Cảnh Báo Về Ransomware DarkBit Tấn Công VMware ESXi và Khuyến nghị phòng chống

Vào ngày 13 tháng 8 năm 2025 chiến dịch ransomware DarkBit đang nhắm vào các máy chủ VMware ESXi, mã hóa toàn bộ tệp tin máy ảo và gây tê liệt hạ tầng CNTT doanh nghiệp. Kẻ tấn công lợi dụng lỗ hổng chưa vá hoặc mật khẩu yếu để xâm nhập. Hậu quả gồm: gián đoạn kinh doanh, thiệt hại tài chính lớn, khôi phục phức tạp và nguy cơ mất dữ liệu vĩnh viễn nếu thiếu sao lưu.

DarkBit không phải là một loại ransomware thông thường. Nó được tinh chỉnh để hoạt động hiệu quả trong môi trường Linux của ESXi. Kịch bản tấn công điển hình diễn ra theo các bước sau:

- Xâm nhập ban đầu: Kẻ tấn công tìm cách giành quyền truy cập vào mạng nội bộ, thường thông qua việc khai thác các lỗ hổng đã biết (ví dụ như lỗ hổng trên OpenSLP), tấn công dò mật khẩu SSH hoặc lừa đảo để chiếm đoạt tài khoản quản trị.

- Leo thang và triển khai: Sau khi có quyền truy cập, tin tặc sẽ tải mã độc DarkBit lên máy chủ ESXi. Chúng sử dụng các công cụ dòng lệnh của ESXi (như esxcli) để liệt kê và tắt tất cả các máy ảo đang chạy, đảm bảo các tệp tin không bị khóa.

- Mã hóa tệp tin máy ảo: Mã độc thực thi và quét toàn bộ các kho lưu trữ (datastores) để tìm các tệp tin quan trọng của máy ảo. Nó sử dụng thuật toán mã hóa mạnh để khóa các tệp .vmdk, .vmx, .vmsd, và .nvram, sau đó đổi tên chúng bằng cách thêm phần mở rộng .DARKBIT.

- Để lại thư tống tiền: Cuối cùng, một tệp tin hướng dẫn (.txt) được tạo ra trong mỗi thư mục bị ảnh hưởng, chứa thông điệp đòi tiền chuộc và chỉ dẫn cách liên lạc với nhóm tin tặc để mua khóa giải mã.

Khuyến nghị phòng chống:

- Cập nhật ngay lập tức: Luôn áp dụng các bản vá bảo mật mới nhất cho ESXi và vCenter (https://www.broadcom.com/support/vmware-security-advisories)

- Cách ly mạng: Cách ly mạng được thực hiện nghiêm ngặt bằng.

- Tăng cường xác thực: Bắt buộc sử dụng mật khẩu mạnh và xác thực đa yếu tố (MFA).

- Sao lưu: Duy trì các bản sao lưu ngoại tuyến (offline) hoặc bất biến (immutable) và thường xuyên kiểm tra khả năng khôi phục.

- Giám sát: Thực hiện giám sát liên tục nhằm phát hiện và ngăn chặn kịp thời mọi hoạt động bất thường

Nguồn tham khảo:

- BleepingComputer: https://www.bleepingcomputer.com/news/security/darkbit-ransomware-targets-israels-technion-university/

- The Hacker News: https://thehackernews.com/2023/02/iranian-hackers-using-new-darkbit.html

- SecurityWeek: https://www.securityweek.com/new-darkbit-ransomware-linked-to-iran/

- Ars Technica: https://arstechnica.com/information-technology/2023/02/esxi-hypervisors-are-under-massive-attack-by-a-new-ransomware-family/