Virus mã hóa tống tiền LockBit tấn công các máy chủ Windows Domain tại Việt Nam

LockBit Black (phiên bản 3.0), biến thể mới của virus mã hóa dữ liệu khét tiếng toàn cầu bắt đầu các cuộc tấn công của mình tại Việt Nam vào đầu năm 2024.

Các chuyên gia cho biết, mã độc đã có nhiều cải tiến tinh vi hơn, cả về kịch bản mã hóa và cách thức lây lan, có khả năng qua mặt được các giải pháp bảo mật thông thường.

Trong khoảng 2 tháng trở lại đây, các chuyên gia Bkav liên tục nhận được yêu cầu trợ giúp từ nhiều doanh nghiệp tại Việt Nam với tình trạng chung là các máy tính trong mạng nội bộ đều bị mã hóa cùng một thời điểm, dữ liệu không thể cứu được.

Kết quả điều tra, phân tích từ nhiều vụ việc cho thấy, thủ phạm mã hóa dữ liệu là LockBit 3.0, hay còn gọi là LockBit Black, một ransomware của băng đảng hacker nổi tiếng, mới đây đã bị Liên minh cảnh sát quốc tế (gồm Cơ quan phòng chống tội phạm quốc gia Anh – NCA, Cục điều tra liên bang Mỹ - FBI và Cơ quan cảnh sát liên minh châu Âu - Europol) triệt phá.

LockBit Black có những cải tiến tinh vi hơn so với các biến thể trước đây. Chúng được thiết kế đặc biệt để nhắm tới những máy chủ quản lý Windows Domain trong hệ thống nội bộ. Sau khi đã xâm nhập được, virus sử dụng chính các máy chủ này tiếp tục lây lan vào toàn bộ hệ thống, thực hiện vô hiệu hóa các giải pháp bảo mật (disable anti-virus, firewall), sao chép và thực thi mã độc… Bằng cách này, virus có thể mã hóa toàn bộ máy trong hệ thống nội bộ cùng lúc mà không cần phải tấn công từng máy như trước đây.

Không chỉ dừng ở việc thay đổi phương pháp và đối tượng nhắm tới, LockBit Black còn có kịch bản mã hóa dữ liệu nguy hiểm hơn. Thay vì trực tiếp mã hóa dữ liệu ngay khi khởi chạy, virus này thực hiện leo thang đặc quyền, sau đó bypass UAC và cuối cùng khởi động lại máy nạn nhân vào chế độ Safe Mode (chế độ chỉ hệ thống và một số ứng dụng được khởi chạy) và thực hiện mã hóa dữ liệu trong chế độ này. Bằng cách như vậy, mã độc có thể qua mặt các giải pháp bảo mật thông thường.

Để tránh bị tấn công bởi LockBit cũng như các virus mã hóa dữ liệu khác, các chuyên gia Bkav khuyến cáo người dùng và quản trị hệ thống cần: Backup dữ liệu quan trọng thường xuyên. Không mở cổng dịch vụ nội bộ ra internet khi không cần thiết. Đánh giá an ninh các dịch vụ trước khi mở ra internet. Cài đặt phần mềm diệt virus đủ mạnh để được bảo vệ thường trực.