị hiếm thấy: toàn bộ số tiền chuộc sẽ được chuyển trực tiếp vào ví của đối tác liên kết, và họ chỉ cần chia lại 10% cho nhóm điều hành. Điều này tạo ra sự khác biệt so với nhiều mô hình RaaS khác, vốn thường khấu trừ ngay một phần doanh thu trước khi thanh toán.
EDRKillShifter
Vào tháng 5, nhóm điều hành RansomHub đã thực hiện một cập nhật quan trọng: họ ra mắt công cụ EDR killer của riêng mình – một loại phần mềm độc hại đặc biệt được thiết kế để vô hiệu hóa, làm tê liệt hoặc khiến phần mềm bảo mật trên hệ thống nạn nhân bị lỗi. Công cụ này thường hoạt động bằng cách khai thác các lỗ hổng trong trình điều khiển (driver) dễ bị tấn công.
Công cụ EDR killer của RansomHub, có tên EDRKillShifter, là một công cụ tùy chỉnh do chính nhóm này phát triển và duy trì. Nó được cung cấp cho các đối tác liên kết của RansomHub, nhắm vào nhiều giải pháp bảo mật khác nhau mà nhóm dự đoán sẽ có mặt trong các hệ thống mục tiêu.
“Việc phát triển và cung cấp công cụ vô hiệu hóa EDR cho đối tác liên kết trong mô hình RaaS là điều hiếm thấy. Thông thường, các đối tác phải tự tìm cách vượt qua các biện pháp bảo mật – một số tái sử dụng công cụ có sẵn, trong khi những người có chuyên môn cao có thể chỉnh sửa mã nguồn mở hoặc sử dụng các EDR killer bán sẵn trên dark web. Các nhà nghiên cứu tại ESET đã ghi nhận sự gia tăng đáng kể trong việc sử dụng EDRKillShifter, không chỉ giới hạn trong các cuộc tấn công của RansomHub,” chuyên gia bảo mật Jakub Souček cho biết.
Cách thức hoạt động của EDRKillShifter
Các công cụ EDR killer tiên tiến thường bao gồm hai phần:
- Chế độ người dùng (user mode) – chịu trách nhiệm điều phối hoạt động (chứa mã độc để tấn công).
- Trình điều khiển hợp pháp nhưng có lỗ hổng (vulnerable driver) – bị kẻ tấn công khai thác. Quá trình tấn công thường rất đơn giản: mã độc sẽ cài đặt trình điều khiển dễ bị tấn công (thường được nhúng sẵn trong tệp tin hoặc tài nguyên của công cụ), sau đó quét danh sách các quy trình liên quan đến phần mềm bảo mật và gửi lệnh đến trình điều khiển bị lỗi. Lỗ hổng này sau đó sẽ bị khai thác để vô hiệu hóa phần mềm bảo mật ở cấp kernel, khiến hệ thống mất khả năng phòng vệ.
“Việc bảo vệ trước các công cụ EDR killer là một thách thức lớn. Để triển khai EDR killer, kẻ tấn công cần có quyền quản trị hệ thống (admin privileges), vì vậy, cách tốt nhất là phát hiện và ngăn chặn chúng trước khi đạt đến giai đoạn này,”chuyên gia Souček cảnh báo.
Mối liên hệ với các băng nhóm khác
ESET cũng phát hiện rằng các đối tác liên kết của RansomHub không chỉ làm việc cho nhóm này mà còn hợp tác với ba băng nhóm ransomware khác: Play, Medusa và BianLian việc RansomHub có liên hệ với Medusa không quá bất ngờ, bởi trong giới tội phạm mạng, việc một đối tác làm việc đồng thời cho nhiều nhóm là điều khá phổ biến.
