Tweet
Arkana và qilin: Cú bắt tay đầy toan tính trong thế giới ngầm
Thế giới tội phạm mạng vừa ghi nhận một sự chuyển dịch đáng báo động. Không còn là những kẻ đơn độc, các nhóm mã độc đang liên kết lại để tạo thành những đế chế tống tiền thực thụ. Điển hình nhất gần đây là sự trỗi dậy của cái tên Arkana và mối liên hệ mật thiết của nó với ông trùm Qilin.
1. Màn Chào Sân Đầy Tai Tiếng
Arkana không xuất hiện một cách lặng lẽ. Ngay khi lộ diện, chúng đã gây chấn động bằng vụ tấn công vào nhà cung cấp dịch vụ internet WideOpenWest tại Mỹ.
Thay vì chỉ mã hóa dữ liệu đòi tiền chuộc như cách làm cổ điển, Arkana chọn cách đánh phủ đầu vào uy tín của nạn nhân. Chúng tuyên bố đã nắm trong tay hơn 2 triệu bản ghi khách hàng và kiểm soát hoàn toàn hệ thống backend quan trọng. Hành động này cho thấy một sự thay đổi trong tư duy tấn công: Dữ liệu bị đánh cắp mới là vũ khí tối thượng, còn việc mã hóa chỉ là đòn bồi thêm.
2. Vỏ Bọc Kiểm Thử Xâm Nhập
Điều thú vị là Arkana tự xây dựng cho mình một vỏ bọc khá hài hước. Chúng tự xưng là một dịch vụ kiểm thử xâm nhập hậu xâm nhập (post-penetration testing).
Theo lời quảng cáo của chúng, đây là một dịch vụ hỗ trợ bảo mật có tính phí. Nhưng thực chất, đây chỉ là chiêu trò hợp pháp hóa hành vi tống tiền. Các chuyên gia bảo mật nhận định rằng cách hành văn và ngôn ngữ (xen lẫn tiếng Nga) đã tố cáo nguồn gốc thực sự của nhóm này từ khu vực Đông Âu, bất chấp nỗ lực xây dựng hình ảnh chuyên nghiệp giả tạo.
3. Mối Liên Kết Nguy Hiểm Với Qilin RaaS
Điểm cốt lõi khiến Arkana trở nên nguy hiểm không phải là kỹ thuật của riêng chúng, mà là việc chúng đã gia nhập mạng lưới của Qilin.
Qilin (hay còn gọi là Agenda) là một nền tảng Ransomware-as-a-Service khét tiếng, được viết bằng ngôn ngữ Rust và Go hiện đại, cho phép tùy biến mã độc cực cao. Bằng chứng rõ ràng nhất là trên trang web rò rỉ dữ liệu của Arkana, logo của Qilin xuất hiện chễm chệ trong phần thông tin liên hệ.
Sự hợp tác này mang lại lợi ích cho cả hai: Arkana được quyền sử dụng các payload mã hóa mạnh mẽ, khó bị phát hiện của Qilin để tấn công đa nền tảng (cả Windows và Linux/ESXi). Đổi lại, chúng chia sẻ khoảng 15 đến 20% lợi nhuận thu được cho Qilin.
4. Chiến Thuật Mèo Vờn Chuột
Về mặt kỹ thuật, Arkana không vội vàng. Chúng thường xâm nhập vào hệ thống thông qua các tài khoản bị đánh cắp hoặc mua lại từ thị trường chợ đen.
Sau khi đã nằm trong mạng nội bộ, chúng sử dụng các công cụ quản trị hợp pháp như PsExec, AnyDesk để di chuyển ngang và leo thang đặc quyền. Điều đáng sợ là chúng dành rất nhiều thời gian để âm thầm trích xuất dữ liệu nhạy cảm ra ngoài trước khi kích hoạt mã hóa.
Chúng còn xây dựng một trang web gọi là Bức tường Xấu hổ (Wall of Shame) để đăng tải dữ liệu của các nạn nhân không chịu trả tiền. Đây là đòn tâm lý chiến cực mạnh, ép các doanh nghiệp phải ngồi vào bàn đàm phán nếu không muốn mất uy tín với khách hàng.
5. Bài Học Cho Hệ Thống Phòng Thủ
Sự kết hợp giữa tư duy tống tiền dữ liệu của Arkana và công nghệ mã hóa của Qilin tạo ra một mối đe dọa kép.
Để đối phó, các tổ chức không thể chỉ dựa vào việc backup dữ liệu. Việc backup chỉ cứu được dữ liệu, nhưng không cứu được uy tín khi dữ liệu bị lộ. Trọng tâm phòng thủ cần chuyển sang việc giám sát danh tính người dùng và phát hiện hành vi trích xuất dữ liệu bất thường. Các công cụ EDR cần được cấu hình để phát hiện sớm các công cụ điều khiển từ xa như Cobalt Strike hay PowerShell loader mà nhóm này thường sử dụng.
Anh em nào muốn tìm hiểu kỹ hơn về các IoC của dòng này thì tham khảo thêm ở link này nhé
1. Màn Chào Sân Đầy Tai Tiếng
Arkana không xuất hiện một cách lặng lẽ. Ngay khi lộ diện, chúng đã gây chấn động bằng vụ tấn công vào nhà cung cấp dịch vụ internet WideOpenWest tại Mỹ.
Thay vì chỉ mã hóa dữ liệu đòi tiền chuộc như cách làm cổ điển, Arkana chọn cách đánh phủ đầu vào uy tín của nạn nhân. Chúng tuyên bố đã nắm trong tay hơn 2 triệu bản ghi khách hàng và kiểm soát hoàn toàn hệ thống backend quan trọng. Hành động này cho thấy một sự thay đổi trong tư duy tấn công: Dữ liệu bị đánh cắp mới là vũ khí tối thượng, còn việc mã hóa chỉ là đòn bồi thêm.
2. Vỏ Bọc Kiểm Thử Xâm Nhập
Điều thú vị là Arkana tự xây dựng cho mình một vỏ bọc khá hài hước. Chúng tự xưng là một dịch vụ kiểm thử xâm nhập hậu xâm nhập (post-penetration testing).
Theo lời quảng cáo của chúng, đây là một dịch vụ hỗ trợ bảo mật có tính phí. Nhưng thực chất, đây chỉ là chiêu trò hợp pháp hóa hành vi tống tiền. Các chuyên gia bảo mật nhận định rằng cách hành văn và ngôn ngữ (xen lẫn tiếng Nga) đã tố cáo nguồn gốc thực sự của nhóm này từ khu vực Đông Âu, bất chấp nỗ lực xây dựng hình ảnh chuyên nghiệp giả tạo.
3. Mối Liên Kết Nguy Hiểm Với Qilin RaaS
Điểm cốt lõi khiến Arkana trở nên nguy hiểm không phải là kỹ thuật của riêng chúng, mà là việc chúng đã gia nhập mạng lưới của Qilin.
Qilin (hay còn gọi là Agenda) là một nền tảng Ransomware-as-a-Service khét tiếng, được viết bằng ngôn ngữ Rust và Go hiện đại, cho phép tùy biến mã độc cực cao. Bằng chứng rõ ràng nhất là trên trang web rò rỉ dữ liệu của Arkana, logo của Qilin xuất hiện chễm chệ trong phần thông tin liên hệ.
Sự hợp tác này mang lại lợi ích cho cả hai: Arkana được quyền sử dụng các payload mã hóa mạnh mẽ, khó bị phát hiện của Qilin để tấn công đa nền tảng (cả Windows và Linux/ESXi). Đổi lại, chúng chia sẻ khoảng 15 đến 20% lợi nhuận thu được cho Qilin.
4. Chiến Thuật Mèo Vờn Chuột
Về mặt kỹ thuật, Arkana không vội vàng. Chúng thường xâm nhập vào hệ thống thông qua các tài khoản bị đánh cắp hoặc mua lại từ thị trường chợ đen.
Sau khi đã nằm trong mạng nội bộ, chúng sử dụng các công cụ quản trị hợp pháp như PsExec, AnyDesk để di chuyển ngang và leo thang đặc quyền. Điều đáng sợ là chúng dành rất nhiều thời gian để âm thầm trích xuất dữ liệu nhạy cảm ra ngoài trước khi kích hoạt mã hóa.
Chúng còn xây dựng một trang web gọi là Bức tường Xấu hổ (Wall of Shame) để đăng tải dữ liệu của các nạn nhân không chịu trả tiền. Đây là đòn tâm lý chiến cực mạnh, ép các doanh nghiệp phải ngồi vào bàn đàm phán nếu không muốn mất uy tín với khách hàng.
5. Bài Học Cho Hệ Thống Phòng Thủ
Sự kết hợp giữa tư duy tống tiền dữ liệu của Arkana và công nghệ mã hóa của Qilin tạo ra một mối đe dọa kép.
Để đối phó, các tổ chức không thể chỉ dựa vào việc backup dữ liệu. Việc backup chỉ cứu được dữ liệu, nhưng không cứu được uy tín khi dữ liệu bị lộ. Trọng tâm phòng thủ cần chuyển sang việc giám sát danh tính người dùng và phát hiện hành vi trích xuất dữ liệu bất thường. Các công cụ EDR cần được cấu hình để phát hiện sớm các công cụ điều khiển từ xa như Cobalt Strike hay PowerShell loader mà nhóm này thường sử dụng.
Anh em nào muốn tìm hiểu kỹ hơn về các IoC của dòng này thì tham khảo thêm ở link này nhé