Tất cả về mối đe dọa ransomware
Đe dọa Ransomware đã xuất hiện trên các tiêu đề trong suốt năm 2021 và tiếp tục được đưa tin vào năm 2022. Những câu chuyện về các cuộc tấn công vào các công ty, tổ chức hoặc cơ quan chính phủ lớn từ đe dọa ransomware cũng được công bố rộng rãi. Đó là một vấn đề nghiêm trọng và một viễn cảnh đáng sợ khi tất cả các tệp và dữ liệu của người dùng, doanh nghiệp bị giữ làm con tin cho đến khi trả đủ tiền chuộc.
Các dạng tấn công ransomware
Chính xác thì những kẻ tấn công phải có quyền truy cập vào một thiết bị hoặc mạng. Có quyền truy cập cho phép những kẻ tấn công sử dụng phần mềm độc hại cần thiết để mã hóa hoặc khóa thiết bị và dữ liệu của người dùng hay các doanh nghiệp. Có một số cách khác nhau mà đe dọa ransomware có thể lây nhiễm vào máy tính. Làm cách nào đe dọa ransomware xâm nhập vào máy tính?
Malspam
Để có được quyền truy cập, một số kẻ đe dọa sử dụng thư rác, trong đó họ gửi email có tệp đính kèm độc hại cho càng nhiều người càng tốt, xem ai mở tệp đính kèm và “cắn câu”, có thể nói như vậy. Thư rác độc hại, hoặc malspam, là email được sử dụng để gửi phần mềm độc hại. Email có thể bao gồm các tệp đính kèm bị mắc kẹt, chẳng hạn như tệp PDF hoặc tài liệu Word. Nó cũng có thể chứa các liên kết đến các trang web độc hại.
Quảng cáo độc hại
Một phương pháp lây nhiễm phổ biến khác là quảng cáo độc hại. Quảng cáo độc hại, hay quảng cáo độc hại, là việc sử dụng quảng cáo trực tuyến để phân phối phần mềm độc hại mà không cần hoặc không cần người dùng tương tác.
Trong khi duyệt web, ngay cả các trang web hợp pháp, người dùng có thể được chuyển hướng đến các máy chủ tội phạm mà không cần nhấp vào quảng cáo. Các máy chủ này lập danh mục chi tiết về máy tính nạn nhân và vị trí của chúng, sau đó chọn phần mềm độc hại phù hợp nhất để phân phối. Thông thường, phần mềm độc hại đó là đe dọa ransomware .
Quảng cáo độc hại thường sử dụng iframe bị nhiễm hoặc phần tử trang web vô hình, để thực hiện công việc của nó. Khung nội tuyến chuyển hướng đến trang đích khai thác và mã độc hại tấn công hệ thống từ trang đích thông qua bộ công cụ khai thác. Tất cả những điều này xảy ra mà người dùng không hề hay biết, đó là lý do tại sao nó thường được gọi là tải xuống theo từng ổ đĩa .
Kỹ thuật xã hội
Malspam, quảng cáo độc hại và lừa đảo trực tuyến có thể, và thường xảy ra, chứa các yếu tố của kỹ thuật xã hội. Những kẻ đe dọa có thể sử dụng kỹ thuật xã hội để lừa mọi người mở tệp đính kèm hoặc nhấp vào liên kết bằng cách xuất hiện là hợp pháp – cho dù đó có vẻ là từ một tổ chức đáng tin cậy hay một người bạn.
Tội phạm mạng sử dụng kỹ thuật xã hội trong các kiểu đe dọa ransomware khác, chẳng hạn như đóng giả FBI để dọa người dùng trả cho chúng một khoản tiền để mở khóa tệp của họ. Một ví dụ khác về kỹ thuật xã hội sẽ là nếu một kẻ đe dọa ransomware thu thập thông tin từ hồ sơ mạng xã hội công khai của người dùng về sở thích, những nơi thường đến thăm, công việc và sử dụng một số thông tin đó để gửi cho nạn nhân một thông điệp có vẻ quen thuộc và nạn nhân sẽ nhấp vào trước khi nhận ra thông điệp không hợp pháp.
Mã hóa tệp và đòi tiền chuộc
Cho dù những kẻ tấn công sử dụng phương pháp nào, khi họ có quyền truy cập và phần mềm đe dọa ransomware (thường được kích hoạt bởi nạn nhân nhấp vào liên kết hoặc mở tệp đính kèm) sẽ mã hóa các tệp và dữ liệu của nạn nhân để nạn nhân không thể truy cập, khi đó nạn nhân sẽ thấy một thông báo yêu cầu một khoản tiền chuộc để khôi phục lại các tệp và dữ liệu đã bị chúng mã hóa. Thường thì kẻ tấn công sẽ yêu cầu thanh toán qua tiền điện tử.
Các loại ransomware
Ba loại đe dọa ransomware chính bao gồm phần mềm hù dọa, khóa màn hình và mã hóa ransomware:
Scareware
Scareware bao gồm phần mềm bảo mật giả mạo và lừa đảo hỗ trợ công nghệ. Người dùng có thể nhận được một thông báo bật lên tuyên bố rằng phần mềm độc hại đã được phát hiện và cách duy nhất để loại bỏ là trả tiền. Nếu người dùng không làm gì thì về cơ bản dữ liệu của người dùng vẫn có khả năng an toàn. Nếu người dùng có phần mềm về bảo vệ dữ liệu hay chống thất thoát dữ liệu trên máy tính thì sẽ không cần phải trả tiền để loại bỏ sự lây nhiễm.
Khóa màn hình
Khi đe dọa ransomware xuất hiện trên màn hình khóa trên máy tính của nạn nhân, điều đó có nghĩa là nạn nhân đã bị đóng băng hoàn toàn khỏi PC. Khi khởi động máy tính của người dùng, một cửa sổ kích thước đầy đủ sẽ xuất hiện, thường kèm theo con dấu chính thức của FBI hoặc Bộ Tư pháp Hoa Kỳ cho biết máy tính của người dùng đã bị phát hiện hoạt động bất hợp pháp và người dùng phải nộp phạt. Tuy nhiên, FBI sẽ không đóng băng người dùng khỏi máy tính hoặc yêu cầu thanh toán cho hoạt động bất hợp pháp.
Mã hóa ransomware
Đây là một thứ thực sự khó chịu. Đây là những kẻ tấn công lấy các tệp của nạn nhân và mã hóa chúng, yêu cầu thanh toán để giải mã và phân phối lại. Lý do tại sao loại đe dọa ransomware này lại nguy hiểm như vậy là vì một khi tội phạm mạng chiếm được các tệp của nạn nhân, không có phần mềm bảo mật hoặc khôi phục hệ thống nào có thể trả lại tất cả các tệp và dữ liệu cho nạn nhân. Trừ khi nạn nhân trả tiền chuộc – phần lớn, những kẻ tấn công sẽ biến mất sau khi có được tiền chuộc.
Phần mềm tống tiền trên máy Mac
Đe dọa ransomware đầu tiên dành cho Mac OS xuất hiện vào năm 2016 có tên là KeRanger. Đe dọa ransomware này đã lây nhiễm một ứng dụng có tên là Transmission, khi được khởi chạy, đã sao chép các tệp độc hại vẫn chạy lặng lẽ trong nền cho ba ngày cho đến khi chúng phát nổ và mã hóa các tệp.
Rất may, chương trình chống phần mềm độc hại tích hợp của Apple XProtect đã phát hành bản cập nhật ngay sau khi phát hiện được và ngăn chặn ransomware này lây nhiễm vào hệ thống của người dùng. Tuy nhiên, ransomware Mac không còn là lý thuyết nữa.
Theo sau KeRanger là Findzip và MacRansom , cả hai đều được phát hiện vào năm 2017. Gần đây hơn vào năm 2020, có một phần mềm độc hại trông giống ransomware (ThiefQuest, hay còn gọi là EvilQuest) được tìm thấy và được gọi là “wiper.” Phần mềm độc hại này giả vờ là ransomware để che đậy thực tế rằng phần mềm đang lấy cắp tất cả dữ liệu của người dùng và khi phần mềm này đã mã hóa các tệp thì việc giải mã chúng là vô cùng phức tạp. Nạn nhân chỉ có thể liên hệ với những kẻ tấn công và trả khoản tiền chuộc.
Phần mềm tống tiền di động
Mãi cho đến đỉnh cao của CryptoLocker khét tiếng và các nhóm đe dọa Ransomware tương tự khác vào năm 2014, ransomware mới được phát triển với quy mô lớn trên các thiết bị di động. Phần mềm tống tiền di động thường hiển thị thông báo rằng thiết bị đã bị khóa do một số loại hoạt động bất hợp pháp.
Thông báo nói rằng điện thoại sẽ được mở khóa sau khi thanh toán một khoản phí. Phần mềm tống tiền di động thường được phân phối qua các ứng dụng độc hại và yêu cầu bạn khởi động điện thoại ở chế độ an toàn và xóa ứng dụng bị nhiễm để lấy lại quyền truy cập vào thiết bị di động của bạn.
Những kẻ tạo ra các đe dọa ransomware nhắm đến ai?
Vào cuối năm 2016, 12,3% các phát hiện về đe dọa ransomware là từ các doanh nghiệp toàn cầu, trong khi chỉ 1,8% các phát hiện về đe dọa ransomware là từ người tiêu dùng trên toàn thế giới. Đến năm 2017, 35% doanh nghiệp vừa và nhỏ đã trải qua cuộc tấn công bằng ransomware. Tiến nhanh đến đại dịch toàn cầu vào năm 2020 và mối đe dọa vẫn tồn tại.
Các băng nhóm đe dọa ransomware tấn công các bệnh viện và cơ sở y tế, đồng thời phát triển các chiến thuật mới như “tống tiền kép”, trong đó những kẻ tấn công có thể tống tiền nhiều hơn với các mối đe dọa làm rò rỉ dữ liệu nhạy cảm hơn là bằng cách giải mã máy tính mà họ đã mã hóa. Một số nhóm đe dọa ransomware cung cấp dịch vụ của họ cho những người khác, sử dụng mô hình Ransomware-as-a-Service hoặc RaaS.
Về mặt địa lý, các cuộc tấn công bằng ransomware vẫn tập trung vào các thị trường phương Tây, với Anh, Mỹ và Canada lần lượt là ba quốc gia bị nhắm mục tiêu hàng đầu. Cũng như các tác nhân đe dọa khác, các tác giả ransomware sẽ theo dõi tiền, vì vậy họ tìm kiếm các khu vực có cả sự chấp nhận rộng rãi của PC và sự giàu có tương đối. Khi các thị trường mới nổi ở châu Á và Nam Mỹ tăng trưởng kinh tế, dự kiến sẽ thấy sự gia tăng của đe dọa ransomware (và các dạng phần mềm độc hại khác) ở đó.
Đe dọa Ransomware ảnh hưởng đến doanh nghiệp như thế nào?
GandCrab, SamSam, WannaCry, NotPetya – chúng đều là các loại ransomware khác nhau và chúng đang tấn công các doanh nghiệp. Trên thực tế, các cuộc tấn công ransomware vào các doanh nghiệp đã tăng 88% trong nửa cuối năm 2018 khi tội phạm mạng xoay trục khỏi các cuộc tấn công tập trung vào người tiêu dùng.
Tội phạm mạng nhận ra hoạt động kinh doanh lớn chuyển thành tiền thưởng lớn, nhắm mục tiêu vào các bệnh viện, cơ quan chính phủ và các tổ chức thương mại. Tất cả đã nói, chi phí trung bình của một vụ vi phạm dữ liệu, bao gồm cả việc khắc phục, phạt và các khoản thanh toán ransomware, lên tới 3,86 triệu đô la.
Phần lớn các trường hợp ransomware cho đến nay đã được xác định là GandCrab. Được phát hiện lần đầu tiên vào tháng 1 năm 2018, GandCrab đã trải qua một số phiên bản giúp dữ liệu mà những kẻ tạo ra các đe dọa ransomware muốn hướng đến khó bảo vệ hơn và giúp sự mã hóa trở nên dễ dàng. Người ta ước tính GandCrab đã kiếm được khoảng 300 triệu đô la tiền chuộc đã trả , với số tiền chuộc riêng lẻ được đặt từ 600 đô la đến 700.000 đô la.
Trong một cuộc tấn công đáng chú ý khác xảy ra vào tháng 3 năm 2018, phần mềm tống tiền SamSam đã làm tê liệt Thành phố Atlanta bằng cách đánh sập một số dịch vụ thiết yếu của thành phố – bao gồm cả thu tiền và hệ thống lưu trữ hồ sơ của cảnh sát. Tất cả đã nói, cuộc tấn công SamSam tiêu tốn của Atlanta 2,6 triệu đô la để khắc phục .
Xem xét sự đa dạng của các cuộc tấn công ransomware và chi phí to lớn liên quan đến chúng, bây giờ là thời điểm tốt để thông minh về việc bảo vệ doanh nghiệp của bạn khỏi ransomware.
- Sao lưu dữ liệu.
Khi doanh nghiệp có sẵn các bản sao lưu, việc khắc phục một cuộc tấn công bằng ransomware cũng đơn giản như xóa sạch và kích hoạt lại các hệ thống bị nhiễm.
Doanh nghiệp có thể muốn quét các bản sao lưu của mình để đảm bảo dữ liệu không bị nhiễm vì một số đe dọa ransomware được thiết kế để tìm kiếm các chia sẻ mạng. Do đó, bạn nên lưu trữ các bản sao lưu dữ liệu trên một máy chủ đám mây an toàn với mã hóa cấp cao và xác thực nhiều yếu tố.
- Vá và cập nhật phần mềm của doanh nghiệp.
Đe dọa ransomware thường dựa vào các bộ công cụ khai thác để truy cập bất hợp pháp vào hệ thống hoặc mạng (ví dụ: GandCrab). Miễn là phần mềm được cập nhật trên toàn bộ hệ thống mạng, các cuộc tấn công ransomware dựa trên khai thác không làm hại trực tiếp đến dữ liệu.
Lưu ý rằng, nếu doanh nghiệp chạy trên phần mềm lỗi thời hoặc lỗi thời thì sẽ có nguy cơ bị ransomware, vì các nhà sản xuất phần mềm không đưa ra các bản cập nhật bảo mật nữa. Loại bỏ phần mềm bỏ rơi và thay thế nó bằng phần mềm vẫn được nhà sản xuất hỗ trợ.
- Hướng dẫn người dùng cuối của doanh nghiệp về malspam và tạo mật khẩu mạnh.
Những tội phạm mạng táo bạo đằng sau Emotet đang sử dụng Trojan ngân hàng trước đây làm phương tiện giao hàng cho ransomware. Emotet dựa vào malspam để lây nhiễm cho người dùng cuối và có được chỗ đứng trên hệ thống mạng của họ. Sau khi ở trên mạng của bạn, Emotet hiển thị hành vi giống như sâu, lây lan từ hệ thống này sang hệ thống khác bằng cách sử dụng danh sách các mật khẩu phổ biến.
- Đầu tư vào công nghệ an ninh mạng tốt.
Malwarebytes cung cấp cho doanh nghiệp khả năng phát hiện, phản hồi và khắc phục thông qua một tác nhân thuận tiện trên toàn bộ hệ thống mạng.
Doanh nghiệp sẽ phải làm gì nếu là nạn nhân của đe dọa ransomware?
Hầu hết không ai biết cách đối phó với ransomware sau khi đã trở thành nạn nhân của đe dọa này.
- Kiểm tra và xem nếu có một bộ giải mã. Trong một số trường hợp hiếm hoi, doanh nghiệp có thể giải mã dữ liệu của mình mà không phải trả tiền, nhưng các mối đe dọa ransomware phát triển liên tục với mục đích khiến việc giải mã các tệp ngày càng khó khăn hơn.
- Không trả tiền chuộc. Tội phạm mạng không can thiệp và không có gì đảm bảo doanh nghiệp sẽ lấy lại được các tệp của mình sau khi trả tiền chuộc. Hơn nữa, bằng cách trả tiền chuộc.