Khi kẻ tấn công muốn tống tiền nhưng lại vô tình trở thành kẻ hủy diệt dữ liệu - đó chính là tình huống trớ trêu đang xảy ra với mã độc VECT 2.0. Các chuyên gia bảo mật vừa phát hiện ransomware này mắc lỗi nghiêm trọng trong cơ chế mã hóa, khiến nó xóa trắng các file lớn thay vì mã hóa để đòi tiền chuộc. Điều này có nghĩa dữ liệu bị mất vĩnh viễn, ngay cả khi nạn nhân sẵn sàng trả tiền. Tuy nghe có vẻ tệ hại hơn, nhưng thực tế đây lại có thể là tin vui vì hacker sẽ mất đi động lực kinh tế để tiếp tục các cuộc tấn công.

Khi hacker tự bắn vào chân mình

VECT 2.0 được phát hiện lần đầu vào cuối năm 2024, ban đầu hoạt động như một ransomware thông thường với khả năng mã hóa file và đòi tiền chuộc. Tuy nhiên, các nhà nghiên cứu từ nhiều công ty bảo mật hàng đầu đã phát hiện ra một lỗi nghiêm trọng trong cách mã độc này xử lý encryption nonces (số ngẫu nhiên dùng một lần trong mã hóa). Lỗi này khiến VECT 2.0 không thể mã hóa đúng cách các file có dung lượng lớn, thường là những file quan trọng như cơ sở dữ liệu, video, hoặc file backup.

Thay vì tạo ra bản sao đã mã hóa có thể giải mã được, VECT 2.0 lại ghi đè lên dữ liệu gốc bằng các byte rác hoặc dữ liệu không có nghĩa. Chúng tôi cho rằng đây là một trong những lỗi thiết kế nghiêm trọng nhất từng thấy trong lịch sử ransomware. Điều đáng chú ý là lỗi này chỉ ảnh hưởng đến các file lớn hơn một ngưỡng nhất định, thường là 100MB trở lên, trong khi các file nhỏ vẫn được mã hóa bình thường.

Kỹ thuật sai lầm đằng sau thảm họa

Để hiểu rõ nguyên nhân, cần biết rằng encryption nonce là một thành phần quan trọng trong hệ thống mã hóa hiện đại. Nó đảm bảo rằng cùng một dữ liệu được mã hóa nhiều lần sẽ cho ra kết quả khác nhau, tăng tính bảo mật. Trong VECT 2.0, các lập trình viên đã sử dụng sai cách thức quản lý nonce khi xử lý các file lớn, dẫn đến việc tái sử dụng nonce hoặc sử dụng nonce không hợp lệ.

Kết quả là thuật toán mã hóa bị lỗi và tạo ra output không thể giải mã được, thậm chí với đúng private key. Các chuyên gia phân tích mã nguồn cho thấy nhóm phát triển VECT 2.0 có vẻ thiếu kinh nghiệm trong việc implement các thuật toán mã hóa phức tạp. Chúng tôi đánh giá đây là hậu quả của việc cybercrime ngày càng "dân chủ hóa", khi những kẻ tấn công không có đủ kỹ năng kỹ thuật vẫn cố gắng tạo ra các công cụ tấn công tinh vi.

Tác động nghịch lý đến thị trường ransomware

Mặc dù việc dữ liệu bị xóa vĩnh viễn nghe có vẻ tệ hơn việc bị mã hóa, nhưng thực tế lại tạo ra một tác động tích cực không ngờ. Khi các nạn nhân nhận ra rằng việc trả tiền chuộc không thể khôi phục được dữ liệu, họ sẽ không còn động lực thanh toán cho hacker. Điều này phá vỡ mô hình kinh doanh của ransomware, vốn dựa trên việc nạn nhân tin rằng họ có thể lấy lại dữ liệu sau khi trả tiền.

Theo thống kê từ các công ty bảo mật quốc tế, tỷ lệ thanh toán tiền chuộc cho VECT 2.0 chỉ đạt 3%, thấp hơn đáng kể so với mức trung bình 30-40% của các ransomware khác. Tại Việt Nam, Cục An toàn thông tin (Bộ TT&TT) ghi nhận ít nhất 15 trường hợp bị tấn công bởi VECT 2.0 trong tháng qua, nhưng không có doanh nghiệp nào báo cáo việc trả tiền chuộc.

Bảo vệ ngay trước khi quá muộn

Dù VECT 2.0 có lỗi nghiêm trọng, các doanh nghiệp Việt Nam không nên chủ quan mà cần triển khai ngay các biện pháp bảo vệ cụ thể. Đầu tiên, cập nhật hệ điều hành và phần mềm bảo mật lên phiên bản mới nhất, đặc biệt chú ý các bản vá cho Windows Server và các ứng dụng remote desktop. Tiếp theo, thiết lập hệ thống backup 3-2-1 (3 bản sao, 2 phương tiện lưu trữ khác nhau, 1 bản offline), đảm bảo ít nhất một bản backup được cách ly hoàn toàn khỏi mạng.

Đối với các cá nhân, chúng tôi khuyến nghị nên kích hoạt tính năng File History trên Windows hoặc Time Machine trên macOS, đồng thời sử dụng các dịch vụ cloud backup uy tín. Đặc biệt quan trọng là đào tạo nhân viên nhận biết email phishing, vì đây vẫn là phương thức lây nhiễm chính của VECT 2.0. Cuối cùng, doanh nghiệp nên cân nhắc triển khai giải pháp EDR (Endpoint Detection and Response) để phát hiện sớm các hành vi bất thường của ransomware trước khi chúng kịp gây thiệt hại.