Hơn 1.570 máy tính trên toàn cầu đã bị nhiễm mã độc proxy SystemBC mà không hề hay biết. Báo cáo mới từ Check Point vừa phanh phui một mạng lưới botnet khổng lồ do nhóm tống tiền Gentlemen điều hành, sử dụng malware SystemBC như cầu nối để triển khai các cuộc tấn công ransomware-as-a-service (RaaS). Việc phát hiện máy chủ command-and-control (C2) của SystemBC đã mở ra bức tranh toàn cảnh về quy mô thực sự của chiến dịch này.

Gentlemen RaaS - Khi tội phham mạng chuyên nghiệp hóa

SystemBC không phải là ransomware truyền thống mà là một proxy malware cực kỳ tinh vi. Nó hoạt động như một "cầu nối bí mật" bằng cách thiết lập các đường hầm SOCKS5 network tunnels trong hệ thống bị nhiễm, cho phép tin tặc điều khiển từ xa mà không bị phát hiện. Chúng tôi cho rằng đây là bước chuẩn bị quan trọng trước khi triển khai payload ransomware chính.

Gentlemen RaaS đại diện cho thế hệ mới của tội phạm mạng - họ không chỉ tấn công trực tiếp mà còn "cho thuê" công cụ và cơ sở hạ tầng tấn công. Mô hình kinh doanh này cho phép các nhóm nhỏ lẻ có thể thực hiện các cuộc tấn công quy mô lớn mà không cần kiến thức kỹ thuật sâu. Việc sử dụng SystemBC cho thấy mức độ chuyên nghiệp ngày càng cao của các threat actor này.

Giải phẫu SystemBC: Vũ khí proxy trong bóng tối

SystemBC hoạt động theo cơ chế "living off the land" - lợi dụng các công cụ hợp pháp của hệ điều hành để trốn tránh phát hiện. Khi được cài đặt, nó tạo ra kết nối SOCKS5 persistent (duy trì liên tục) với máy chủ C2, biến máy tính nạn nhân thành một proxy node trong mạng lưới botnet. Điều này cho phép tin tặc định tuyến lưu lượng mạng độc hại qua hàng nghìn máy tính vô tội.

Theo phân tích kỹ thuật của Check Point, SystemBC sử dụng encryption mạnh để mã hóa toàn bộ traffic giữa bot và máy chủ điều khiển. Nó cũng có khả năng update module và nhận lệnh thời gian thực, tạo nên một hệ thống C&C linh hoạt và khó vô hiệu hóa. Chúng tôi đánh giá đây là một trong những proxy malware tinh vi nhất hiện nay.

Tác động domino: Khi 1.570 máy tính trở thành "zombie"

Con số 1.570+ nạn nhân được xác nhận chỉ là phần nổi của tảng băng chìm. Mỗi máy tính bị nhiễm SystemBC không chỉ có nguy cơ bị mã hóa dữ liệu bởi ransomware mà còn trở thành "zombie" phục vụ cho các cuộc tấn công khác. Những máy tính này có thể được sử dụng để tấn công DDoS, phát tán malware hoặc làm trung gian cho các giao dịch tài chính bất hợp pháp.

Nạn nhân điển hình thường là các doanh nghiệp vừa và nhỏ, tổ chức giáo dục và người dùng cá nhân có hệ thống bảo mật yếu. Tại Việt Nam, theo thống kê từ NCSC, số vụ tấn công ransomware đã tăng 40% trong 6 tháng đầu năm 2024 so với cùng kỳ năm trước. Việc xuất hiện các RaaS operation như Gentlemen chắc chắn sẽ đẩy con số này lên cao hơn nữa.

Chiến lược phòng thủ: Ngăn chặn từ gốc rễ

Doanh nghiệp Việt Nam cần áp dụng ngay "Zero Trust Network Access" - không tin tưởng bất kỳ kết nối nào cho đến khi được xác thực đầy đủ. Triển khai network segmentation để cô lập các phần quan trọng của hệ thống, sử dụng endpoint detection and response (EDR) để giám sát hành vi bất thường, và thường xuyên audit các kết nối proxy SOCKS5 trong mạng nội bộ.

Người dùng cá nhân nên cập nhật hệ điều hành và phần mềm thường xuyên, sử dụng antivirus có khả năng phát hiện proxy malware, và đặc biệt cảnh giác với email chứa attachment hoặc link lạ. Chúng tôi khuyến nghị thiết lập network monitoring tool để theo dõi outbound connections bất thường, vì SystemBC thường tạo ra traffic pattern đặc trưng khi kết nối với C2 server. Backup dữ liệu định kỳ và test khôi phục thường xuyên vẫn là lá chắn cuối cùng khi mọi biện pháp phòng thủ khác thất bại.