Duy Linh
Writer
Một chiến dịch ransomware mới mang tên WantToCry đang thu hút sự chú ý của giới an ninh mạng khi sử dụng phương thức tấn công khác biệt: khai thác các dịch vụ Server Message Block (SMB) bị mở ra internet để truy cập và mã hóa dữ liệu từ xa mà không cần cài mã độc trực tiếp lên hệ thống nạn nhân.
Theo đánh giá từ Sophos, cách thức hoạt động này giúp tin tặc giảm đáng kể khả năng bị phát hiện bởi các công cụ bảo mật truyền thống, bởi phần lớn giải pháp chống mã độc hiện nay thường tập trung vào việc phát hiện tập tin thực thi hoặc hành vi bất thường trên thiết bị đầu cuối.
Tên gọi WantToCry khiến nhiều người liên tưởng tới vụ tấn công WannaCry nổi tiếng năm 2017 từng lợi dụng lỗ hổng SMB để phát tán trên quy mô lớn. Tuy nhiên, Sophos cho biết giữa hai chiến dịch không có mối liên hệ kỹ thuật nào. WantToCry cũng không sở hữu khả năng tự lây lan như WannaCry trước đây.
Dù vậy, các tổ chức để lộ dịch vụ SMB ra internet vẫn đứng trước nguy cơ lớn nếu sử dụng cấu hình bảo mật yếu hoặc cơ chế xác thực kém an toàn.
Theo phân tích, kẻ tấn công bắt đầu bằng việc quét internet để tìm các hệ thống đang mở cổng SMB, chủ yếu là TCP 139 và 445. Chúng có thể tận dụng các nền tảng trinh sát công khai như Shodan và Censys để xác định những thiết bị có thể truy cập từ internet.
Tính đến đầu năm 2026, hơn 1,5 triệu thiết bị được ghi nhận đang để lộ cổng SMB trực tuyến, tạo ra bề mặt tấn công rất lớn cho các nhóm ransomware.
Mười vị trí hàng đầu có thiết bị để lộ cổng SMB (Nguồn: Sophos).
Sau khi xác định mục tiêu, kẻ tấn công tiến hành các đợt vét cạn mật khẩu tự động nhằm chiếm quyền truy cập bằng các tài khoản yếu hoặc thông tin đăng nhập đã bị rò rỉ.
Khi đăng nhập thành công, chúng không cài đặt bất kỳ phần mềm độc hại nào lên thiết bị nạn nhân. Thay vào đó, toàn bộ dữ liệu sẽ được sao chép trực tiếp thông qua kết nối SMB tới máy chủ của kẻ tấn công.
Quá trình mã hóa được thực hiện trên hạ tầng từ xa. Sau đó, các tập tin đã mã hóa sẽ được ghi ngược trở lại hệ thống nạn nhân thông qua cùng phiên SMB.
Các tệp bị ảnh hưởng sẽ được đổi sang phần mở rộng “.want_to_cry”, trong khi thư đòi tiền chuộc có tên “!Want_To_Cry.txt” sẽ xuất hiện trong các thư mục chứa dữ liệu.
Do không cần triển khai mã độc dạng thực thi trên máy nạn nhân, chiến thuật này có thể vượt qua nhiều giải pháp EDR vốn dựa trên việc theo dõi tiến trình và chữ ký nhận diện.
Sophos ghi nhận hai biến thể thư đòi tiền chuộc, yêu cầu nạn nhân liên lạc qua qTox hoặc Telegram. Mức tiền chuộc phổ biến khoảng 600 USD (khoảng 15,6 triệu VNĐ), nhưng có trường hợp dao động từ 400 USD đến 1.800 USD (khoảng 10,4 triệu đến 46,8 triệu VNĐ).
Thư đòi tiền chuộc được phát hiện trong các cuộc tấn công WantToCry (Nguồn: Sophos).
Khác với nhiều chiến dịch ransomware hiện đại, WantToCry hiện chưa cho thấy dấu hiệu sử dụng chiến thuật tống tiền kép hoặc đe dọa phát tán dữ liệu. Phạm vi ảnh hưởng của các cuộc tấn công cũng tương đối giới hạn, chủ yếu tập trung vào những hệ thống SMB bị lộ thay vì lan rộng trên toàn mạng nội bộ.
Trong khi đó, các máy chủ phục vụ giai đoạn mã hóa được đặt ở nhiều khu vực như Đức, Hoa Kỳ, Singapore và Nga.
Các nhà nghiên cứu cũng phát hiện nhiều tên máy ảo lặp lại như WIN-J9D866ESIJ2 và WIN-LIVFRVQFMKO. Trước đây, những tên này từng xuất hiện trong các chiến dịch liên quan tới LockBit và BlackCat. Tuy nhiên, Sophos cho rằng đây có thể chỉ là các máy ảo được thuê lại và chưa đủ cơ sở để xác định tác nhân đứng sau.
Điểm đáng chú ý là WantToCry không tạo ra các tiến trình thực thi đáng ngờ trên thiết bị nạn nhân. Điều này khiến nhiều giải pháp chống virus và EDR truyền thống gặp khó trong việc nhận diện hoạt động tấn công.
Ngoài ra, các thao tác đọc và ghi tập tin qua SMB thường được hệ thống xem là hoạt động hợp lệ, khiến việc phát hiện càng trở nên phức tạp hơn.
Dù vậy, chiến dịch này vẫn để lại dấu hiệu ở tầng mạng. Những hoạt động SMB bất thường như đọc ghi dữ liệu liên tục từ địa chỉ IP bên ngoài hoặc các lần xác thực đáng ngờ có thể là chỉ báo của một cuộc tấn công đang diễn ra.
Sophos cũng cho rằng các công nghệ giám sát thay đổi nội dung tập tin và giải pháp phát hiện mã hóa có thể giúp giảm thiểu thiệt hại.
Để phòng tránh nguy cơ, các chuyên gia khuyến nghị doanh nghiệp vô hiệu hóa SMBv1, chặn lưu lượng SMB từ internet tại tường lửa, triển khai cơ chế xác thực mạnh và bảo vệ hệ thống sao lưu để không thể bị truy cập thông qua SMB.
Ngoài ra, việc giám sát lưu lượng mạng kết hợp triển khai các giải pháp XDR cũng có thể hỗ trợ phát hiện sớm các hoạt động do thám và tấn công vét cạn mật khẩu.
Chiến dịch WantToCry cho thấy xu hướng mới của các nhóm ransomware: thay vì tập trung khai thác lỗ hổng phần mềm, chúng đang chuyển sang lợi dụng sai sót cấu hình và hệ thống xác thực yếu để xâm nhập mạng doanh nghiệp.
Theo đánh giá từ Sophos, cách thức hoạt động này giúp tin tặc giảm đáng kể khả năng bị phát hiện bởi các công cụ bảo mật truyền thống, bởi phần lớn giải pháp chống mã độc hiện nay thường tập trung vào việc phát hiện tập tin thực thi hoặc hành vi bất thường trên thiết bị đầu cuối.
Tên gọi WantToCry khiến nhiều người liên tưởng tới vụ tấn công WannaCry nổi tiếng năm 2017 từng lợi dụng lỗ hổng SMB để phát tán trên quy mô lớn. Tuy nhiên, Sophos cho biết giữa hai chiến dịch không có mối liên hệ kỹ thuật nào. WantToCry cũng không sở hữu khả năng tự lây lan như WannaCry trước đây.
Dù vậy, các tổ chức để lộ dịch vụ SMB ra internet vẫn đứng trước nguy cơ lớn nếu sử dụng cấu hình bảo mật yếu hoặc cơ chế xác thực kém an toàn.
Theo phân tích, kẻ tấn công bắt đầu bằng việc quét internet để tìm các hệ thống đang mở cổng SMB, chủ yếu là TCP 139 và 445. Chúng có thể tận dụng các nền tảng trinh sát công khai như Shodan và Censys để xác định những thiết bị có thể truy cập từ internet.
Tính đến đầu năm 2026, hơn 1,5 triệu thiết bị được ghi nhận đang để lộ cổng SMB trực tuyến, tạo ra bề mặt tấn công rất lớn cho các nhóm ransomware.
Mười vị trí hàng đầu có thiết bị để lộ cổng SMB (Nguồn: Sophos).
Cơ chế tấn công không cần triển khai mã độc
Các chuyên gia từ SophosLabs cho biết WantToCry sử dụng SMB làm điểm truy cập ban đầu, sau đó đánh cắp dữ liệu sang hạ tầng do tin tặc kiểm soát để tiến hành mã hóa từ xa.Sau khi xác định mục tiêu, kẻ tấn công tiến hành các đợt vét cạn mật khẩu tự động nhằm chiếm quyền truy cập bằng các tài khoản yếu hoặc thông tin đăng nhập đã bị rò rỉ.
Khi đăng nhập thành công, chúng không cài đặt bất kỳ phần mềm độc hại nào lên thiết bị nạn nhân. Thay vào đó, toàn bộ dữ liệu sẽ được sao chép trực tiếp thông qua kết nối SMB tới máy chủ của kẻ tấn công.
Quá trình mã hóa được thực hiện trên hạ tầng từ xa. Sau đó, các tập tin đã mã hóa sẽ được ghi ngược trở lại hệ thống nạn nhân thông qua cùng phiên SMB.
Các tệp bị ảnh hưởng sẽ được đổi sang phần mở rộng “.want_to_cry”, trong khi thư đòi tiền chuộc có tên “!Want_To_Cry.txt” sẽ xuất hiện trong các thư mục chứa dữ liệu.
Do không cần triển khai mã độc dạng thực thi trên máy nạn nhân, chiến thuật này có thể vượt qua nhiều giải pháp EDR vốn dựa trên việc theo dõi tiến trình và chữ ký nhận diện.
Sophos ghi nhận hai biến thể thư đòi tiền chuộc, yêu cầu nạn nhân liên lạc qua qTox hoặc Telegram. Mức tiền chuộc phổ biến khoảng 600 USD (khoảng 15,6 triệu VNĐ), nhưng có trường hợp dao động từ 400 USD đến 1.800 USD (khoảng 10,4 triệu đến 46,8 triệu VNĐ).
Thư đòi tiền chuộc được phát hiện trong các cuộc tấn công WantToCry (Nguồn: Sophos).
Khác với nhiều chiến dịch ransomware hiện đại, WantToCry hiện chưa cho thấy dấu hiệu sử dụng chiến thuật tống tiền kép hoặc đe dọa phát tán dữ liệu. Phạm vi ảnh hưởng của các cuộc tấn công cũng tương đối giới hạn, chủ yếu tập trung vào những hệ thống SMB bị lộ thay vì lan rộng trên toàn mạng nội bộ.
Hoạt động âm thầm khiến việc phát hiện trở nên khó khăn
Sophos cho biết hạ tầng phục vụ chiến dịch này được phân tán tại nhiều quốc gia khác nhau. Hoạt động trinh sát và vét cạn mật khẩu ban đầu có liên quan tới một địa chỉ IP thuộc nhà cung cấp hosting tại Nga.Trong khi đó, các máy chủ phục vụ giai đoạn mã hóa được đặt ở nhiều khu vực như Đức, Hoa Kỳ, Singapore và Nga.
Các nhà nghiên cứu cũng phát hiện nhiều tên máy ảo lặp lại như WIN-J9D866ESIJ2 và WIN-LIVFRVQFMKO. Trước đây, những tên này từng xuất hiện trong các chiến dịch liên quan tới LockBit và BlackCat. Tuy nhiên, Sophos cho rằng đây có thể chỉ là các máy ảo được thuê lại và chưa đủ cơ sở để xác định tác nhân đứng sau.
Điểm đáng chú ý là WantToCry không tạo ra các tiến trình thực thi đáng ngờ trên thiết bị nạn nhân. Điều này khiến nhiều giải pháp chống virus và EDR truyền thống gặp khó trong việc nhận diện hoạt động tấn công.
Ngoài ra, các thao tác đọc và ghi tập tin qua SMB thường được hệ thống xem là hoạt động hợp lệ, khiến việc phát hiện càng trở nên phức tạp hơn.
Dù vậy, chiến dịch này vẫn để lại dấu hiệu ở tầng mạng. Những hoạt động SMB bất thường như đọc ghi dữ liệu liên tục từ địa chỉ IP bên ngoài hoặc các lần xác thực đáng ngờ có thể là chỉ báo của một cuộc tấn công đang diễn ra.
Sophos cũng cho rằng các công nghệ giám sát thay đổi nội dung tập tin và giải pháp phát hiện mã hóa có thể giúp giảm thiểu thiệt hại.
Để phòng tránh nguy cơ, các chuyên gia khuyến nghị doanh nghiệp vô hiệu hóa SMBv1, chặn lưu lượng SMB từ internet tại tường lửa, triển khai cơ chế xác thực mạnh và bảo vệ hệ thống sao lưu để không thể bị truy cập thông qua SMB.
Ngoài ra, việc giám sát lưu lượng mạng kết hợp triển khai các giải pháp XDR cũng có thể hỗ trợ phát hiện sớm các hoạt động do thám và tấn công vét cạn mật khẩu.
Chiến dịch WantToCry cho thấy xu hướng mới của các nhóm ransomware: thay vì tập trung khai thác lỗ hổng phần mềm, chúng đang chuyển sang lợi dụng sai sót cấu hình và hệ thống xác thực yếu để xâm nhập mạng doanh nghiệp.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
