Ransomware – diện mạo mới của các tổ chức tống tiền

cac-cuoc-tan-cong-Ransomware-dien-mao-moi
Nguồn: Sưu tầm

Các cuộc tấn công Ransomware (mã độc tống tiền) đã và đang ngày càng hoàn thiện và tinh vi hơn với những thương hiệu và phong cách riêng biệt cạnh tranh nhau trên dark web (web đen). 

Diện mạo mới của các cuộc tấn công Ransomware hiện nay

Nhìn chung, Ransomware vẫn luôn tiếp tục phát triển và thành công bất chấp sự chấm dứt của một số nhóm tội phạm mạng. Những kẻ tấn công Ransomware không ngừng tìm ra những cách khác thường để tấn công nạn nhân hoặc sử dụng đến newsjacking để làm cho các cuộc tấn công của mình phù hợp hơn. 

Những cuộc tấn công đa nền tảng

Mối đe dọa hàng đầu mà các doanh nghiệp cần lưu ý là việc các nhóm ransomware sử dụng ngày càng nhiều các khả năng đa nền tảng. Ngày nay, những kẻ tấn công nhằm mục đích làm hỏng nhiều hệ thống nhất có thể với cùng một phần mềm độc hại bằng cách viết mã có thể được thực thi trên nhiều hệ điều hành cùng lúc.

Những cuộc tấn công mang diện mạo của phần mềm lành mạnh

Conti, một trong những nhóm ransomware hoạt động tích cực nhất, đã phát triển một biến thể, được phân phối thông qua các chi nhánh được chọn và nhắm mục tiêu vào Linux. Vào cuối năm 2021, Rust và Golang, các ngôn ngữ lập trình đa nền tảng, đã trở nên phổ biến hơn. 

BlackCat, một băng nhóm phần mềm độc hại tự xưng là “thế hệ tiếp theo” đã tấn công hơn 60 tổ chức kể từ tháng 12/2021, đã viết phần mềm độc hại của chúng bằng Rust. Golang đã được sử dụng trong ransomware bởi DeadBolt, một nhóm nổi tiếng vì các cuộc tấn công vào QNAP.

Ngoài ra, trong suốt cuối năm 2021 và đầu năm 2022, các nhóm ransomware đã tiếp tục hoạt động để tạo điều kiện thuận lợi cho quy trình kinh doanh của chúng, bao gồm việc thường xuyên tái cấu trúc thương hiệu để chuyển hướng sự chú ý từ các cơ quan chức năng và cập nhật các công cụ lọc mã độc. Một số nhóm đã phát triển và triển khai các bộ công cụ hoàn chỉnh giống với các bộ công cụ của các công ty phần mềm lành mạnh. 

Ransomware-mang-dien-mao-phan-mem-lanh-manh
Ransomware-mang-dien-mao-phan-mem-lanh-manh

Lockbit nổi bật như một ví dụ đáng chú ý về sự phát triển của các nhóm Ransomware. Tổ chức này tự hào có một loạt các cải tiến so với các đối thủ của mình, bao gồm các bản cập nhật và sửa chữa thường xuyên đối với cơ sở hạ tầng của mình. 

Chúng cũng lần đầu tiên giới thiệu StealBIT, một công cụ lọc Ransomware tùy chỉnh cho phép lọc dữ liệu ở tốc độ cao nhất từ ​​trước đến nay – một dấu hiệu cho thấy sự nỗ lực của nhóm đối với các quy trình tăng tốc các phần mềm độc hại.

Những cuộc tấn công mang diện mạo xung đột chính trị

Qua kết quả của tình hình địa chính trị, đề cập đến cuộc xung đột ở Ukraine, đã ảnh hưởng nặng nề đến bối cảnh Ransomware. Mặc dù các cuộc tấn công như vậy thường liên quan đến các tác nhân tấn công có chủ đích APT (Advanced Persistent Threat).

Nhưng các chuyên gia về Ransomware đã phát hiện một số hoạt động chính trên các diễn đàn tội phạm mạng và hành động của các nhóm Ransomware để đối phó với tình huống này.

Ngay sau khi xung đột bắt đầu, các nhóm Ransomware đã chọn phe, dẫn đến các cuộc tấn công có động cơ chính trị của một số băng Ransomware ủng hộ Nga hoặc Ukraine. Một trong những phần mềm độc hại mới được phát hiện trong cuộc xung đột là Freeud, được phát triển bởi những người ủng hộ Ukraine. Freeud có chức năng xóa sạch. Nếu phần mềm độc hại chứa danh sách các tệp, thay vì mã hóa, phần mềm độc hại sẽ xóa chúng khỏi hệ thống.

xu-huong-tan-cong-Ransomware
xu-huong-tan-cong-Ransomware

Xu hướng tấn công Ransomware chính 

Khi bối cảnh mối đe dọa mạng tiếp tục phát triển, một số xu hướng chính có thể được nhìn thấy trong sự gia tăng liên tục của các cuộc tấn công Ransomware. 

Tống tiền kép 

Trong những năm trước, Ransomware chủ yếu được thực hiện bằng một mã độc tống tiền, trong đó những kẻ tấn công mã hóa dữ liệu của một tổ chức và yêu cầu một khoản tiền chuộc để đổi lấy khóa giải mã. Giờ đây, các nhóm Ransomware đang di chuyển dữ liệu của nạn nhân đến một vị trí ngoại vi trước khi mã hóa, sau đó đe dọa làm rò rỉ hoặc xuất bản dữ liệu nếu không nhận được tiền chuộc. 

Mối đe dọa kết hợp giữa mã hóa và xâm nhập dữ liệu là một hình thức tống tiền kép và các tác nhân đe dọa đang ngày càng tận dụng phương thức tấn công này vì nó chứng tỏ là có lợi hơn. 

Nhu cầu tiền chuộc ngày càng tăng 

Khi các cách tiếp cận mới đối với ransomware như tống tiền gấp đôi tiếp tục mang lại hiệu quả, những kẻ tấn công đang yêu cầu trả tiền chuộc cao hơn bao giờ hết. Nhu cầu tiền chuộc trung bình trong nửa đầu năm 2021 lên tới 5,3 triệu đô la – tăng 518% so với năm 2020. Khoản tiền chuộc trung bình cũng tăng 82% kể từ năm 2020, đạt mức khổng lồ 570.000 đô la chỉ trong nửa đầu năm 2021.

thong-ke-xu-huong-tan-cong-Ransomware-chinh
thong-ke-xu-huong-tan-cong-Ransomware-chinh
Gia tăng Ransomware-as-a-Service 

Trong khi người dùng gia đình từng là mục tiêu chính của các cuộc tấn công ransomware, thì các tác nhân đe dọa ngày nay đang nhắm mục tiêu vào các mạng doanh nghiệp lớn với tần suất nhiều hơn. Kết quả là, sự phát triển của ransomware-as-a-service, hay RaaS, đã đạt được sức hút ngày càng tăng. 

RaaS là ​​một loại phần mềm độc hại trả tiền để sử dụng cho phép tội phạm mạng mua các công cụ ransomware đã được phát triển để thực hiện các cuộc tấn công ransomware quy mô lớn. Về bản chất, RaaS là ​​một chương trình liên kết – đối với mỗi khoản thanh toán tiền chuộc thành công được thực hiện, những người tạo ra công cụ sẽ nhận được một tỷ lệ phần trăm. 

Vì RaaS cho phép tội phạm mạng có kỹ năng kỹ thuật cơ bản triển khai một cuộc tấn công bằng ransomware, nên mô hình kinh doanh của RaaS sẽ tiếp tục thúc đẩy bối cảnh mối đe dọa vào năm 2022.

5-phan-mem-Ransomware-nguy-hiem
5-phan-mem-Ransomware-nguy-hiem

5 loại Ransomware nguy hiểm cần cảnh giác trong năm 2022

Clop Ransomware 

Clop Ransomware là phần mềm cực kỳ độc hại, khi bị lây nhiễm, nó sẽ mã hóa tất cả các tập tin trên máy tính của bạn. Và tất nhiên, để chuộc lại dữ liệu, bạn phải trả tiền cho hacker để lấy khóa giải mã. Đây là một “biến thể” của  Ransomware Cryptomix và mục tiêu của nó là các máy tính chạy hệ điều hành Windows.

Clop Ransomware là một loại virus nguy hiểm vì chúng sẽ tiến hành chặn hơn 600 tiến trình trong hệ điều hành Windows trước khi mã hóa các tập tin. Các tập tin sẽ không thể được mở bằng các ứng dụng bình thường. Các tổ chức bảo mật kém hoặc hệ điều hành Windows chưa được vá lỗi sẽ là mục tiêu hàng đầu của Clop Ransomware.

Zeus Gameover

Nhiệm vụ của Zeus Gameover là đánh cắp tài khoản trực tuyến và mật khẩu tài chính của người dùng. Khi bị tấn công, Zeus Gameover sẽ tự ngụy trang và truy cập vào tài khoản ngân hàng của doanh nghiệp, sau đó chuyển toàn bộ tiền sang một máy chủ độc lập. 

Đây là một biến thể của họ virus Zeus. Theo một cách nào đó, nó lây lan thông qua các cuộc tấn công hoặc lừa đảo và kết nối các máy bị nhiễm vào một Botnet, khiến chủ nhân của nó có thể kiểm soát từ xa các hoạt động tội phạm.

Ransomware-nguy-trang-cap-nhat-Window
Ransomware-nguy-trang-cap-nhat-Window
Cập nhật Windows giả mạo 

Đây là cách thức mà các hacker thường sử dụng, hacker sẽ gửi cho bạn một email thông báo rằng: hệ điều hành bạn đang sử dụng cần được cập nhật bản vá bảo mật mới. Ransomware ngụy trang dưới dạng các bản cập nhật hợp pháp (được gọi là virus Cyborg). 

Tin tặc sẽ nhắm vào những người dùng không biết nhiều về cách Microsoft gửi các bản cập nhật, vì vậy họ sẽ dễ dàng tin tưởng và nhấp vào liên kết độc hại này. Và hậu quả khi bạn nhấp vào các liên kết * .exe (tệp thực thi) này. Nó sẽ kiểm soát máy tính của bạn và âm thầm mã hóa dữ liệu.

Đồ lông cừu

Đây là một dạng Ransomware thường tấn công vào điện thoại di động. Nó thường làm giả ứng dụng và chẳng hạn như khi được tải xuống – bạn sẽ “có cơ hội” dùng thử miễn phí trước khi trả tiền, nhấp vào đây để nhận quà… hoặc những thứ tương tự .. Tất nhiên, ngay cả sau khi bạn đã xóa ứng dụng, nó vẫn tiến hành thanh toán tự động.

Trên thế giới, có khoảng 600 triệu người dùng Android đang “dính” phải loại virus này mà họ không hề hay biết, nó hoạt động rất âm thầm. Mặc dù loại virus này không đánh cắp dữ liệu nhạy cảm trên thiết bị của bạn, nhưng tin tặc vẫn kiếm được rất nhiều tiền từ cuộc tấn công này.

Ransomware-an-minh-duoi-cac-trang-web-tin-tuc
Ransomware-an-minh-duoi-cac-trang-web-tin-tuc
Phần mềm độc hại Tin tức

muốn nhận được tin tức hàng ngày nhanh nhất trong lĩnh vực mà họ quan tâm. CyberCriminals là một loại vi-rút sẽ gửi cho bạn một email tin tức dưới dạng một liên kết.

Ví dụ, nếu bạn quan tâm đến tình hình dịch Covid-19 chẳng hạn, nó sẽ tự ngụy trang thành một liên kết hiển thị tiêu đề liên quan đến vấn đề này và gửi đến email của bạn. 

Đây là một loại Ransomware tấn công để đánh cắp dữ liệu quan trọng trên thiết bị của bạn. Vì vậy, người dùng không nên nhấp vào các liên kết không rõ nguồn gốc người gửi trên các thiết bị di động.