Cùng iVIM khám phá về mã độc Ransomware

Mã độc Ransomware hiện nay tấn công dữ liệu các doanh nghiệp ngày càng nhiều với mục đích là tống tiền. Với hình thức xâm nhập và thao túng dữ liệu quan trọng của nạn nhân. Tình trạng bị tấn công dữ liệu xảy ra nhiều, nhưng đó không phải là virus, mà chính là Ransomware mới là mối đe dọa của các cơ quan, tổ chức, doanh nghiệp. Cùng Công ty TNHH iVIM cùng tìm hiểu về mối đe dọa hiện nay của các doanh nghiệp nhé.

Mã độc Ransomware là gì?

ransomware-la-gi?
ransomware-la-gi?

Mã độc ransomware là dạng phần mềm độc hại thường đi mã hóa dữ liệu hay đi khóa quyền truy cập các thiết bị của người dùng. Để lấy lại quyền truy cập thiết bị hay dữ liệu, người dùng phải đưa cho hacker một khoản tiền chuộc nhất định. Mã độc ransomware còn được gọi với một tên mới là phần mềm tống tiền hay mã độc tống tiền.

Mã độc Ransomware xâm nhập vào máy tính như thế nào?

Máy tính của bạn sẽ có nguy cơ bị nhiễm mã độc ransomware khi:

ransomware-hoat-dong-nhu-the-nao
ransomware-hoat-dong-nhu-the-nao
  • Tìm và sử dụng các phần mềm crack, không rõ nguồn gốc
  • Click vào file đính kèm trong email (thường là file word, PDF)
  • Click vào các quảng cáo chứa mã độc tống tiền
  • Truy cập vào website chứa nội dung đồi trụy, không lành mạnh
  • Truy cập vào website giả mạo.
  • Và còn nhiều cách lây nhiễm ransomware khác do tính sáng tạo của hacker được cải thiện theo thời gian.

Phân loại mã độc ransomware và cách thức hoạt động

Dựa vào một số điểm khác nhau trong cách thức hoạt động, có thể chia ransomware thành 3 loại chính: Encrypting, Non-encrypting, Leakwarez. Tuy nhiên hiện nay ransomware đã theo kịp tốc độ phát triển của công nghệ và xuất hiện thêm các chủng ransomware trên mobile (Android và iOS), ransomware trong IoT hay thậm chí máy ảnh DSLR cũng có thể bị lây nhiễm phần mềm độc hại này.

  • Mã độc Ransomware mã hóa (Encrypting)

Encrypting Ransomware được xem là loại phần mềm tống tiền nhiều nhất, với hình thức mã hóa dữ liệu ( tệp tin và thư mục) của người dùng. Cách gọi khác của Encrypting Ransomware là Crypto Ransomware.

Sau khi xâm nhập vào máy tính của bạn, mã độc sẽ âm thầm kết nối với server của người tấn công, hình thành hai chìa khóa – một cái là công khai để mã hóa các file dữ liệu của bạn, một khóa riêng do server của hacker nắm giữ, dùng để giải mã. Các file dữ liệu này sẽ bị đổi đuôi thành những định dạng nhất định và thông báo lỗi khi có người dùng muốn mở.

Khi đã mã hóa được file dữ liệu, crypto ransomware sẽ gửi thông báo đến máy tính của bạn, thông báo về việc bạn đã bị tấn công và phải trả khoản phí chuộc cho hacker. Xuất hiện một vài trường hợp, hacker còn tạo ra nhiều áp lực khác bằng cách đòi hỏi nạn nhân phải đưa một khoản tiền chuộc trong một khoản thời gian nhất định. Sau đó, khóa giải mã file dữ liệu sẽ bị phá hủy hay mức tiền chuộc sẽ bị tăng lên.

ma-doc-ransomware
Đoi-tuong-ransomware-huong-đen
  • Mã độc Ransomware không mã hóa (Non-encrypting)

Non-encrypting ransomware còn có một tên gọi là Locker là một loại phần mềm không mã hóa được file của nạn nhân. Tuy nhiên, hacker khóa và chặn người dùng ra khỏi phần mềm thiết bị. Nạn nhân sẽ không thao tác được các bước nào trên máy tính. Màn hình máy tính sẽ xuất hiện chi tiết về cách thanh toán tiền chuộc để nạn nhân có thể truy cập lại và dùng được thiết bị của mình.

  • Leakware (Doxware)

Các loại mã độc ransomware hiện nay, công khai đe dọa các file dữ liệu của nạn nhân lên mạng nếu không chịu chi trả một khoản tiền chuộc. Nhiều người dùng thường có thói quen lưu trữ nhiều file nhạy cảm hoặc ảnh cá nhân ở máy tính nên sẽ không tránh khỏi việc bị hacker tấn công và buộc phải trả tiền chuộc cho hacker. Loại mã độc ransomware thường được gọi với cái tên leakware hoặc doxware.

  • Mã độc Mobile mã độc ransomware

Xu hướng sử dụng điện thoại di động và sự phổ biến của smartphone diễn ra trên toàn cầu, mã độc ransomware sẽ xuất hiện nhiều trên mobile. Bình thường sẽ xuất hiện dưới dạng phần mềm ngăn chặn người dùng không truy cập dữ liệu được thay vì mã hóa dữ liệu trên mobile sẽ dễ dàng hồi phục thông qua bước đồng bộ hóa trực tuyến.

Mobile mã độc ransomware sẽ nhắm vào các nền tảng điện thoại Android,  bởi vì hệ điều hành này sẽ cấp quyền “Cài đặt ứng dụng” cho bên thứ ba. Khi người dùng cài đặt file .APK chứa mobile ransomware, sẽ có 2 kịch bản có thể xảy ra:

Chúng sẽ hiển thị pop-up (tin thông báo) chặn không cho người dùng truy cập vào tất cả các ứng dụng khác.

Sử dụng hình thức “bắt buộc nhấp chuột” (clickjacking) để khiến người dùng vô tình cấp quyền quản trị thiết bị. Khi đó, mobile ransomware sẽ truy cập sâu hơn vào hệ thống và thực hiện các hình thức vi phạm khác.

Đối với hệ điều hành iOS, kẻ tấn công cần áp dụng những chiến thuật phức tạp hơn, chẳng hạn như khai thác tài khoản iCloud và sử dụng tính năng “Find my iPhone” để khóa quyền truy cập vào thiết bị.

  • Mã độc Ransomware xuất hiện trong IoT và máy ảnh DSLR

Mới đây, các nhà chuyên gia an ninh mạng đã chứng minh rằng các mã độc ransomware có thể nhắm đến các mục tiêu kiến trúc ARM. Cũng như có thể tìm thấy được trong các thiết bị internet-of-things (IoT) sẽ khác nhau, ví dụ như các thiết bị IoT công nghệ. 

Vào tháng 8 năm 2019, các nhà nghiên cứu đã chứng minh rằng có thể lây nhiễm máy ảnh DSLR bằng ransomware. Các máy ảnh kỹ thuật số thường sử dụng Giao thức truyền hình ảnh PTP (Picture Transfer Protocol – giao thức chuẩn được sử dụng để truyền ảnh). Các nhà nghiên cứu nhận thấy rằng có thể khai thác lỗ hổng trong giao thức để lây nhiễm máy ảnh mục tiêu bằng ransomware (hoặc thực thi bất kỳ mã tùy ý nào). Cuộc tấn công này đã được thử nghiệm tại hội nghị bảo mật Defcon ở Las Vegas hồi tháng 8 năm nay.

Đối tượng có thể trở thành nạn nhân của mã độc ransomware?

Mã độc ransomware nhắm đến đối tượng đầu tiên là doanh nghiệp

Nhiều doanh nghiệp hiện nay là mục tiêu lớn của các hacker, phần mềm tống tiền.

Không bất ngờ khi hacker chọn những doanh nghiệp nhỏ và vừa đang phát triển nhưng hệ thống có bảo mật không chắc chắn để tấn công ransomware. Những doanh nghiệp này thường có tài chính tốt, và thường sẽ phải bị trả một số chi phí cho hacker khi đang bị hacker sẽ mã hóa hoặc xóa các dữ liệu doanh nghiệp.

phan-loai-ransomware
phan-loai-ransomware
Mã độc ransomeware hướng đến các tổ chức y tế – chính phủ – giáo dục

Ngoài một số cơ quan, tổ chức cũng có thể trở thành đối tượng bị tấn công vì hacker thường xem rằng các doanh nghiệp sẽ có tiền trả trong một thời gian ngắn. Ví dụ như các cơ quan chính phủ hay các cơ sở, dịch vụ y tế – những đơn vị thường xuyên truy cập vào cơ sở dữ liệu. Các công ty luật hay các tổ chức sở hữu nhiều dữ liệu mật cũng sẽ sẵn sàng bỏ ra tiền để hacker hay phần mềm tống tiền im lặng không xóa hay mã hóa dữ liệu.

Hacker sẽ có thể nhắm đến các trường đại học vì các cơ quan, đơn vị thường có đội ngũ bảo mật nhỏ, trong khi sở hữu một nền tảng thông tin lớn cho người dùng lớn.

Mã độc ransomware hướng đến đối tượng cá nhân

Bên cạnh những tổ chức, cơ quan, chiến dịch tống tiền của hacker hay phần mềm độc hại cũng nhắm tới cá nhân. Thường sẽ có nhiều trường hợp bị ransomware 

Bên cạnh các tổ chức, các chiến dịch tống tiền bằng phần mềm độc hại cũng nhắm tới cá nhân. Đã có nhiều vụ tấn công ransomware nhắm tới những người mà kẻ xấu tin là có tiền, những CEO – Founder – Manager của các công ty, tập đoàn lớn. Nhưng điều đó không phải là những cá nhân bình thường sẽ sử dụng mạng Internet thì sẽ không gặp những hiểm họa tấn công từ ransomware. Trong thực tế, bất kỳ ai cũng có thể trở thành nạn nhân của ransomware. Vì hiện nay, sẽ có nhiều mã độc ransomware có thể sẽ lan rộng ra khắp Internet. 

Tuy nhiên, điều đó không có nghĩa là những cá nhân bình thường sử dụng Internet thì không có nguy cơ bị tấn công bởi ransomware. Trên thực tế, bất cứ ai cũng có thể trở thành nạn nhân của ransomware. Bởi hiện nay có rất nhiều loại ransomware có thể tự động lan rộng khắp Internet. Chỉ một cú click đơn giản cũng có thể làm “tê liệt” máy tính người dùng.