-
09/04/2020
-
125
-
1.580 bài viết
Ransomware DragonForce tấn công doanh nghiệp trọng yếu, đánh cắp dữ liệu nhạy cảm
Một chiến dịch ransomware mới mang tên DragonForce đang nhanh chóng trở thành mối lo ngại lớn của giới an ninh mạng kể từ khi xuất hiện vào cuối năm 2023. Với cách thức tấn công ngày càng tinh vi, DragonForce được đánh giá là mối đe dọa nghiêm trọng đối với các doanh nghiệp vận hành hạ tầng quan trọng trên phạm vi toàn cầu.
Đáng chú ý, DragonForce không phải là một nhóm hoạt động đơn lẻ. Chiến dịch này vận hành theo mô hình ransomware as a service, cung cấp cho các đối tác tội phạm mạng bộ công cụ đầy đủ để triển khai tấn công. Nhờ đó, ngay cả những nhóm không sở hữu năng lực kỹ thuật cao cũng có thể thực hiện các chiến dịch ransomware với mức độ phá hoại lớn và phạm vi ảnh hưởng rộng.
Chiến thuật tống tiền kép gia tăng áp lực với nạn nhân
Không dừng lại ở việc mã hóa dữ liệu để tống tiền, DragonForce còn áp dụng chiến thuật tống tiền kép, vốn đang trở thành xu hướng nguy hiểm trong các chiến dịch ransomware hiện nay. Trước khi tiến hành mã hóa hệ thống, mã độc âm thầm sao chép và đánh cắp dữ liệu nhạy cảm của doanh nghiệp mà nạn nhân không hề hay biết.
Trang web rò rỉ dữ liệu của DragonForce (Nguồn: LevelBlue)
Những dữ liệu này sau đó được sử dụng như một công cụ gây sức ép, khi kẻ tấn công đe dọa công bố công khai trên các trang rò rỉ dữ liệu trên dark web nếu nạn nhân không chấp nhận trả tiền chuộc. Cách tiếp cận này khiến việc khôi phục từ bản sao lưu không còn là giải pháp đủ an toàn, bởi rủi ro rò rỉ thông tin vẫn tồn tại ngay cả khi hệ thống đã được phục hồi hoàn toàn.
Nhắm vào nhiều ngành nghề và khu vực trọng điểm
Theo phân tích của LevelBlue, DragonForce tập trung nhắm vào các lĩnh vực như sản xuất, dịch vụ doanh nghiệp, công nghệ và xây dựng. Đây đều là những ngành phụ thuộc lớn vào hệ thống công nghệ thông tin, nơi chỉ một sự cố gián đoạn kéo dài cũng có thể gây thiệt hại nghiêm trọng về vận hành và tài chính.
Danh sách các tính năng chính của DragonForce
Các cuộc tấn công của DragonForce đã được ghi nhận tại nhiều quốc gia, trong đó số lượng nạn nhân tập trung nhiều nhất ở Mỹ, Anh, Đức, Australia và Italy. Để duy trì hiệu quả và mở rộng phạm vi hoạt động, các nhà nghiên cứu cho biết nhóm này liên tục điều chỉnh cách thức vận hành. Thay vì sử dụng các trang web riêng lẻ cho từng nạn nhân, DragonForce đã chuyển sang duy trì một tên miền tập trung để công bố dữ liệu bị rò rỉ, qua đó giúp chiến dịch hoạt động ổn định hơn và khó bị gián đoạn.
Khả năng tấn công đa nền tảng và linh hoạt trong triển khai
Một yếu tố khiến DragonForce trở nên đặc biệt nguy hiểm là khả năng tấn công trên nhiều nền tảng khác nhau. Mã độc này có thể nhắm vào các hệ điều hành Windows, Linux, ESXi, BSD cũng như các hệ thống lưu trữ NAS, cho phép mở rộng phạm vi tấn công trong hầu hết môi trường công nghệ thông tin phổ biến hiện nay.
Giao diện cấu hình
Bên cạnh đó, DragonForce hỗ trợ nhiều chế độ mã hóa khác nhau, bao gồm mã hóa toàn bộ dữ liệu, mã hóa phần đầu tệp và mã hóa từng phần. Các tùy chọn này có thể được điều chỉnh theo từng mục tiêu cụ thể, đồng thời kết hợp với khả năng trì hoãn thời điểm kích hoạt nhằm né tránh các cơ chế phát hiện sớm của hệ thống phòng thủ.
Năng lực kỹ thuật và dấu hiệu tái sử dụng mã độc
Về mặt kỹ thuật, DragonForce sử dụng cơ chế đa luồng để tăng tốc quá trình mã hóa, đồng thời triển khai hệ thống ghi log chi tiết nhằm theo dõi toàn bộ tiến trình tấn công. Đáng chú ý, các đối tác của nhóm có thể thực hiện các đợt chạy thử mà không thực sự mã hóa dữ liệu, qua đó đánh giá mức độ hiệu quả trước khi triển khai chính thức.
DragonForce công bố sản phẩm mới DragonForce – Atom
Ngoài ra, nhóm này còn cung cấp hạ tầng lưu trữ riêng với dung lượng không giới hạn, được giám sát liên tục, cùng các dịch vụ hỗ trợ như phân tích tệp và hỗ trợ giải mã cho đối tác.
Trong quá trình xâm nhập, DragonForce tiến hành trinh sát mạng bằng cách quét các cổng SMB trong dải IP mục tiêu để xác định những hệ thống dễ bị khai thác. Mã độc sử dụng một định danh mutex từng được ghi nhận trong các mẫu ransomware phát triển từ mã nguồn Conti bị rò rỉ, cho thấy dấu hiệu tái sử dụng mã độc từ các chiến dịch trước đây.
Để ngăn chặn khả năng khôi phục dữ liệu của nạn nhân, DragonForce xóa các bản sao Volume Shadow Copy thông qua lệnh WMIC, khiến các phương án phục hồi cục bộ gần như không còn hiệu quả.
Trong quá trình xâm nhập, DragonForce tiến hành trinh sát mạng bằng cách quét các cổng SMB trong dải IP mục tiêu để xác định những hệ thống dễ bị khai thác. Mã độc sử dụng một định danh mutex từng được ghi nhận trong các mẫu ransomware phát triển từ mã nguồn Conti bị rò rỉ, cho thấy dấu hiệu tái sử dụng mã độc từ các chiến dịch trước đây.
Để ngăn chặn khả năng khôi phục dữ liệu của nạn nhân, DragonForce xóa các bản sao Volume Shadow Copy thông qua lệnh WMIC, khiến các phương án phục hồi cục bộ gần như không còn hiệu quả.
Khuyến nghị
Trước mối đe dọa ngày càng gia tăng từ DragonForce, các chuyên gia khuyến nghị doanh nghiệp cần triển khai xác thực đa yếu tố trên toàn bộ hệ thống, đồng thời duy trì quy trình quản lý và cập nhật bản vá nghiêm ngặt nhằm giảm thiểu nguy cơ bị khai thác.
Song song với đó, việc sao lưu dữ liệu định kỳ theo quy trình rõ ràng vẫn là biện pháp phục hồi nhanh và hiệu quả nhất khi sự cố xảy ra. Doanh nghiệp cũng cần tăng cường các giải pháp phát hiện mối đe dọa trên thiết bị đầu cuối, triển khai cơ chế chống ransomware có khả năng bảo vệ shadow copy và áp dụng kiểm soát ứng dụng để ngăn chặn việc thực thi trái phép.
Song song với đó, việc sao lưu dữ liệu định kỳ theo quy trình rõ ràng vẫn là biện pháp phục hồi nhanh và hiệu quả nhất khi sự cố xảy ra. Doanh nghiệp cũng cần tăng cường các giải pháp phát hiện mối đe dọa trên thiết bị đầu cuối, triển khai cơ chế chống ransomware có khả năng bảo vệ shadow copy và áp dụng kiểm soát ứng dụng để ngăn chặn việc thực thi trái phép.
Tổng hợp