Mối Đe Dọa Mới Từ Chaos Ransomware Xuất Hiện Sau Khi Nhóm BlackSuit Tan Rã

Vũ Nhật LâmVũ Nhật Lâm
9 min read

Chiến dịch “Operation Checkmate” và nhóm Ransomware BlackSuit

Một chiến dịch thực thi pháp luật quốc tế quy mô lớn đã đánh sập nhóm ransomware BlackSuit – thủ phạm đứng sau hàng trăm cuộc tấn công và các yêu cầu chuộc dữ liệu có tổng trị giá hơn 500 triệu USD.

Ngày 1/8, Bộ Điều tra An ninh Nội địa Hoa Kỳ (HSI) chính thức thu giữ các trang web rò rỉ dữ liệu và đàm phán tiền chuộc trên darkweb do BlackSuit điều hành. Hiện tại, các tên miền này đã hiển thị thông báo bị gỡ bỏ do cơ quan chức năng kiểm soát.

Chiến dịch, có tên mã Operation Checkmate, quy tụ hơn một chục cơ quan thực thi pháp luật, trong đó có FBI, Bộ Tư pháp Hoa Kỳ, Cơ quan Tội phạm Quốc gia Anh (NCA), Cảnh sát mạng Ukraine, và được hỗ trợ bởi cơ quan tình báo Europol.

Theo cảnh báo chung từ FBI và CISA vào tháng 8/2024, BlackSuit thường yêu cầu các khoản tiền chuộc từ 1 đến 10 triệu USD (trả bằng Bitcoin), trong một số trường hợp đặc biệt lên tới 60 triệu USD. Nhóm này đã đòi tổng cộng hơn 500 triệu USD từ các nạn nhân toàn cầu.

Công ty bảo mật Bitdefender – đơn vị hỗ trợ chiến dịch thông qua chia sẻ thông tin tình báo – cho biết BlackSuit bắt đầu hoạt động từ mùa hè năm 2023 và đã liệt kê hơn 185 nạn nhân không trả tiền trên trang rò rỉ dữ liệu của mình. Thậm chí, ngay cả những nạn nhân đã trả tiền cũng không được đảm bảo dữ liệu an toàn. Bitdefender dẫn chứng: “Cuối năm 2024, nhóm này vẫn công khai dữ liệu của một nạn nhân dù đã nhận được gần 3 triệu USD tiền chuộc.”

Việc triệt phá BlackSuit diễn ra đúng thời điểm nhóm này được cho là đang cố gắng tái thương hiệu dưới cái tên mới: Chaos – một biến thể ransomware nhắm vào các tổ chức lớn hơn để tối đa hóa tiền chuộc.

Chaos Ransomware là ai?

Theo báo cáo ngày 1/8 của Cisco Talos, có cơ sở “mức độ tin cậy trung bình” cho rằng Chaos được hình thành từ các thành viên cũ của BlackSuit (từng hoạt động dưới tên Royal), dựa trên sự tương đồng trong kỹ thuật mã hóa, cấu trúc thông báo tống tiền và công cụ được sử dụng trong các cuộc tấn công.

Các chiến thuật tấn công phổ biến bao gồm spam quy mô lớn, gọi điện thoại giả mạo (voice-based social engineering), và cài đặt phần mềm điều khiển từ xa hợp pháp (RMM) để duy trì quyền truy cập và đánh cắp dữ liệu.

Bitdefender cho biết, nhóm Royal hoạt động từ tháng 1 đến tháng 7 năm 2023, trước khi đổi tên thành BlackSuit. Royal từng là nhánh tách ra từ nhóm Conti – một nhóm ransomware khét tiếng nói tiếng Nga. Conti sụp đổ do công khai ủng hộ chiến tranh của Tổng thống Nga Vladimir Putin, khiến các công ty phương Tây ngừng trả tiền chuộc vì lo ngại vi phạm lệnh trừng phạt.

Sau bài học từ Conti, các nhóm kế nhiệm như Royal và BlackSuit áp dụng chiến lược “ẩn mình”, tránh hoạt động quá công khai, không cung cấp ransomware-as-a-service cho đối tác bên ngoài – một đặc điểm khá hiếm trong giới tội phạm mạng hiện nay. “Họ rút ra bài học từ vụ rò rỉ dữ liệu nội bộ của Conti và hành xử kín đáo hơn để tránh bị phát hiện,” Bitdefender nhận định.

Chuyên gia Yelisey Boguslavskiy từ công ty RedSense cho rằng BlackSuit từng là “tập thể ransomware nói tiếng Nga lớn nhất chỉ sau DragonForce,” nhưng đã gần như từ bỏ thương hiệu này từ đầu năm 2025 vì mối liên hệ với Conti. Ông cũng tiết lộ nhóm này từng sử dụng biến thể INC ransomware trong các cuộc tấn công, và có liên kết với các nhóm đồng minh như LynxAkira. Tuy nhiên, kế hoạch tái thương hiệu thành Chaos có thể đã bị gián đoạn do Operation Checkmate.

“Các nguồn tin chính cho thấy chiến dịch truy quét đã khiến nhóm phải tạm dừng hoạt động, đặc biệt là dự án Chaos,” Boguslavskiy viết trên LinkedIn. “Trong thời gian tới, có khả năng một trong những nhóm ransomware nói tiếng Nga lớn nhất sẽ tiếp tục hoạt động trong bóng tối – điều hiếm thấy trong bối cảnh tội phạm mạng hiện nay.”

Sự nguy hiểm của Chaos Ransomware

Biến thể mới của Chaos ransomware đã gây ảnh hưởng đến nhiều lĩnh vực kinh doanh khác nhau, cho thấy chiến thuật tấn công mang tính cơ hội thay vì nhắm vào một ngành dọc cụ thể. Theo dữ liệu được công khai trên trang rò rỉ của nhóm tấn công, phần lớn nạn nhân nằm tại Hoa Kỳ, bên cạnh một số tổ chức tại Vương quốc Anh, New Zealand và Ấn Độ.

Phần mềm ransomware Chaos được giới thiệu là có khả năng tương thích với nhiều hệ thống, bao gồm Windows, ESXi, Linux và NAS. Nhóm nhấn mạnh các tính năng nổi bật như: sử dụng khóa mã hóa riêng cho từng tệp, tốc độ mã hóa cực nhanh, khả năng quét tài nguyên mạng, và tập trung mạnh vào các biện pháp bảo mật nâng cao để tối ưu hóa hiệu quả tấn công.

Để quản lý mục tiêu và giao tiếp, Chaos cung cấp một bảng điều khiển tự động hóa (automated panel), yêu cầu phí tham gia ban đầu – nhưng được hoàn lại sau khi thực hiện thành công vụ tấn công đầu tiên. Trên diễn đàn dark web, nhóm cũng tuyên bố rõ ràng không hợp tác với các thực thể tại các quốc gia BRICS/CIS, bệnh viện hoặc tổ chức chính phủ – động thái có thể nhằm giảm rủi ro bị phản ứng từ các lực lượng thực thi pháp luật.

Nhóm đã công bố địa chỉ onion để các đối tác tiềm năng đăng ký tài khoản và cung cấp địa chỉ email hỗ trợ tại win88@thesecure[.]biz. Cũng như nhiều nhóm ransomware khác, Chaos duy trì một trang web rò rỉ dữ liệu để công bố thông tin nạn nhân không chịu trả tiền chuộc, từ đó gia tăng áp lực và thiệt hại cho các tổ chức bị tấn công.

Khi xâm nhập thành công vào môi trường nạn nhân, Chaos ransomware sẽ mã hóa hệ thống và đổi phần mở rộng của các tệp bị mã hóa thành “.chaos”. Đồng thời, nhóm tấn công để lại một tập tin ghi chú đòi tiền chuộc có tên “readme.chaos[.]txt”. Trong ghi chú này, nhóm tự nhận rằng hành vi xâm nhập của họ là một “bài kiểm tra bảo mật” và tuyên bố đã thành công trong việc chiếm quyền kiểm soát hệ thống. Họ đe dọa sẽ công khai dữ liệu nhạy cảm đã đánh cắp nếu không nhận được khoản tiền chuộc.

Picture 1076263458, Picture

Không giống nhiều nhóm ransomware khác, Chaos không nêu rõ số tiền chuộc hoặc hướng dẫn thanh toán trong ghi chú. Thay vào đó, họ cung cấp một địa chỉ onion URL riêng biệt cho từng nạn nhân, yêu cầu nạn nhân liên hệ để tiếp tục đàm phán.

Theo ghi nhận từ nhóm Talos IR, trong một số vụ việc, kẻ tấn công yêu cầu khoản tiền chuộc 300.000 USD thông qua kênh liên lạc riêng. Họ đưa ra hai lựa chọn:

  • Nếu nạn nhân trả tiền, nhóm cam kết sẽ cung cấp công cụ giải mã phù hợp với hệ thống mục tiêu, kèm theo bản báo cáo chi tiết về “kiểm thử xâm nhập” đã thực hiện. Đồng thời, họ cam đoan sẽ xóa vĩnh viễn dữ liệu đánh cắp và không tiếp tục tấn công trong tương lai.

  • Nếu nạn nhân từ chối trả tiền, nhóm đe dọa sẽ công bố dữ liệu, tiến hành tấn công từ chối dịch vụ (DDoS) vào toàn bộ hệ thống có thể truy cập từ internet của tổ chức, và thậm chí lan truyền thông tin vụ rò rỉ đến khách hàng và đối thủ cạnh tranh của nạn nhân.

Picture 1455394799, Picture

Chaos là một mối đe dọa mới và đáng lo ngại trong bối cảnh ransomware ngày càng tinh vi. Trước đợt xâm nhập gần đây, nhóm này hầu như không có hoạt động nổi bật nào. Quan trọng hơn, nhóm Chaos hiện tại không có liên quan đến các biến thể ransomware được tạo ra từ bộ công cụ Chaos Ransomware Builder – vốn từng xuất hiện nhiều năm trước.

Lợi dụng sự nhầm lẫn trong cộng đồng an ninh mạng về cái tên “Chaos” và các công cụ tạo mã độc trùng tên, nhóm tấn công đã cố tình làm mờ danh tính để che giấu nguồn gốc thực sự. Chiến thuật đánh lạc hướng này khiến việc nhận diện và phòng chống mối đe dọa trở nên phức tạp hơn, đặc biệt trong giai đoạn đầu của chiến dịch xâm nhập.

Khuyến nghị

Để tăng cường bảo mật trước Chaos Ransomware nói riêng cũng như các loại mã độc khác nói chung, phía FPT Threat Intelligence đưa ra các khuyến nghị sau:

  • Tách biệt các hệ thống quan trọng (Windows, Linux, ESXi, NAS) để hạn chế khả năng lây lan ngang.

  • Giới hạn quyền truy cập theo nguyên tắc tối thiểu (least privilege) – đặc biệt với các tài khoản quản trị từ xa.

  • Triển khai kiểm soát ứng dụng (Application Whitelisting) để chỉ cho phép chạy các ứng dụng đã được phê duyệt.

  • Sử dụng giải pháp EDR/XDR có khả năng phát hiện hành vi mã hóa hàng loạt và truy cập bất thường vào tài nguyên mạng.

  • Giám sát DNS, lưu lượng outbound để phát hiện truy cập tới domain hoặc mạng lưới C2 (Command & Control).

  • Sao lưu định kỳ, kiểm tra định kỳ tính khả dụng của backup.

  • Đào tạo nhân viên nhận diện email lừa đảo (phishing) và các hình thức social engineering bằng giọng nói (voice phishing)

  • Thiết lập quy trình xác thực đa yếu tố (MFA) cho tất cả tài khoản truy cập từ xa.

  • Lập kế hoạch ứng phó sự cố cụ thể cho các kịch bản ransomware và tống tiền.

  • Cập nhật các Indicator of Compromise (IOC) từ các tổ chức như CISA, FBI, hoặc Cisco Talos.

IOC

  • IP:

144[.]172[.]103[.]42

45[.]61[.]134[.]36

107[.]170[.]35[.]225

  • SHA256:

7c4b465159e1c7dbbe67f0eeb3f58de1caba293999a49843a0818480f05be14e 11cfea4100ba3731d859148d2011c7225d337db22797f7e111c0f2876e986490 1d846592ffcc19ed03a34316520aa31369218a88afa4e17ac547686d0348aa5b

Tham khảo

0
Subscribe to my newsletter

Read articles from Vũ Nhật Lâm directly inside your inbox. Subscribe to the newsletter, and don't miss out.

Written by

Vũ Nhật Lâm
Vũ Nhật Lâm