Các nhóm ransomware bổ sung 'sát thủ với EDR', vô hiệu hóa công cụ bảo mật ngay từ giai đoạn đầu

Cisco Talos là một trong những nhóm nghiên cứu và tình báo bảo mật mạng lớn nhất thế giới, trực thuộc hãng Cisco. Cisco Talos chuyên phát hiện, phân tích và ngăn chặn các mối đe dọa an ninh mạng, gồm ransomware, phần mềm độc hại (malware), lừa đảo (phishing) và tấn công có chủ đích (APT - Advanced Persistent Threats). Ransomware là một loại malware được thiết kế để mã hóa dữ liệu trên thiết bị của nạn nhân và yêu cầu tiền chuộc để mở khóa. Nếu nạn nhân không trả tiền, dữ liệu có thể bị xóa vĩnh viễn hoặc công khai trên mạng.

Các công cụ chống vi rút và bảo mật điểm cuối (endpoint security) đang không hiệu quả khi một số băng nhóm ransomware triển khai "sát thủ với EDR" để vô hiệu hóa hệ thống phòng thủ ngay từ đầu. Đây là một chiến thuật mà Cisco Talos quan sát thấy trong hầu hết vụ tấn công năm 2024 mà họ xử lý.

"Khi cố gắng làm điều đó, các nhóm ransomware thành công trong 48% trường hợp", Kendall McKay, trưởng nhóm chiến lược tại Cisco Talos, nói với trang The Register.

"Chúng tôi không chỉ thấy rất thường xuyên mà còn thấy các nhóm ransomware cố gắng làm điều này ngay từ những bước đầu tiên trong chiến dịch tấn công. Dòng phần mềm độc hại mới này, sát thủ với EDR, đang thực sự phát triển", Kendall McKay nói thêm.

Kendall McKay cho biết các chuyên gia bảo mật thông tin đã thấy những kẻ tấn công "sử dụng một số loại công cụ khác nhau trong cùng một chiến dịch tấn công".

Các băng nhóm ransomware đang ngày càng sử dụng chương trình như EDRSilencer, EDRSandblast, EDRKillShifter và Terminator để sửa đổi hoặc vô hiệu hóa hoàn toàn sản phẩm EDR.

Các phần mềm độc hại này có nhiều cách khác nhau để thực hiện việc đó. Ví dụ, EDRKillShifter, lần đầu tiên được nhóm RansomHub triển khai vào tháng 8.2024, khai thác các driver hợp pháp nhưng có lỗ hổng trên hệ điều hành Windows để chấm dứt hoạt động của các sản phẩm EDR.

Gần đây, các nhà nghiên cứu của hãng ESET đã phát hiện công cụ "sát thủ với EDR" này bị những băng nhóm khác như Medusa, BianLian và Play tái sử dụng.

Dù sử dụng loại phần mềm nào, mục tiêu vẫn giống nhau:

- Vô hiệu hóa hệ thống bảo vệ EDR.

- Duy trì sự hiện diện lâu hơn trong mạng bị xâm nhập mà không bị phát hiện.

- Đánh cắp dữ liệu nhạy cảm và triển khai ransomware trước khi bị loại bỏ.

Điều này cũng khiến việc khôi phục hệ thống trở nên khó khăn hơn với các tổ chức bị tấn công.

"Trong lĩnh vực ransomware, khôi phục hệ thống là một phần quan trọng trong quá trình khắc phục hậu quả", Kendall McKay cho biết.

Ngay cả khi không có bằng chứng về việc hacker đánh cắp dữ liệu hoặc mã hóa file, chỉ cần phát hiện hoạt động tiền-ransomware, các tổ chức cũng nên thực hiện khôi phục hệ thống vì không thể biết chính xác mức độ thiệt hại hoặc những file nào đã bị truy cập.

Thông thường, quá trình khôi phục này bao gồm việc xóa sạch và xây dựng lại toàn bộ mạng lưới, giả sử tổ chức đó có bản sao lưu tốt, để đảm bảo rằng kẻ tấn công đã bị loại bỏ hoàn toàn và không để lại cửa hậu nào.

"Khi các mối đe dọa đang ngày càng phổ biến này, việc giám sát và chặn các 'sát thủ với EDR' ngay từ đầu sẽ trở nên quan trọng hơn bao giờ hết", Kendall McKay nhấn mạnh.

Một số băng nhóm ransomware triển khai "sát thủ với EDR" để vô hiệu hóa hệ thống phòng thủ ngay từ đầu - Ảnh: Internet

Ẩn mình giữa thanh thiên bạch nhật

Không phải tất cả "sát thủ với EDR" đều là phần mềm độc hại. Các chuyên gia phản ứng sự cố của Cisco Talos đã phát hiện công cụ phần mềm hợp pháp mang tên HRSword trong một số cuộc tấn công ransomware mà họ điều tra.

"Đây là một công cụ thương mại hợp pháp, nhưng giờ đây các nhóm tội phạm mạng đã chiếm dụng nó cho mục đích riêng", Kendall McKay tiết lộ.

HRSword là một phần của bộ phần mềm bảo mật do công ty Huorong Network Technology (Trung Quốc) phát triển. Nó được thiết kế để giám sát hoạt động hệ thống, gồm tiến trình, file, registry và lưu lượng mạng, như một phần của giải pháp bảo vệ điểm cuối.

Giống các công cụ hợp pháp khác bị tội phạm mạng lợi dụng, chẳng hạn Cobalt Strike, HRSword đã bị các băng nhóm ransomware lạm dụng để vô hiệu hóa hệ thống bảo mật điểm cuối.

Do là phần mềm hợp pháp, HRSword ít có khả năng bị phát hiện và chặn bởi hệ thống bảo mật của các tổ chức. Ví dụ, trong cuộc tấn công bằng ransomware GlobeImposter năm 2024, hacker giành quyền truy cập quản trị viên (admin) và sử dụng HRSword để vô hiệu hóa EDR của nạn nhân ngay từ giai đoạn đầu.

Tiếp đó, hacker triển khai hàng loạt công cụ hợp pháp khác để kiểm soát từ xa, giúp chúng di chuyển ngang qua mạng lưới và tìm kiếm dữ liệu nhạy cảm để đánh cắp.

"Sau khi triển khai HRSword, chúng tôi thấy Netsupport RAT, Smbexec, Wmiexec và nhiều công cụ khác tạo điều kiện cho việc di chuyển ngang hàng", Kendall McKay nói.

Trong một vụ tấn công khác liên quan đến ransomware Phobos, nhóm tội phạm cũng bắt đầu với HRSword.

"Chúng tôi còn thấy một công cụ thứ hai từ cùng bộ phần mềm bảo mật của HRSword", Kendall McKay nói, cho biết nó có thể đã được dùng để sideload các DLL (thư viện liên kết động) độc hại. Đây là kỹ thuật hacker tận dụng hoặc thay thế DLL hợp pháp bằng DLL độc hại, nhằm thực thi mã độc trên hệ thống mục tiêu.

"Khi nói đến công cụ tấn công của hacker, chúng luôn tìm cách ẩn mình giữa thanh thiên bạch nhật. Hacker sử dụng HRSword vì nó là công cụ hợp pháp, đáng lẽ phải có mặt trong nhiều hệ thống. Điều đó giúp hacker hoạt động mà ít bị phát hiện hơn", Kendall McKay giải thích.

Sửa đổi biện pháp phòng thủ và lạm dụng các công cụ cấu hình kém

Kẻ tấn công không chỉ đơn thuần loại bỏ các sản phẩm bảo mật để kích hoạt lây nhiễm ransomware. Trong một số trường hợp, chúng chỉnh sửa hệ thống phòng thủ của nạn nhân, chẳng hạn thêm quy tắc tường lửa để mở quyền truy cập từ xa vào hệ thống nội bộ.

Trong những trường hợp khác, Cisco Talos phát hiện hacker lạm dụng các sản phẩm bảo mật được cấu hình kém. Đó là những sản phẩm mà các công ty chỉ đơn giản là cài đặt và sử dụng mà không tùy chỉnh phù hợp.

"Hacker nhắm vào những sản phẩm mặc định, chưa được cấu hình riêng cho từng tổ chức. Điều này đặc biệt đáng lo ngại, vì nó là một lỗ hổng dễ khai thác và có thể dễ dàng phòng tránh được nếu các tổ chức chú ý hơn", Cisco Talos nói.

Thường thì điều này liên quan đến các sản phẩm EDR được đặt ở chế độ chỉ kiểm tra (audit-only), nghĩa là có thể phát hiện hoạt động độc hại nhưng không chặn chúng.

"Trên thực tế, chúng tôi liên tục thấy cảnh báo trong một số sự cố từng xử lý, từ cảnh báo về sự xâm nhập ban đầu, sau đó là các hành vi đáng ngờ như leo thang quyền, di chuyển ngang qua mạng và thực thi mã độc, nhưng không có bất kỳ hành động ngăn chặn nào được thực hiện", Kendall McKay nói thêm.

LockBit vẫn đứng đầu, RansomHub bám sát phía sau

Kendall McKay đã trao đổi với trang The Register trước khi Cisco Talos công bố báo cáo đánh giá thường niên, dự kiến phát hành hôm nay. Đây là năm thứ ba liên tiếp LockBit là nhóm ransomware-as-a-service (RaaS) hoạt động mạnh nhất, dựa trên việc theo dõi các trang web rò rỉ dữ liệu.

Các nhóm liên kết với LockBit chiếm 16% tổng số cuộc tấn công được công bố trong năm 2024. Điều đáng nói là dù LockBit đã bị cơ quan thực thi pháp luật triệt phá đầu 2024.

"Điều đó thực sự đáng chú ý với chúng tôi, bởi không gian này rất biến động khi mà các nhóm thường bị triệt phá, đổi tên, nhóm mới xuất hiện... Việc LockBit duy trì vị trí dẫn đầu trong một thời gian dài thực sự thu hút sự chú ý của chúng tôi", Kendall McKay nói.

Báo cáo cũng lưu ý rằng công cụ tạo ransomware của LockBit đã bị rò rỉ vào tháng 9.2022 và điều này có thể đã góp phần vào sự thống trị của nhóm này.

Không có gì ngạc nhiên với những ai theo dõi giới tội phạm mạng, nhóm RansomHub (lần đầu xuất hiện vào tháng 2.2024) đứng thứ hai với tỷ lệ 11%.

"Điểm khác biệt thực sự là liệu cơ quan thực thi pháp luật có phát hành công cụ giải mã trong các chiến dịch triệt phá hay không? Với LockBit, điều đó đã không xảy ra", Kendall McKay lưu ý. Ông cho rằng nếu không có công cụ giải mã cho nạn nhân, việc ngăn chặn ransomware giống như trò chơi đập chuột chũi không có hồi kết.

Sơn Vân