Ransomware được xem là một trong những vấn đề nhức nhối hiện tại của doanh nghiệp. Tuy đã xuất hiện rất lâu nhưng ở Việt Nam chúng gây ra hậu quả nghiêm trọng trong năm 2021 vừa qua, khoảng thời gian sau đại dịch. Ransomware Darkside là một dạng của ransomware, thường nhắm đến những tổ chức có quy mô lớn. Cùng iVIM xem ngay bài viết dưới đây để có những thông tin cần thiết về loại Ransomware trên.
1. Ransomware DarkSide là gì?
DarkSide ransomware là một dòng ransomware tương đối mới mà các kẻ đe dọa đã sử dụng để nhắm mục tiêu vào nhiều tổ chức lớn, có doanh thu cao, dẫn đến việc mã hóa và đánh cắp dữ liệu nhạy cảm và các mối đe dọa sẽ công khai nếu yêu cầu tiền chuộc không được trả. Thông thường chúng sẽ gửi cho nạn nhân thư nặc danh thông báo và yêu cầu một số tiền chuộc rất lớn.
2. Đối tượng Ransomware DarkSide nhắm đến ?
Ransomware DarkSide có tên như vậy là vì chúng được điều khiển dưới một tổ chức tên là DarkSide. Chúng tuyên bố rằng sẽ chỉ tấn công những doanh nghiệp lớn, vì những doanh nghiệp này mới có khả năng chi trả cho số tiền chuộc khổng lồ mà chúng đề ra.
Chính vì thế những công ty nhỏ hay các tổ chức phi chính phủ, tổ chức phi lợi nhuận, các tổ chức giáo dục như trường học, trung tâm nghiên cứu giáo dục,…. đều không nằm trong tầm ngắm của chúng hay nói cách khác chúng không hề để mắt đến.
Mức tiền chuộc dữ liệu mã hóa bởi chủng mã độc này dao động từ 200.000 – 2.000.000 USD trở lên, được xem là khá cao so với những loại ransomware khác. Theo ghi nhận, hiện có trường hợp đã chấp nhận trả tới 1 triệu USD tiền chuộc cho việc này.
>> Xem thêm:Ransomware là gì? Nỗi lo của doanh nghiệp Việt 2022
3. Cơ chế hoạt động của Ransomware DarkSide
Giống như đa số các cuộc tấn công ransomware điển hình khác, khi DarkSide xâm phạm vào hệ thống mạng, chúng sẽ lan truyền theo chiều ngang cho đến khi nắm quyền truy cập vào tài khoản quản trị viên và bộ điều khiển miền Windows (Windows domain controller). Trong quá trình đó, những kẻ tấn công cũng sẽ tranh thủ thu thập cả những dữ liệu không được bảo mật từ máy chủ của nạn nhân và tải lên thiết bị của chúng.
Dữ liệu bị đánh cắp này sau đó được đưa lên các website độc hại và sử dụng như một phần của âm mưu tống tiền, bằng cách liệt kê tên công ty, ngày xâm phạm, số lượng dữ liệu đã đánh cắp, ảnh chụp màn hình của dữ liệu và thông tin về các loại dữ liệu bị đánh cắp
Nếu nạn nhân không trả tiền, chúng sẽ công bố tất cả dữ liệu trên các website độc hại trong ít nhất 6 tháng. Chiến lược tống tiền này được lên kế hoạch để khiến nạn nhân cảm thấy hoang mang, sợ hãi và trả tiền chuộc ngay cả khi họ có thể tự phục hồi hệ thống của mình từ các bản sao lưu. Trong trường hợp nếu nạn nhân chấp nhận trả tiền chuộc, nhóm DarkSide tuyên bố rằng chúng sẽ xóa dữ liệu bị đánh cắp khỏi website phát tán của mình.
4. Toshiba trở thành nạn nhân tiếp theo bị tấn công bởi ransomware DarkSide
Toshiba Tec, công ty con của Toshiba, cho biết chi nhánh của họ ở Pháp đã bị tấn công bởi mã độc tống tiền (ransomware) DarkSide – nhóm đứng sau vụ tấn công vào Colonial Pipeline gần đây.
Theo Reuters, Toshiba Tec cho biết chỉ một lượng nhỏ dữ liệu công việc đã bị mất và công ty trấn an rằng cho đến nay không có vụ rò rỉ dữ liệu nào được phát hiện và các biện pháp bảo vệ đã được đưa ra sau cuộc tấn công mạng. Họ cho biết vẫn chưa chấp nhận trả tiền chuộc cho tin tặc và sẽ không làm điều này.
Nhà phân tích phần mềm độc hại cao cấp tại Mitsui Bussan Secure Directions, Takashi Yoshikawa, cho biết có khoảng 30 nhóm trong DarkSide luôn cố gắng hack các công ty và họ đã thành công lần này với Toshiba. Theo ông, việc các nhân viên truy cập vào hệ thống máy tính của công ty từ nhà trong thời gian xảy ra đại dịch đã khiến các công ty dễ bị tấn công mạng hơn.
5. Doanh nghiệp cần làm gì để tránh Ransomware DarkSide?
Hầu hết các doanh nghiệp bị ransomware tấn công đều chỉ có một cách duy nhất là phải nộp tiền chuộc cho chúng, đa phần khi file dữ liệu bị mã hóa bạn không thể nào có cách để gỡ chúng ra khỏi máy hay khôi phục lại dữ liệu được (Trừ khi bạn có một bản Backup sẵn trước đó và bản Backup đó chưa bị tấn công).
Tuy nhiên nếu có bản Backup nhưng bị rò rỉ dữ liệu quan trọng thì doanh nghiệp vẫn bị tổn hại nghiêm trọng. Chính vì thế bạn nên có những bước bảo vệ dữ liệu của mình trước khi trở thành nạn nhân.
5.1 Phần mềm chống Ransomware
Việc có rất nhiều loại ransomware khác nhau cũng như có rất nhiều cách để chúng tấn công vào máy tính của bạn. Việc có nhiều thiết bị đầu cuối, đòi hỏi nhân viên của công ty phải thực hiện và tuân theo, việc bảo vệ dữ liệu không còn là của công ty mà phải là từng cá nhân. Chỉ cần một cú click chuột thì giường như ransomware đã có thể xâm nhập vào hệ thống.
Chính vì thế để hạn chế thấp nhất việc bị tấn công, nên cài đặt phần mềm vào máy tính, để đảm bảo luôn được bảo vệ tốt nhất. Có rất nhiều hãng phần mềm về bảo mật và trong số đó Bitdefender là một trong những hãng nổi bật về chống Ransomware.
>> Xem ngày: Công ty iVIM đơn vị triển khai và phân phối phần mềm Bitdefender giá tốt tại thị trường Việt Nam
5.2 Backup dữ liệu, phục hồi tức thì
Doanh nghiệp nên thường xuyên nâng cấp lại hệ thống, luôn Backup dữ liệu và lưu trữ Backup này cũng như đảm bảo tính khôi phục tức thời khi xảy ra sự cố. Hầu hết trên thị trường hiện nay thường backup theo quy tắc 3-2-1, đây là nguyên tắc được sử dụng nhiều và được đánh giá cao trong thời điểm hiện tại. Bạn có thể tham khảo những phần mềm về Backup như Veritas Backup Exec, Veritas NetBackup,…
Những phần mềm này sẽ luôn Backup dữ liệu, tạo màn chắn an toàn cho dữ liệu của bạn để hạn chế thấp nhất bị tấn công bởi Ransomware. Không chỉ vậy những phần mềm này còn nổi bật với việc phục hồi nhanh chóng dữ liệu, thời gian gần như tức thời nếu xảy ra sự cố.
>Xem thêm: Backup, restore là gì? Tại sao restore backup quan trọng?