Các cuộc tấn công về Ransomware đã xuất hiện trên khắp thế giới trong giai đoạn Covid 19 vào năm 2021 và không có dấu hiệu chậm lại. Tội phạm mạng sử dụng Ransomware như một phương thức hiện đại nhất trên các dark web để xác định đối tượng và tiến hành đe dọa các nạn nhân về vấn đề rò rỉ dữ liệu mật của công ty.
Sơ lược về các cuộc tấn công về Ransomware
Các tổ chức tội phạm này đã gây khó khăn cho các doanh nghiệp trong việc chống thất thoát dữ liệu. Các nạn nhân buộc phải trả khoản tiền chuộc khổng lồ để các dữ liệu quan trọng được bảo mật. Theo thống kê thì tổng số tiền chuộc trong năm nay đã tăng 144% lên đến 2,2 triệu đô la và có xu hướng vẫn còn tăng mạnh trong tương lai. Do đó các cuộc tấn công về Ransomware trở thành một trong những mối đe dọa hàng đầu trong an ninh mạng và là thách thức lớn cho các doanh nghiệp có quy mô lớn trong năm 2022.
Các thủ thuật mà tội phạm mạng sử dụng phản ánh rõ hơn về độ tinh vi và sự lớn mạnh của các cuộc tấn công về Ransomware.
- Các kỹ thuật đa mã độc, trong đó những kẻ tấn công không chỉ mã hóa các tệp mà còn đặt tên nhạy cảm khiến nạn nhân phải xấu hổ. Ngoài ra tội phạm mạng còn đe dọa sẽ mở thêm nhiều cuộc tấn công về Ransomware hơn nếu nạn nhân có dấu hiệu không trả tiền chuộc.
- Mô hình kinh doanh Ransomware dưới dạng dịch vụ (Raas) cực kỳ phổ biến, cung cấp các “bộ dụng cụ khởi động” và “dịch vụ hỗ trợ” cho tội phạm mạng. Làm giảm đáng kể rào cản kỹ thuật để xâm nhập và tăng tốc độ lan truyền của các cuộc tấn công.
- Vũ khí hóa nhanh chóng các lỗ hổng. Chỉ cần các doanh nghiệp không thể vá được các lỗ hổng dữ liệu nghiệm trọng thì những kẻ tấn công sẽ có cách khai thác để thực hiện hành vi phạm tội.
Tình hình của các cuộc tấn công về Ransomware trong năm 2021
Có vẻ như không ai miễn nhiễm với các cuộc tấn công về Ransomware – các doanh nghiệp ở hầu hết mọi quốc gia và ngành công nghiệp đã bị nhắm mục tiêu vào năm 2021.
Theo phân tích của Palo Alto Networks về các trang web rò rỉ Ransomware cho thấy khu vực châu Mỹ là bị ảnh hưởng nhiều nhất với 60% nạn nhân. Trong khi các khu vực châu Âu, Trung Đông và châu Phi là 31% và khu vực châu Á, Thái Bình Dương là 9%. Các lĩnh vực mà những kẻ tấn công hướng đến là các ngành dịch vụ Chuyên nghiệp và Pháp lý với 1100 nạn nhân. Tiếp sau đó là ngành Xây dựng với 600 nạn nhân.
Trước tình hình đó các doanh nghiệp cũng bắt đầu xây dựng thêm các giải pháp tăng cường chuẩn bị phòng thủ để đối mặt với các cuộc tấn công về Ransomware. Và sự lựa chọn hàng đầu của của họ là những công ty công nghệ chuyên cung cấp các dịch vụ bảo mật và chống thất thoát dữ liệu uy tín, hiện đại.
Khái quát về Ransomware
Các nhóm Ransomware khác nhau được biết đến với các kiểu tấn công và các mục tiêu khác nhau.
Trong đó, 2 nhóm Ransomware phát triển chính là Conti và REvil. Các nhóm Ransomware này tích cực tuyển dụng các chi nhánh (tội phạm mạng) để thực hiện các cuộc tấn công lớn. Ngoài ra, các nhóm Ransomware còn duy trì hiện diện trực tuyến trên các trang web rò rỉ, trang web “hỗ trợ” hay các hồ sơ truyền thông xã hội để tuyển dụng thêm các đơn vị liên kết từ đó tăng tổng thể tỷ lệ thành công.
Ransomware là một loại phần mềm độc hại được tội phạm mạng sử dụng cho mục đích thu lợi tài chính. Những kẻ tấn công sẽ khai thác lỗ hổng bảo mật, tận dụng các hệ thống đã bị xâm phạm. Thông qua lừa đảo email hay cố gắng lừa người dùng tải xuống các tệp, liên kết độc hại, những kẻ tấn công có thể sử dụng nơi để thực hiện cuộc tấn công về Ransomware.
Sau khi xâm nhập, Ransomware sẽ tiếp quản các tệp hoặc hệ thống của nạn nhân và mã hóa thông tin quan trọng để tổ chức không sử dụng được. Kẻ tấn công sẽ yêu cầu trả tiền chuộc để đổi lấy việc giải mã và trả lại các tệp về trạng thái ban đầu.
Thông thường các ghi chú đòi tiền chuộc của các cuộc tấn công về Ransomware sẽ được cài đặt trên hệ thống của nạn nhân. Đôi khi chúng sẽ cung cấp cho nạn nhân những bằng chứng cho thấy cuộc tấn công về Ransomware là có thật và gây bất lợi đến dữ liệu của nạn nhân. Bên cạnh đó các cuộc tấn công kép, đa mã độc kết hợp với việc giữ các dữ liệu mật làm con tin cũng là những chiến thuật gây áp lực buộc nạn nhân phải trả tiền nhanh và đầy đủ.
Bối cảnh Ransomware và Cơ chế hoạt động của những kẻ tấn công
Theo phân tích hoạt động của Ransomware vào năm 2021 và những năm gần đây có thể thấy bối cảnh của những cuộc tấn công về Ransomware thông qua một số chiến thuật của những kẻ tấn công khi tận dụng một số xu hướng mới nổi hiện nay.
Những kẻ tấn công “đi tắt”
Sử dụng nhà môi giới truy cập ban đầu, người bán quyền truy cập sẵn sàng vào các mạng công ty cho bất kỳ ai sẽ trả tiền cho họ. Đây là hình thức được nhiều Tổ chức Ransomware sử dụng vì tiết kiệm được chi phí và mang lại lợi cho cho cả hai bên. Ngoài ra hình thức này còn giúp những kẻ tấn công dễ dàng và nhanh chóng thả Ransomware vào một môi trường đã bị xâm nhập.
Những kẻ tấn công “bất chấp”
Những kẻ tấn công đang ngày càng sử dụng các dịch vụ ẩn danh. Điều này gây khó khăn cho các nhà nghiên cứu bảo mật và thực thi pháp luật khi theo dõi các hoạt động và xác định các chỉ số thỏa hiệp (IoC) có thể được sử dụng cho mạng phòng thủ. Tor (The Onion Router) và các dịch vụ ẩn danh khác là rất phổ biến với các nhóm Ransomware.Đây có thể sẽ tiếp tục là một phần quan trọng chiến thuật của những kẻ tấn công. Nhằm làm cho việc phòng thủ trước các cuộc tấn công Ransomware trở nên không có khả năng.
Những kẻ tấn công “Sáng tạo”
Những kẻ tấn công về Ransomware tiếp tục đầu tư vào công cụ và cập nhật các biến thể làm phần mềm độc hại. Nhiều nhóm Ransomware đang phát triển các biến thể nhắm tạo ra các cuộc tấn công dễ dàng hơn. Các biến thể mới xâm nhập được vào tất cả các loại hệ thống, điều này sẽ mở rộng phạm vi nạn nhân cho tổ chức Ransomware.