Qilin đẩy mạnh “ransomware trọn gói”, kết hợp mã độc và luật sư ép nạn nhân xì tiền

[WhiteHat Team]

Trong bối cảnh nhiều băng nhóm ransomware khét tiếng như LockBit, BlackCat, RansomHub hay Everest bị triệt phá, tan rã hoặc rút lui, cái tên Qilin lại đang nổi lên mạnh mẽ, trở thành một trong những tổ chức tội phạm mạng hoạt động tích cực và nguy hiểm nhất hiện nay.

Qilin là một phần mềm đòi tiền mã hóa (ransomware) đa nền tảng, tấn công Windows, Linux và ESXi, thực hiện các hoạt động đe dọa bằng cách mã hóa dữ liệu và đánh cắp thông tin nhạy cảm để tăng khả năng đòi tiền chuộc. Phần mềm này sử dụng nhiều kỹ thuật tinh vi, bao gồm các chiến thuật lây lan dựa trên kỹ thuật "sống sót từ đất" và các cơ chế chống phát hiện, đồng thời thích ứng linh hoạt với môi trường tấn công. Quá trình xâm nhập chủ yếu qua email giả mạo chứa tệp độc hại khai thác lỗ hổng Microsoft Office, sau đó thiết lập quyền truy cập lâu dài và sử dụng các thuật toán mã hóa mạnh như AES-256 và RSA-4096. Đặc điểm nổi bật của Qilin là khả năng tự điều chỉnh hành vi theo môi trường mục tiêu, đồng thời sử dụng các biện pháp che giấu hoạt động nhằm tối đa hóa tác động trong khi giảm thiểu khả năng bị phát hiện. Các hoạt động của nhóm tấn công liên quan đến các chiến thuật phức tạp và giữ bí mật cao, gây khó khăn trong việc xác định nguồn gốc.

Qilin hoạt động như thế nào?​

• Qilin (còn gọi Gold Feather, Water Galura) bắt đầu hoạt động từ cuối năm 2022
• Cung cấp mã độc viết bằng Rust và C, hỗ trợ tấn công trên hệ điều hành Windows, Linux, ESXi
• Hệ sinh thái của Qilin bao gồm:
  • Panel kỹ thuật cao: ảo hóa Safe Mode, lan truyền nội bộ, xóa log, cố định backdoor .
  • Dịch vụ phụ trợ toàn diện: spam email, lưu trữ dữ liệu, hỗ trợ pháp lý, thậm chí DDoS để gây áp lực .

Một trong những diễn biến đáng lo ngại nhất là việc nhóm này là chúng vừa bổ sung tính năng "gọi luật sư" (Call Lawyer) vào bảng điều khiển dành cho các affiliate. Đây không chỉ là chiêu trò đe dọa tâm lý mà còn thể hiện sự tinh vi, bài bản trong chiến thuật ép nạn nhân trả tiền chuộc. Theo bài viết từ một diễn đàn tội phạm mạng, khi affiliate muốn gây sức ép pháp lý, họ chỉ cần nhấn nút “Call Lawyer” và một người đại diện pháp lý (giả mạo) sẽ tham gia đàm phán, đe dọa doanh nghiệp bị tấn công về các hậu quả pháp lý nếu từ chối trả tiền.

Theo thống kê từ các nền tảng theo dõi hoạt động ransomware, Qilin dẫn đầu với 72 nạn nhân trong tháng 4/2025 và tiếp tục duy trì vị trí top 3 vào tháng 5. Tính từ đầu năm đến nay, nhóm này đã thừa nhận tấn công tổng cộng hơn 300 tổ chức, chỉ xếp sau Cl0p và Akira. Đáng chú ý, một phần trong số các affiliate (cộng tác viên triển khai tấn công) từng làm việc cho RansomHub được cho là đã chuyển sang hoạt động cho Qilin góp phần vào làn sóng tấn công đáng sợ này.

Luồng tấn công của Qilin:

1. Affiliate (đối tác) tiếp cận nạn nhân qua phishing, khai thác mạng, RMM...
2. Cài mã độc Qilin bằng Rust/C, mã hóa dữ liệu và đánh cắp thông tin.
3. Chặn shadow copy, xóa log, phủ đường tấn công.
4. Liên hệ nạn nhân, đàm phán thông qua panel – nếu trì hoãn, luật sư vào cuộc, thậm chí DDoS.
5. Phối hợp báo chí nội bộ, rò rỉ dữ liệu để tăng áp lực trả tiền.

Khuyến nghị bảo vệ từ các chuyên gia:​

• Không mở tệp đính kèm đáng ngờ từ email, nhất là các tệp .doc, .xls, .zip yêu cầu bật macro.
• Xác thực nguồn gửi email: Kiểm tra kỹ địa chỉ, lỗi chính tả hoặc ngữ cảnh không hợp lý.
• Tắt macro theo mặc định trong Office bằng chính sách GPO hoặc Endpoint Protection.
• Thiết lập backup định kỳ và kiểm tra khả năng khôi phục.

Đây là mẫu ransomware mới có khả năng khai thác đa nền tảng. Qilin đang tái định nghĩa ransomware như một dịch vụ tội phạm toàn diện đi từ phần mềm mã hóa đến “support package” có luật sư, DDoS, báo chí nhằm tối đa hóa tác động và tiền chuộc. Đây không chỉ là mối nguy về mặt kỹ thuật mà còn là vấn đề mang tính tầm nhìn, chiến lược xã hội. Doanh nghiệp cần chủ động trang bị đối sách tổng thể không chỉ về công nghệ mà cả về pháp lý và tổ chức.

Theo The Hacker News​