Tưởng tượng bạn bị tống tiền nhưng kẻ bắt cóc đã giết con tin ngay từ đầu. Đó chính là tình huống mà các nạn nhân của VECT 2.0 phải đối mặt - một ransomware (mã độc tống tiền) hoạt động như wiper (mã độc phá hủy) do lỗi nghiêm trọng trong cơ chế mã hóa. Thay vì mã hóa dữ liệu để đòi tiền chuộc như các ransomware truyền thống, VECT 2.0 lại vô tình xóa vĩnh viễn mọi tập tin có kích thước trên 131KB trên hệ điều hành Windows, Linux và ESXi. Điều đáng sợ nhất: ngay cả khi nạn nhân đồng ý trả tiền, dữ liệu đã mất không thể phục hồi.

Khi ransomware trở thành 'kẻ hủy diệt' vô tình

Các chuyên gia săn lùng mối đe dọa đã phát hiện ra rằng VECT 2.0 không phải là một ransomware thông thường. Thông qua phân tích mã nguồn, họ nhận thấy lỗi thiết kế nghiêm trọng trong thuật toán mã hóa khiến mã độc này hoạt động gần giống như một wiper - loại malware (phần mềm độc hại) được thiết kế để xóa sổ dữ liệu thay vì tống tiền. Điều này có nghĩa là mục đích ban đầu của nhóm tội phạm mạng - kiếm tiền từ việc mã hóa dữ liệu - đã thất bại hoàn toàn.

Chúng tôi cho rằng đây là một trong những trường hợp hiếm hoi trong lịch sử an ninh mạng khi một nhóm ransomware tự 'bắn vào chân' mình. Việc phá hủy dữ liệu thay vì mã hóa không chỉ khiến nạn nhân không thể khôi phục thông tin quan trọng mà còn làm nhóm tội phạm mất đi nguồn thu nhập từ tiền chuộc. Đây có thể là do trình độ kỹ thuật hạn chế của nhóm phát triển VECT 2.0 hoặc do họ cố tình sao chép mã nguồn từ các ransomware khác mà không hiểu rõ cơ chế hoạt động.

Cơ chế hủy diệt bí ẩn của VECT 2.0

Phân tích kỹ thuật cho thấy VECT 2.0 có một ngưỡng tử thần ở mức 131KB (khoảng 134,144 bytes). Mọi tập tin có kích thước dưới ngưỡng này sẽ được mã hóa bình thường và có thể khôi phục nếu có key (khóa giải mã). Tuy nhiên, với những tập tin lớn hơn 131KB - bao gồm hầu hết các file quan trọng như tài liệu Word, bảng tính Excel, hình ảnh chất lượng cao, video và cơ sở dữ liệu - VECT 2.0 sẽ ghi đè hoàn toàn nội dung bằng dữ liệu rác hoặc xóa trắng.

Điều đáng quan ngại là VECT 2.0 được phát triển với khả năng tấn công đa nền tảng, hoạt động trên cả Windows, Linux và ESXi (hệ điều hành ảo hóa của VMware). Theo đánh giá của chúng tôi, việc nhắm vào ESXi đặc biệt nguy hiểm vì đây là nền tảng chạy hàng nghìn máy ảo trong các trung tâm dữ liệu doanh nghiệp. Một cuộc tấn công thành công vào ESXi có thể làm tê liệt toàn bộ hạ tầng công nghệ thông tin của một tổ chức trong vài phút.

Tác động khủng khiếp lên doanh nghiệp toàn cầu

Sự xuất hiện của VECT 2.0 đánh dấu một xu hướng đáng lo ngại trong thế giới ransomware. Khác với các cuộc tấn công tống tiền truyền thống nơi nạn nhân vẫn có cơ hội đàm phán và khôi phục dữ liệu, VECT 2.0 tạo ra một tình huống không có đường lùi. Các doanh nghiệp bị tấn công sẽ phải đối mặt với việc mất mát hoàn toàn dữ liệu quan trọng, từ hồ sơ khách hàng, báo cáo tài chính đến tài liệu pháp lý.

Tại Việt Nam, nơi nhiều doanh nghiệp vừa và nhỏ vẫn chưa đầu tư đầy đủ vào hệ thống sao lưu dữ liệu chuyên nghiệp, VECT 2.0 có thể gây ra thiệt hại không thể bù đắp. Theo thống kê của Cục An toàn thông tin, Bộ Thông tin và Truyền thông, Việt Nam ghi nhận hàng nghìn vụ tấn công ransomware mỗi năm, với thiệt hại ước tính lên đến hàng trăm tỷ đồng. Một ransomware như VECT 2.0 có thể đẩy con số này lên mức kỷ lục.

Chiến lược phòng thủ toàn diện trước VECT 2.0

Trước mối đe dọa từ VECT 2.0, các doanh nghiệp Việt Nam cần triển khai ngay chiến lược phòng thủ nhiều lớp. Bước đầu tiên và quan trọng nhất là thiết lập hệ thống sao lưu dữ liệu theo quy tắc 3-2-1: có 3 bản sao dữ liệu, lưu trữ trên 2 loại phương tiện khác nhau, với 1 bản sao offline hoàn toàn. Tiếp theo, cập nhật thường xuyên hệ điều hành và phần mềm bảo mật, đặc biệt chú ý đến các bản vá cho Windows, Linux và ESXi.

Chúng tôi khuyến cáo mạnh mẽ việc triển khai giải pháp EDR (Endpoint Detection and Response - phát hiện và phản hồi tại điểm cuối) để theo dõi hoạt động bất thường trên hệ thống. Đồng thời, tổ chức đào tạo nhận thức an ninh mạng cho nhân viên về các phương thức lây nhiễm phổ biến như email lừa đảo, tệp đính kèm độc hại và liên kết web nguy hiểm. Cuối cùng, xây dựng kế hoạch ứng phó sự cố chi tiết bao gồm quy trình cách ly hệ thống bị nhiễm, thông báo cho cơ quan chức năng và kích hoạt khôi phục dữ liệu từ bản sao lưu.