🔒 World Leaks Ransomware Group thêm phần mềm độc hại tùy chỉnh, lén lút 'RustyRocket' vào các cuộc tấn công

World Leaks, nhóm tống tiền dữ liệu tội phạm mạng nhắm mục tiêu vào một số công ty lớn nhất thế giới, đã thêm một phần mềm độc hại mới, chưa từng thấy vào kho vũ khí của họ, nghiên cứu của Accenture Cybersecurity đã tiết lộ.

📋 Nội dung chi tiết

Accenture đã đặt tên cho phần mềm độc hại này là ‘RustyRocket’. Nó cho phép World Leaks lén lút duy trì sự tồn tại trên mạng và trở thành một phần quan trọng trong các cuộc tấn công của các nhóm tống tiền.

T. Ryan Whelan, MD và người đứng đầu toàn cầu của Accenture cyber Intelligence, cho biết trong một bài đăng trên LinkedIn tiết lộ nghiên cứu: “Bộ công cụ tinh vi này là một thành phần quan trọng trong hoạt động của World Leaks và hoạt động hoàn toàn dưới radar, cho phép các chi nhánh lén lút lấy cắp dữ liệu và lưu lượng proxy trên các môi trường của nạn nhân”.

World Leaks được phân loại là một nhóm ransomware, nhưng thay vì mã hóa dữ liệu và yêu cầu tiền chuộc cho khóa giải mã, họ đánh cắp dữ liệu cá nhân và dữ liệu nhạy cảm của công ty, sau đó đe dọa sẽ xuất bản dữ liệu đó nếu họ không được trả tiền chuộc.

Nhóm này đã tuyên bố Nike là nạn nhân của họ và tiết lộ hơn 188.000 hồ sơ bị đánh cắp sau khi thương hiệu thể thao này từ chối nhượng bộ các yêu cầu tống tiền.

🔍 Thông tin bổ sung

RustyRocket, Phần mềm độc hại Rust tinh vi

Được viết bằng Rust và được thiết kế để nhắm mục tiêu vào cả môi trường Microsoft Windows và Linux, phần mềm độc hại RuskyRocket được mô tả là “công cụ proxy và lọc dữ liệu tinh vi”, cho phép kẻ tấn công đánh cắp dữ liệu thông qua các đường hầm được mã hóa nhiều lớp, bị che khuất nghiêm trọng.

Điều này kết hợp hoạt động độc hại trong hoạt động mạng hợp pháp. Các nhà nghiên cứu lưu ý rằng điều này khiến hoạt động RustyRocket của World Leaks trở nên “đặc biệt khó phát hiện”.

Phần mềm độc hại cũng được thiết kế để khó theo dõi. Để đạt được điều này, RustyRocket sử dụng một biện pháp bảo vệ thực thi mới để yêu cầu người dùng nhập cấu hình được mã hóa trước khi chạy.

🔍 Thông tin bổ sung

Whelan cho biết: “Nói tóm lại, điều này có nghĩa là RustyRocket cực kỳ khó phát hiện và rất linh hoạt, khiến nó được chế tạo hoàn hảo để đánh cắp dữ liệu, mạng proxy và các cuộc tấn công mạng tập trung vào mục đích tống tiền”.

World Leaks đã hoạt động từ đầu năm 2025 và thường giành được quyền truy cập mạng ban đầu thông qua kỹ thuật xã hội, thông tin xác thực bị đánh cắp hoặc khai thác cơ sở hạ tầng bị lộ.

Bằng cách triển khai các công cụ phức tạp, lén lút như RustyRocket, World Leaks có thể duy trì sự ổn định trong mạng, dành thời gian đó để thu thập dữ liệu cuối cùng được sử dụng để tống tiền.

Whelan cho biết: “RustyRocket là một ví dụ điển hình về cách tin tặc đang phát triển các kỹ thuật để phá vỡ các biện pháp phòng vệ truyền thống”.

“Nó chứng minh rằng cách phòng vệ tốt nhất cho các doanh nghiệp là tăng cường phòng thủ bằng cách dựa vào các phương pháp tiếp cận nâng cao để quản lý tiếp xúc với mối đe dọa liên tục, kiểm tra bảo mật và đội đỏ, tất cả đồng thời chuẩn bị người của bạn để sẵn sàng cho các cuộc tấn công như vậy,” ông nói thêm.

Để giúp bảo vệ chống lại các cuộc tấn công mạng của World Leaks triển khai RustyRocket, cũng như các chiến dịch phần mềm độc hại, phần mềm tống tiền và tống tiền tương tự, Accenture khuyến nghị các tổ chức nên giám sát hoạt động truyền dữ liệu ra ngoài bất thường và nên áp dụng phân đoạn mạng để hạn chế chuyển động ngang của những kẻ tấn công.

📌 Kết luận

Đây là một sự kiện đáng chú ý trong lĩnh vực an ninh mạng. Người dùng và doanh nghiệp cần cập nhật các biện pháp bảo mật để bảo vệ hệ thống của mình.