Nguyễn Tiến Đạt
Intern Writer
Một biến thể ransomware mới mang tên Reynolds đang thu hút sự chú ý của giới an ninh mạng khi tích hợp trực tiếp kỹ thuật BYOVD (Bring Your Own Vulnerable Driver) nhằm vô hiệu hóa các giải pháp bảo mật điểm cuối ngay trong quá trình tấn công. Chiến thuật này cho thấy mức độ tinh vi ngày càng cao của các nhóm tội phạm mạng.
Theo báo cáo mới được công bố bởi các nhóm nghiên cứu thuộc Symantec và Carbon Black Threat Hunter (Broadcom), Reynolds là một họ phần mềm tống tiền mới nổi có khả năng tự mang theo và cài đặt trình điều khiển hợp pháp nhưng tồn tại lỗ hổng bảo mật, từ đó leo thang đặc quyền và vô hiệu hóa các công cụ Phát hiện và Phản hồi Điểm cuối (EDR) của nạn nhân.
Điểm đáng chú ý trong chiến dịch của Reynolds là thành phần BYOVD không còn được triển khai như một công cụ riêng biệt, mà được đóng gói trực tiếp cùng mã độc tống tiền. Điều này giúp đơn giản hóa chuỗi tấn công và khiến việc phát hiện, ngăn chặn trở nên khó khăn hơn đối với các đội phòng thủ.
Sau khi cài đặt driver dễ bị tổn thương, mã độc tiến hành vô hiệu hóa hàng loạt giải pháp bảo mật phổ biến như:
Việc Reynolds tái sử dụng các kỹ thuật và công cụ này cho thấy sự chia sẻ hoặc học hỏi lẫn nhau giữa các nhóm tội phạm mạng, đồng thời phản ánh xu hướng “chuẩn hóa” các kỹ thuật tấn công nguy hiểm.
“Các driver hợp pháp, có chữ ký số, thường ít gây nghi ngờ hơn đối với các cơ chế bảo vệ truyền thống. Khi được đóng gói cùng ransomware, chúng tạo ra một chuỗi tấn công liền mạch và khó bị ngăn chặn hơn”, đại diện Broadcom nhận định.
Theo báo cáo mới được công bố bởi các nhóm nghiên cứu thuộc Symantec và Carbon Black Threat Hunter (Broadcom), Reynolds là một họ phần mềm tống tiền mới nổi có khả năng tự mang theo và cài đặt trình điều khiển hợp pháp nhưng tồn tại lỗ hổng bảo mật, từ đó leo thang đặc quyền và vô hiệu hóa các công cụ Phát hiện và Phản hồi Điểm cuối (EDR) của nạn nhân.
BYOVD – vũ khí quen thuộc nhưng ngày càng nguy hiểm
BYOVD là kỹ thuật đã được nhiều nhóm ransomware sử dụng trong những năm gần đây. Thay vì khai thác lỗ hổng trong hệ điều hành, kẻ tấn công lợi dụng các trình điều khiển (driver) hợp pháp đã được ký số nhưng có lỗi, cho phép chúng thực thi các hành động ở mức kernel, bao gồm cả việc chấm dứt tiến trình của phần mềm bảo mật.
Điểm đáng chú ý trong chiến dịch của Reynolds là thành phần BYOVD không còn được triển khai như một công cụ riêng biệt, mà được đóng gói trực tiếp cùng mã độc tống tiền. Điều này giúp đơn giản hóa chuỗi tấn công và khiến việc phát hiện, ngăn chặn trở nên khó khăn hơn đối với các đội phòng thủ.
Khai thác driver NSecKrnl để vô hiệu hóa EDR
Cụ thể, Reynolds sử dụng trình điều khiển NsecSoft NSecKrnl, một driver hợp pháp nhưng tồn tại lỗ hổng bảo mật đã được định danh là CVE-2025-68947 (điểm CVSS: 5.7). Lỗ hổng này cho phép kẻ tấn công chấm dứt các tiến trình tùy ý, bao gồm cả các dịch vụ bảo mật quan trọng.Sau khi cài đặt driver dễ bị tổn thương, mã độc tiến hành vô hiệu hóa hàng loạt giải pháp bảo mật phổ biến như:
- Avast
- CrowdStrike Falcon
- Palo Alto Networks Cortex XDR
- Sophos và HitmanPro.Alert
- Symantec Endpoint Protection
Dấu vết của các nhóm tấn công trước đó
Theo các nhà nghiên cứu, trình điều khiển NSecKrnl từng được nhóm tin tặc Silver Fox sử dụng trong các chiến dịch tấn công trước đây nhằm vô hiệu hóa bảo mật điểm cuối trước khi triển khai ValleyRAT. Trong vòng một năm qua, nhóm này cũng đã lạm dụng nhiều driver hợp pháp khác như truesight.sys và amsdk.sys trong các cuộc tấn công BYOVD.Việc Reynolds tái sử dụng các kỹ thuật và công cụ này cho thấy sự chia sẻ hoặc học hỏi lẫn nhau giữa các nhóm tội phạm mạng, đồng thời phản ánh xu hướng “chuẩn hóa” các kỹ thuật tấn công nguy hiểm.
Duy trì quyền truy cập lâu dài
Ngoài thành phần ransomware chính, các chuyên gia còn phát hiện sự hiện diện của những công cụ khác trong môi trường nạn nhân trước và sau khi mã độc được triển khai. Đáng chú ý, một phần mềm truy cập từ xa có tên GotoHTTP đã được cài đặt chỉ một ngày sau khi Reynolds bắt đầu hoạt động, cho thấy kẻ tấn công có thể đang tìm cách duy trì quyền truy cập lâu dài để phục vụ các mục đích khác như gián điệp hoặc tống tiền bổ sung.Xu hướng ransomware ngày càng tinh vi
Các chuyên gia cảnh báo rằng việc tích hợp trực tiếp kỹ thuật né tránh phòng thủ vào mã độc tống tiền đang trở thành xu hướng nguy hiểm. Điều này không chỉ giúp kẻ tấn công giảm số lượng công cụ cần triển khai, mà còn hạn chế dấu vết để lại trên hệ thống nạn nhân.“Các driver hợp pháp, có chữ ký số, thường ít gây nghi ngờ hơn đối với các cơ chế bảo vệ truyền thống. Khi được đóng gói cùng ransomware, chúng tạo ra một chuỗi tấn công liền mạch và khó bị ngăn chặn hơn”, đại diện Broadcom nhận định.
Cảnh báo cho doanh nghiệp
Sự xuất hiện của Reynolds diễn ra trong bối cảnh hoạt động ransomware toàn cầu tiếp tục gia tăng cả về quy mô lẫn mức độ tinh vi. Các chuyên gia khuyến cáo doanh nghiệp cần:- Giám sát chặt chẽ việc cài đặt driver ở mức kernel
- Áp dụng chính sách chặn driver dễ bị tổn thương
- Thường xuyên cập nhật danh sách BYOVD bị lạm dụng
- Kết hợp EDR với các biện pháp bảo vệ ở cấp độ hệ thống và mạng
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
