Microsoft triệt phá đường dây ký mã bất hợp pháp giúp tội phạm ransomware ngụy tạo phần mềm độc hại

Microsoft đã tịch thu các trang web và đóng xuống hàng trăm máy ảo đang chạy một dịch vụ tội phạm mạng chuyên bán chứng chỉ ký mã cho các băng nhóm ransomware. Nhờ đó, các phần mềm độc hại của chúng trông giống như phần mềm hợp pháp, cho phép tội phạm lây nhiễm hàng nghìn máy tính tại Mỹ, bao gồm ít nhất 12 máy thuộc sở hữu và vận hành bởi chính gã khổng lồ Windows.

Dịch vụ ký mã theo yêu cầu (malware signing-as-a-service) này có tên là Fox Tempest, đã hoạt động từ tháng 5 năm 2025 và lạm dụng dịch vụ ký mã Artifact Signing của Microsoft. Dịch vụ này cho phép các nhà phát triển ký kỹ thuật số cho ứng dụng của họ, tín hiệu gửi đến hệ điều hành Windows và người dùng cuối rằng phần mềm đó là chính xác và chưa bị can thiệp.

Kể từ tháng 5 năm 2025, nhóm Fox Tempest – được gọi là John Doe 1 và 2 trong các tài liệu tòa án được công bố vào thứ Ba – đã sử dụng danh tính giả và mạo danh các tổ chức thực tế, cho phép họ tạo ra hơn 580 tài khoản Microsoft lừa đảo.

Sau đó, họ sử dụng các tài khoản này để lạm dụng dịch vụ Artifact Signing của Microsoft và lấy được thông tin đăng nhập ký mã thực sự, sau đó bán chứng chỉ ký mã cho những tội phạm khác với giá hàng nghìn đô la.

Theo Microsoft, khách hàng của Fox Tempest bao gồm một nhóm ransomware mà Redmond theo dõi dưới tên Vanilla Tempest (còn gọi là Vice Spider, Vice Society, Rhysida). Nhóm này bị cáo buộc đã sử dụng chứng chỉ để ký kỹ thuật số cho mã độc và làm cho nó trông hợp pháp đối với Windows và người dùng.

Điều này cũng cho phép những kẻ phát tán ransomware "dễ dàng triển khai mã độc lên máy tính của các nạn nhân không nghi ngờ mà không có sự đồng ý của họ", theo tài liệu tòa án. Các mã độc bao gồm cửa sau (backdoor) Windows Oyster, trình đánh cắp thông tin Lumma và Vidar, cũng như ransomware Rhysida.

Vanilla Tempest "đã truy cập trái phép vào máy tính và thiết bị của nạn nhân, chiết xuất và đánh cắp thông tin cá nhân và bí mật của nạn nhân, triển khai ransomware được thiết kế để mã hóa tệp và hệ thống của nạn nhân, và tống tiền nạn nhân bằng cách yêu cầu thanh toán để đổi lấy việc khôi phục quyền truy cập hoặc che giấu dữ liệu", đơn khiếu tố dân sự tiếp tục, đồng thời thêm rằng hoạt động tội phạm này vẫn đang tiếp diễn.

Trong một bài đăng trên blog sau đó, luật sư Steven Masada của Đơn vị Tội phạm Kỹ thuật số của Microsoft (DCU) cho biết cuộc điều tra của công ty công nghệ "đã liên kết thêm Fox Tempest với nhiều chi nhánh và họ ransomware khác nhau, bao gồm INC, Qilin, Akira và những nhóm khác".

Giữa tháng 2 và tháng 3, DCU, làm việc với "một nguồn hợp tác", đã mua và kiểm thử dịch vụ ký mã một cách ẩn danh từ John Doe 2, còn được gọi là SamCodeSign.

"Các lượt mua thử nghiệm này cho phép các điều tra viên của DCU quan sát trực tiếp cách các bị cáo Fox Tempest vận hành dịch vụ, thông tin được cung cấp cho người mua và hướng dẫn do SamCodeSign đưa ra để kết nối với dịch vụ và ký phần mềm thử nghiệm do Microsoft tạo ra", tài liệu tòa án cho biết. "Ngoài ra, các lượt mua thử nghiệm cho phép DCU xác định các ví tiền điện tử được các bị cáo Fox Tempest sử dụng".

Trong lần mua thử nghiệm đầu tiên, nguồn đã điền vào một Google Form yêu cầu họ chọn tốc độ cần thiết cho chứng chỉ. Loại tiêu chuẩn có giá 5.000 USD, trong khi ưu tiên là 7.500 USD và khẩn cấp có mức giá cao tới 9.500 USD.

Sau khi nguồn thanh toán, SamCodeSign đã gửi hướng dẫn về cách truy cập máy ảo và hoàn tất quy trình ký mã.

"Microsoft đã xác định hàng nghìn máy khách hàng, bao gồm hơn một chục máy thuộc sở hữu và vận hành bởi Microsoft tại Hoa Kỳ đã bị ảnh hưởng bởi mã độc được ký bằng chứng chỉ có nguồn gốc từ các khách thuê do các bị cáo Fox Tempest tạo ra", đơn khiếu tố cho biết.