VietNetwork.Vn

Nhóm ransomware có tên Qilin (hay còn gọi là Agenda, Gold Feather và Water Galura) đã tấn công hơn 40 nạn nhân mỗi tháng kể từ đầu năm 2025, ngoại trừ tháng 1, với số lượng bài đăng trên trang web rò rỉ dữ liệu của nhóm này lên tới 100 trường hợp vào tháng 6.

Sự phát triển này diễn ra khi hoạt động ransomware-as-a-service (RaaS) nổi lên như một trong những nhóm ransomware hoạt động tích cực nhất, chiếm 84 nạn nhân mỗi nhóm trong tháng 8 và tháng 9 năm 2025. Nhóm đe dọa nói tiếng Nga xuất hiện vào khoảng tháng 7 năm 2022.


Theo dữ liệu do Cisco Talos tổng hợp, Hoa Kỳ, Canada, Anh, Pháp và Đức là một số quốc gia bị ảnh hưởng nặng nề nhất bởi Qilin. Các cuộc tấn công chủ yếu nhắm vào các lĩnh vực sản xuất (23%), dịch vụ chuyên nghiệp và khoa học (18%) và thương mại bán buôn (10%).

Các cuộc tấn công do các chi nhánh của Qilin thực hiện có khả năng đã lợi dụng thông tin đăng nhập quản trị bị rò rỉ trên dark web để truy cập ban đầu bằng giao diện VPN, sau đó thực hiện kết nối RDP tới bộ điều khiển miền và điểm cuối bị xâm phạm thành công.

Ở giai đoạn tiếp theo, kẻ tấn công đã tiến hành các hành động trinh sát hệ thống và khám phá mạng để lập bản đồ cơ sở hạ tầng và thực thi các công cụ như Mimikatz, WebBrowserPassView.exe, BypassCredGuard.exe và SharpDecryptPwd để tạo điều kiện thu thập thông tin đăng nhập từ nhiều ứng dụng khác nhau và đưa dữ liệu ra máy chủ SMTP bên ngoài bằng cách sử dụng Visual Basic Script.

Talos cho biết: "Các lệnh được thực hiện thông qua Mimikatz nhắm vào một loạt dữ liệu nhạy cảm và chức năng hệ thống, bao gồm xóa nhật ký sự kiện Windows, kích hoạt SeDebugPrivilege, trích xuất mật khẩu đã lưu từ cơ sở dữ liệu SQLite của Chrome, khôi phục thông tin đăng nhập từ các lần đăng nhập trước đó và thu thập thông tin đăng nhập và dữ liệu cấu hình liên quan đến RDP, SSH và Citrix".

Phân tích sâu hơn đã phát hiện ra rằng kẻ tấn công sử dụng mspaint.exe, notepad.exe và iexplore.exe để kiểm tra các tệp tin nhằm tìm thông tin nhạy cảm, cũng như một công cụ hợp pháp có tên Cyberduck để chuyển các tệp tin quan trọng đến một máy chủ từ xa, đồng thời che giấu hoạt động độc hại.

Thông tin đăng nhập bị đánh cắp đã được phát hiện cho phép leo thang đặc quyền và di chuyển ngang, với việc kẻ tấn công lợi dụng quyền truy cập nâng cao để cài đặt nhiều công cụ Giám sát và Quản lý Từ xa (RMM) như AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist và ScreenConnect. Talos cho biết họ không thể kết luận chắc chắn liệu các chương trình này có được sử dụng cho mục đích di chuyển ngang hay không.


Để tránh bị phát hiện, chuỗi tấn công bao gồm việc thực thi các lệnh PowerShell để vô hiệu hóa AMSI, tắt xác thực chứng chỉ TLS và bật Restricted Admin, cùng với việc chạy các công cụ như dark-kill và HRSword để chấm dứt phần mềm bảo mật. Cobalt Strike và SystemBC cũng được triển khai trên máy chủ để truy cập từ xa liên tục.

Quá trình lây nhiễm lên đến đỉnh điểm khi ransomware Qilin được tung ra, mã hóa các tệp và thả một ghi chú đòi tiền chuộc vào mỗi thư mục được mã hóa, nhưng trước đó phải xóa sạch nhật ký sự kiện và xóa tất cả các bản sao ẩn do Windows Volume Shadow Copy Service ( VSS ) duy trì.

Những phát hiện này trùng khớp với việc phát hiện ra một cuộc tấn công Qilin tinh vi đã triển khai biến thể ransomware Linux trên các hệ thống Windows và kết hợp nó với các công cụ CNTT hợp pháp và kỹ thuật mang theo trình điều khiển dễ bị tấn công (BYOVD) để vượt qua các rào cản bảo mật.

Trend Micro cho biết : "Những kẻ tấn công đã lợi dụng các công cụ hợp pháp, cụ thể là cài đặt AnyDesk thông qua nền tảng giám sát và quản lý từ xa (RMM) của Atera Networks và ScreenConnect để thực thi lệnh. Chúng lợi dụng Splashtop để thực thi mã độc tống tiền cuối cùng".

"Chúng đặc biệt nhắm mục tiêu vào cơ sở hạ tầng sao lưu Veeam bằng các công cụ trích xuất thông tin xác thực chuyên dụng, thu thập thông tin xác thực một cách có hệ thống từ nhiều cơ sở dữ liệu sao lưu để xâm phạm khả năng phục hồi sau thảm họa của tổ chức trước khi triển khai phần mềm tống tiền."

Bên cạnh việc sử dụng tài khoản hợp lệ để xâm nhập mạng lưới mục tiêu, một số cuộc tấn công đã sử dụng các trang CAPTCHA giả mạo kiểu Spear-phishing và ClickFix được lưu trữ trên cơ sở hạ tầng Cloudflare R2 để kích hoạt việc thực thi các mã độc hại. Người ta đánh giá rằng các trang này cung cấp thông tin đánh cắp cần thiết để thu thập thông tin đăng nhập, sau đó được sử dụng để có được quyền truy cập ban đầu.

Sau đây là một số bước quan trọng mà kẻ tấn công đã thực hiện:

    Triển khai DLL proxy SOCKS để tạo điều kiện truy cập từ xa và thực thi lệnh
    Lạm dụng khả năng quản lý từ xa của ScreenConnect để thực hiện các lệnh khám phá và chạy các công cụ quét mạng để xác định các mục tiêu di chuyển ngang tiềm ẩn
    Nhắm mục tiêu vào cơ sở hạ tầng sao lưu Veeam để thu thập thông tin đăng nhập
    Sử dụng trình điều khiển "eskle.sys" như một phần của cuộc tấn công BYOVD để vô hiệu hóa các giải pháp bảo mật, chấm dứt các quy trình và trốn tránh sự phát hiện
    Triển khai các máy khách PuTTY SSH để tạo điều kiện thuận lợi cho việc di chuyển ngang sang các hệ thống Linux
    Sử dụng các phiên bản proxy SOCKS trên nhiều thư mục hệ thống khác nhau để che giấu lưu lượng chỉ huy và kiểm soát (C2) bằng cửa hậu COROXY
    Sử dụng WinSCP để chuyển tệp nhị phân ransomware Linux an toàn sang hệ thống Windows
    Sử dụng dịch vụ quản lý Splashtop Remote (SRManager.exe) để thực thi mã nhị phân ransomware Linux trực tiếp trên hệ thống Windows


Các nhà nghiên cứu của Trend Micro lưu ý rằng: "Phần mềm tống tiền nhị phân Linux cung cấp khả năng hoạt động đa nền tảng, cho phép kẻ tấn công tác động đến cả hệ thống Windows và Linux trong môi trường chỉ bằng một tải trọng duy nhất".

"Các mẫu cập nhật tích hợp tính năng phát hiện AHV của Nutanix, mở rộng mục tiêu để bao gồm các nền tảng cơ sở hạ tầng siêu hội tụ. Điều này chứng minh khả năng thích ứng của các tác nhân đe dọa với môi trường ảo hóa doanh nghiệp hiện đại vượt xa các triển khai VMware truyền thống."