Tweet
LunaLock Ransomware: Khi Nghệ Thuật Bị Đe Dọa Bởi Chiến Thuật "Đầu Độc AI"
Vào cuối tháng 8/2025, cộng đồng nghệ thuật số chấn động trước vụ tấn công vào nền tảng Artists&Clients.1 Đây không chỉ là một vụ mã hóa dữ liệu thông thường; LunaLock đã mở ra một kỷ nguyên tống tiền mới: AI-Driven Extortion (Tống tiền bằng AI).
Dưới đây là tóm tắt chi tiết dựa trên báo cáo phân tích từ chuyên gia bảo mật của PurpleSec.
1. Tóm tắt vụ tấn công (Case Study: Artists&Clients)
Khác với các nhóm ransomware truyền thống thường đe dọa xóa dữ liệu, LunaLock sử dụng một vũ khí tâm lý và pháp lý hiểm độc hơn:
Báo cáo của PurpleSec chỉ ra rằng LunaLock đã vượt qua các lớp bảo mật truyền thống (EDR, Windows Defender) bằng những kỹ thuật cực kỳ tinh vi:
Xâm nhập và Vô hiệu hóa phòng thủ
Thay vì bẻ khóa mật khẩu hay MFA, LunaLock đánh cắp các session tokens (phiên đăng nhập) từ Microsoft Teams và Slack. Điều này cho phép chúng đóng giả nhân viên hợp lệ để truy cập vào các kho lưu trữ đám mây mà không kích hoạt bất kỳ cảnh báo bảo mật nào.
Duy trì sự hiện diện
Nhóm này tạo ra một tác vụ ẩn mang tên "SysUpdate" trong Scheduled Tasks.6 Điều này đảm bảo rằng ngay cả khi máy tính khởi động lại, mã độc vẫn tiếp tục hoạt động và duy trì trạng thái vô hiệu hóa của các phần mềm diệt virus.
4. Các chỉ số nhận diện (Indicators of Compromise - IoC)
Các đội ngũ bảo mật cần đặc biệt lưu ý:
Để đối phó với những biến thể AI-powered như LunaLock, các phương pháp cũ không còn đủ:
Lời kết: Vụ tấn công LunaLock là một lời cảnh tỉnh rằng tài sản trí tuệ hiện nay không chỉ đối mặt với nguy cơ bị đánh cắp, mà còn đối mặt với nguy cơ bị "hòa tan" vào trí tuệ nhân tạo.
Nguồn: Tổng hợp từ báo cáo vi phạm của PurpleSec (01/2026).
Dưới đây là tóm tắt chi tiết dựa trên báo cáo phân tích từ chuyên gia bảo mật của PurpleSec.
1. Tóm tắt vụ tấn công (Case Study: Artists&Clients)
- Thời điểm: Khởi đầu từ 30/08/2025 và lan rộng vào đầu tháng 9.
- Quy mô: Hơn 95.000 tài khoản người dùng bị ảnh hưởng.
- Thiệt hại: Hàng ngàn tệp nguồn (PSD, AI), hồ sơ sáng tạo và lịch sử trò chuyện riêng tư bị đánh cắp.2
- Yêu cầu tống tiền: 50.000 USD thanh toán bằng đồng Monero (loại tiền điện tử có tính ẩn danh cực cao).3
Khác với các nhóm ransomware truyền thống thường đe dọa xóa dữ liệu, LunaLock sử dụng một vũ khí tâm lý và pháp lý hiểm độc hơn:
- Lau dữ liệu qua AI: Hacker đe dọa sẽ đưa toàn bộ tác phẩm nghệ thuật đánh cắp được vào các "pipeline" đào tạo của các mô hình ngôn ngữ lớn (LLM) công khai.4
- Hệ quả vĩnh viễn: Một khi dữ liệu đã được nạp vào mô hình AI, nó sẽ trở thành một phần của "tài sản chung". Điều này khiến việc thực thi Quyền được quên (Right to be Forgotten) theo chuẩn GDPR trở nên bất khả thi về mặt kỹ thuật. Nghệ sĩ sẽ mất vĩnh viễn bản quyền tài sản trí tuệ của mình.
Báo cáo của PurpleSec chỉ ra rằng LunaLock đã vượt qua các lớp bảo mật truyền thống (EDR, Windows Defender) bằng những kỹ thuật cực kỳ tinh vi:
Xâm nhập và Vô hiệu hóa phòng thủ
- Spear-phishing: Hacker gửi email giả danh thông báo tiền bản quyền (royalty) đính kèm tệp hóa đơn chứa mã độc.
- Dynamic API Resolution: Để tránh bị các phần mềm quét chữ ký phát hiện, mã độc sử dụng cơ chế giải mã hàm Win32 (như WriteProcessMemory) tại thời điểm thực thi bằng mã hóa XOR.5
- Tấn công Windows Defender: Sử dụng một module JavaScript siêu nhỏ tiêm vào Service Control Manager để tắt tính năng quét thời gian thực.
Thay vì bẻ khóa mật khẩu hay MFA, LunaLock đánh cắp các session tokens (phiên đăng nhập) từ Microsoft Teams và Slack. Điều này cho phép chúng đóng giả nhân viên hợp lệ để truy cập vào các kho lưu trữ đám mây mà không kích hoạt bất kỳ cảnh báo bảo mật nào.
Duy trì sự hiện diện
Nhóm này tạo ra một tác vụ ẩn mang tên "SysUpdate" trong Scheduled Tasks.6 Điều này đảm bảo rằng ngay cả khi máy tính khởi động lại, mã độc vẫn tiếp tục hoạt động và duy trì trạng thái vô hiệu hóa của các phần mềm diệt virus.
4. Các chỉ số nhận diện (Indicators of Compromise - IoC)
Các đội ngũ bảo mật cần đặc biệt lưu ý:
- Phần mở rộng tệp: .lunalock
- Tên tệp tống tiền: note.html
- Tiến trình lạ: Mã JavaScript tiêm vào Windows Service Control Manager.
- Địa chỉ C2 (Tor): lunalockcccxzkpfovwzifwxcytqkiuak6wzybnniqwxcmpset pbetid.onion
Để đối phó với những biến thể AI-powered như LunaLock, các phương pháp cũ không còn đủ:
- Bảo vệ Token: Giới hạn thời gian phiên đăng nhập và sử dụng khóa bảo mật phần cứng (Hardware tokens) cho Teams/Slack.
- Đầu độc dữ liệu ngược (Data Poisoning): Sử dụng các công cụ như Nightshade hoặc Glaze để thay đổi nhẹ các pixel trong ảnh, khiến chúng trở nên "vô dụng" nếu bị đưa vào huấn luyện AI.
- Phân tích hành vi (Intent-based): Sử dụng các giải pháp như PromptShield™ để ngăn chặn việc lạm dụng AI trong quá trình tấn công.7
Lời kết: Vụ tấn công LunaLock là một lời cảnh tỉnh rằng tài sản trí tuệ hiện nay không chỉ đối mặt với nguy cơ bị đánh cắp, mà còn đối mặt với nguy cơ bị "hòa tan" vào trí tuệ nhân tạo.
Nguồn: Tổng hợp từ báo cáo vi phạm của PurpleSec (01/2026).