CMC Corporation bị tấn công bởi Crypto Ransomware: Mối đe dọa mới xuất hiện (Phần 1)

Khi thế giới số ngày càng mở rộng, mức độ tinh vi của các mối đe dọa an ninh mạng cũng tăng theo cấp số nhân. Ransomware vẫn là mối đe dọa nghiêm trọng đối với các tổ chức trên toàn thế giới, khi ngày càng có nhiều nhóm tội phạm mạng tinh vi xuất hiện với những phương thức tấn công đa dạng. Vụ tấn công của nhóm Crypto24 vào Tập đoàn CMC gần đây là một lời cảnh tỉnh rõ ràng, phơi bày những lỗ hổng bảo mật ngày càng lớn mà các tổ chức, doanh nghiệp toàn cầu đang phải đối mặt. Bài viết này sẽ đi sâu vào chi tiết vụ tấn công ransomware này, đồng thời cung cấp những góc nhìn quan trọng giúp các công ty hiểu rõ hơn và chuẩn bị tốt hơn để tự bảo vệ mình trước các nguy cơ tấn công mạng ngày càng gia tăng

Crypto24 tấn công Tập đoàn CMC

Vào lúc 08:52:38 UTC+3 ngày 12/4/2025, nhóm Tình báo Mối đe dọa ThreatMon đã ghi nhận vụ việc Tập đoàn CMC bị tấn công bởi ransomware Crypto24. Mặc dù thông tin chi tiết về vụ xâm nhập chưa được công bố đầy đủ, nền tảng của ThreatMon đã phát hiện hoạt động của loại mã độc tống tiền này, xác nhận đây là một trường hợp tiếp theo trong xu hướng tội phạm mạng ngày càng gia tăng nhằm vào các doanh nghiệp lớn.

Crypto24 là nhóm ransomware khét tiếng với lịch sử tấn công các tổ chức quy mô lớn, mã hóa dữ liệu và đòi tiền chuộc. Nhóm này ngày càng nguy hiểm với các chiến thuật tấn công được tùy chỉnh, nhắm vào những lỗ hổng cụ thể của từng doanh nghiệp, không chỉ đơn thuần là mã hóa dữ liệu.

Phần mềm độc hại Crypto24

Crypto24 là một chương trình độc hại được xếp vào loại ransomware. Các phần mềm thuộc nhóm này được thiết kế để mã hóa dữ liệu và yêu cầu một khoản tiền chuộc để giải mã.

Crypto24 mã hóa các tệp và thêm phần mở rộng “.crypto24” vào tên tệp. Ví dụ: Tệp ban đầu có tên “1.jpg” sẽ trở thành “1.jpg.crypto24”, “2.png” sẽ thành “2.png.crypto24”. Sau khi quá trình mã hóa hoàn tất, ransomware này sẽ tạo một ghi chú đòi tiền chuộc có tiêu đề là “Decryption.txt”.

Các tệp bị mã hóa bởi ransomware Crypto24

Ransomware Crypto24

Virus Crypto24 là một loại mã độc tống tiền (ransomware) chuyên mã hóa dữ liệu. Khi lây nhiễm thành công, nó sẽ khóa các tệp tin trên máy tính của nạn nhân, đổi phần mở rộng sang ".crypto24" (ví dụ: my.docx.crypto24) và khiến người dùng không thể truy cập. Mã độc này thường để lại thông báo đòi tiền chuộc trong tệp "Decryption.txt", yêu cầu nạn nhân liên hệ qua địa chỉ email haowieo2839@proton.me và thanh toán để lấy lại dữ liệu. Hiện tại chưa có công cụ giải mã miễn phí cho Crypto24. Virus lây lan chủ yếu qua các tệp đính kèm email chứa mã độc, trang web torrent và quảng cáo độc hại. Hậu quả của việc bị nhiễm Crypto24 là toàn bộ dữ liệu bị mã hóa, không thể mở nếu không trả tiền chuộc, đồng thời mã độc còn có khả năng đánh cắp mật khẩu và cài đặt thêm các phần mềm độc hại khác vào máy tính.

Đáng chú ý, nhiều trường hợp phân tích ransomware chỉ ra một thực tế đáng lo ngại rằng, khả năng giải mã dữ liệu mà không có sự can thiệp của tội phạm mạng là vô cùng khó khăn. Ngay cả khi nạn nhân chấp nhận yêu cầu, việc nhận lại khóa giải mã cũng không chắc chắn. Vì vậy, việc không trả tiền chuộc là nguyên tắc vàng để không tiếp tay cho tội phạm và tránh mất tiền vô ích.

Đối phó với ransomware như Crypto24 bằng cách gỡ bỏ chỉ giúp ngăn chặn việc mã hóa dữ liệu mới, nhưng không thể lấy lại được các tệp đã bị khóa. Trong tình huống này, giải pháp cứu cánh duy nhất là sử dụng bản sao lưu dữ liệu đã được chuẩn bị từ trước và lưu trữ ở một nơi an toàn, độc lập với hệ thống chính.

Chiến lược sao lưu hiệu quả đòi hỏi việc lưu trữ tại nhiều vị trí riêng biệt, bao gồm: Lưu trữ trên máy chủ từ xa; Sử dụng các thiết bị lưu trữ không kết nối mạng (ổ cứng di động, băng từ...); Tận dụng các dịch vụ lưu trữ đám mây bảo mật cao.

Ảnh chụp màn hình tệp văn bản của phần mềm tống tiền Crypto24 ("Decryption.txt”)

Ransomware xâm nhập vào máy tính bằng cách nào?

Tội phạm mạng chủ yếu sử dụng kỹ thuật lừa đảo (phishing) và kỹ thuật khai thác tâm lý (social engineering) để phát tán mã độc, bao gồm cả ransomware. Phần mềm độc hại thường được ngụy trang dưới dạng tệp hợp pháp hoặc đi kèm với nội dung có vẻ vô hại. Các tệp chứa mã độc có thể bao gồm: tệp thực thi (.exe, .run, v.v.), tệp nén (ZIP, RAR, v.v.), tài liệu (Microsoft Office, Microsoft OneNote, PDF,…), mã JavaScript.... Chuỗi lây nhiễm sẽ được kích hoạt khi các tệp này hoạt động, thực thi hoặc mở.

Mã độc được phân tán chủ yếu qua các phương thức như: trojan dạng backdoor/loader; tải xuống lén lút hoặc đánh lừa người dùng (drive-by download); kênh tải không đáng tin cậy (phần mềm miễn phí trên trang không chính thống, mạng chia sẻ ngang hàng P2P,…); tệp đính kèm hoặc liên kết độc hại trong email/tin nhắn rác; lừa đảo trực tuyến; nội dung lậu; công cụ bẻ khóa phần mềm bất hợp pháp; bản cập nhật giả mạo.

Ngoài ra, một số chương trình độc hại có khả năng tự lan truyền qua mạng cục bộ hoặc thiết bị lưu trữ di động, chẳng hạn như ổ cứng ngoài hoặc USB.

Cách phòng tránh ransomware

Để đảm bảo tính toàn vẹn của thiết bị và an toàn hệ thống, cần đặc biệt thận trọng khi trực tuyến. Internet chứa đựng nhiều nội dung lừa đảo và độc hại, do đó cần cảnh giác khi duyệt web. Hãy xử lý email và tin nhắn đến một cách cẩn trọng: tuyệt đối không mở tệp đính kèm hoặc nhấp vào liên kết từ các thư đáng ngờ hoặc không rõ nguồn gốc.

Chỉ nên tải và cài đặt phần mềm từ các nguồn chính thức, đã được xác minh. Tương tự, chỉ sử dụng các công cụ và hệ thống hợp pháp để kích hoạt, cập nhật phần mềm; tránh xa các công cụ bẻ khóa ("crack") hoặc trình cập nhật từ bên thứ ba vì chúng thường chứa phần mềm độc hại.

Cuối cùng, hãy luôn cài đặt và duy trì phần mềm chống virus uy tín được cập nhật thường xuyên. Sử dụng các chương trình bảo mật để quét hệ thống định kỳ, giúp phát hiện và loại bỏ kịp thời các mối đe dọa.

Các bước xóa bỏ phần mềm tống tiền Crypto24

Khi máy tính bị nhiễm ransomware Crypto24, việc đầu tiên và quan trọng nhất là cách ly thiết bị để ngăn chặn mã độc lây lan sang các thiết bị lưu trữ khác hoặc lan rộng trong mạng nội bộ. Thực hiện theo các bước sau:

Bước 1: Ngắt kết nối Internet ngay lập tức

Ransomware có thể lợi dụng kết nối Internet để lây lan hoặc liên lạc với máy chủ của kẻ tấn công. Có hai cách để ngắt kết nối, cách đơn giản nhất để ngắt kết nối máy tính khỏi internet là rút cáp Ethernet ra khỏi bo mạch chủ. Tuy nhiên, một số thiết bị sử dụng kết nối không dây và đối với một số người dùng (đặc biệt là những người không am hiểu kỹ thuật), việc rút dây có thể gây khó khăn. Vì vậy, có thể thực hiện ngắt kết nối thủ công thông qua Bảng điều khiển (Control Panel) bằng cách: Vào Control Panel; Tìm kiếm và chọn "Network and Sharing Center"; Chọn "Change adapter settings" ở menu bên trái; Nhấp chuột phải vào từng kết nối mạng đang hoạt động (như Wi-Fi hoặc Ethernet) và chọn "Disable" (Vô hiệu hóa). Khi cần kết nối lại, chỉ cần nhấp chuột phải và chọn "Enable" (Kích hoạt).

Bước 2: Rút tất cả thiết bị lưu trữ ngoài

Ransomware có thể nhanh chóng mã hóa dữ liệu trên USB, ổ cứng di động hoặc các thiết bị lưu trữ gắn ngoài khác được kết nối với máy tính bị nhiễm. Do đó, cần truy cập "This PC" (hoặc "My Computer"); Nhấp chuột phải vào từng thiết bị lưu trữ ngoài đang kết nối và chọn "Eject" (Đẩy ra) trước khi rút thiết bị ra khỏi cổng USB hoặc cổng khác để đảm bảo an toàn cho dữ liệu trên thiết bị đó.

Bước 3: Ngắt kết nối với dịch vụ lưu trữ đám mây

Ransomware có thể lợi dụng phần mềm quản lý dữ liệu đám mây để mã hóa hoặc làm hỏng dữ liệu lưu trữ trực tuyến của người dùng. Do đó, hãy đăng xuất khỏi tất cả tài khoản lưu trữ đám mây (trên trình duyệt và ứng dụng) và tạm thời gỡ cài đặt các phần mềm quản lý đám mây cho đến khi chắc chắn mã độc đã được loại bỏ hoàn toàn khỏi hệ thống.

Còn tiếp