Theo Báo cáo Xu hướng Bảo vệ Dữ liệu của Veeam 2022, 76% công ty thừa nhận đã bị tấn công bởi ransomware vào năm 2021. Nếu chúng ta mở rộng câu hỏi và hỏi có bao nhiêu công ty đã trải qua một cuộc tấn công mạng, con số sẽ gần 100%. Một số lý do chính khiến ransomware rất thành công bao gồm chi phí thâm nhập thấp và lợi tức đầu tư cao cho những kẻ tấn công.
Ransomware-Kẻ tấn công
Hãy giải mã nó một chút. Người ta đã biết từ lâu rằng những kẻ tấn công không có giới hạn về số lượng các cuộc tấn công mà chúng có thể thực hiện và các cuộc tấn công chỉ cần thành công một lần là có thể sinh lời. Trong những năm trở lại đây, những kẻ tấn công phải duy trì trung tâm dữ liệu của riêng họ với kết nối internet hiệu suất cao, máy chủ email để gửi thư rác và mảng lưu trữ lớn cho dữ liệu bị đánh cắp. Những kẻ tấn công cũng phải phân tích dữ liệu để tìm thứ gì đó chúng có thể bán cũng như tiếp thị dữ liệu và xử lý các giao dịch. Tất cả, đã có những chi phí đáng kể về con người và công nghệ.
Đám mây và sự phát triển của tiền điện tử đã thay đổi mô hình này. Các băng nhóm phần mềm độc hại có thể lưu trữ cơ sở hạ tầng của chúng trên đám mây, khiến nó trở nên di động khi các nhà cung cấp bất hợp pháp được thực hiện ngoại tuyến. Phần mềm độc hại, dịch vụ chuyển phát và xử lý thanh toán hiện có thể được bán dưới dạng đăng ký cho bất kỳ ai, ở bất kỳ đâu, điều này làm tăng số lượng các cuộc tấn công mà các công ty nạn nhân sẽ gặp phải. Việc mã hóa dữ liệu của nạn nhân có nghĩa là những kẻ tấn công không cần phải có bộ nhớ và nó giúp loại bỏ nhu cầu tìm người mua vì dữ liệu chỉ cần có giá trị đối với nạn nhân. Các băng nhóm phần mềm độc hại thực sự đã tạo ra một cửa hàng duy nhất để trộm cắp.
Dễ dàng và có lợi nhuận như ransomware, đã có một sự tiến hóa thú vị trong các cuộc tấn công. Trong vài năm qua, chúng ta đã thấy sự gia tăng “tống tiền kép”, trong đó dữ liệu được mã hóa tại chỗ và được sao chép vào kho lưu trữ do những kẻ tấn công kiểm soát. Một số cuộc tấn công có chủ đích, trong đó kẻ tấn công đang tích cực trong mạng của nạn nhân, đã sử dụng ransomware sau khi đã đạt được các mục tiêu chính để tăng lợi nhuận của chúng.
Ransomware hoạt động như thế nào?
Ransomware là một loại phần mềm độc hại mã hóa các tệp của bạn và sau đó yêu cầu tiền để giải mã chúng. Nó thường lan truyền qua các tệp đính kèm email, nhưng nó cũng có thể được tải xuống từ các trang web hoặc được chia sẻ trên các nền tảng truyền thông mạng xã hội như Facebook và Twitter. Khi bạn mở tệp đính kèm, phần mềm độc hại sẽ lây nhiễm vào máy tính của bạn và khóa tất cả dữ liệu của bạn. Sau đó, kẻ xấu yêu cầu thanh toán để truy cập lại vào máy tính của bạn và mở khóa các tệp của bạn.
Một số cuộc tấn công ransomware phổ biến nhất vào năm 2022
- Lockbit
- Conti Ransomware gia đình
- Cuộc tấn công ransomware Blackcat
- REvil tấn công ransomware
- PYSA ransomware
Các bước trong một cuộc tấn công ransomware điển hình
- Lây nhiễm: Phần mềm tống tiền được cài đặt trên máy mục tiêu, thường thông qua một cuộc tấn công lừa đảo hoặc khai thác lỗ hổng.
- Mã hóa: Ransomware mã hóa dữ liệu trên máy mục tiêu, khiến người dùng không thể truy cập được.
- Ransom: Ransomware hiển thị thông báo yêu cầu thanh toán để giải mã dữ liệu.
- Thanh toán: Nạn nhân thường trả tiền chuộc vì tin rằng đây là cách duy nhất để khôi phục dữ liệu của họ.
- Giải mã: Sau khi thanh toán được thực hiện, ransomware có thể giải mã dữ liệu hoặc có thể chỉ xóa dữ liệu.
Nếu doanh nghiệp của bạn đã trải qua cuộc tấn công bằng ransomware, bạn có thể nhận thấy một số triệu chứng sau:
- Máy tính của bạn không phản hồi hoặc bị treo.
- Bạn nhận được một email có vẻ như là từ một người nào đó trong công ty của bạn nhưng có chứa mã độc hại.
- Mạng của công ty bạn chậm hoặc không khả dụng.
- Email của bạn sẽ không đến nữa.
- Không thể mở tài liệu của bạn.
- Các tệp của bạn không thể được truy cập.
- Quyền truy cập của bạn vào hồ sơ tài chính bị chặn.
- Công ty của bạn mất năng suất do thời gian ngừng hoạt động.
Làm cách nào để các công ty có thể giảm thiểu rủi ro từ ransomware?
Các công nghệ phát hiện không hiệu quả 100%, vì vậy tốt nhất bạn nên tạo một chiến lược bao gồm phản ứng để tấn công thành công. Đây không phải là thừa nhận thất bại mà là nhìn vấn đề một cách thực dụng. Hướng dẫn từ các tổ chức như Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) cũng như Cơ quan An ninh Cơ sở Hạ tầng An ninh Mạng (CISA) có thể giúp xây dựng một chương trình an ninh mạng chủ động và linh hoạt. Các cơ quan này đã tạo ra các khuôn khổ cho phép bạn lập kế hoạch và phản ứng với các cuộc tấn công theo cách có cấu trúc để giảm nguy cơ tổng thể và giúp bạn phục hồi nhanh hơn. Một số đề xuất trong số này bao gồm cải thiện vệ sinh mạng tổng thể của bạn, cải thiện giáo dục người dùng, tuân theo các phương pháp hay nhất để triển khai công nghệ và lập kế hoạch chi tiết để ứng phó với sự cố. Mục tiêu cuối cùng phải là hoàn thiện chương trình bảo mật của bạn đến mức bạn có thể hiểu các chiến thuật, kỹ thuật và quy trình (TTP) đang được sử dụng chống lại công ty của bạn và xây dựng một chương trình tình báo về mối đe dọa nâng cao để luôn cập nhật trong bối cảnh mối đe dọa đang thay đổi và có thể dự đoán các cuộc tấn công.
Bạn có nên trả tiền chuộc không?
Câu trả lời ngắn gọn là không vì không có gì đảm bảo rằng kẻ tấn công sẽ cung cấp một công cụ giải mã hoạt động ngay cả khi chúng được trả tiền. Cũng có thể việc trả tiền chuộc sẽ tạo ra các vấn đề pháp lý lớn hơn khi có nhiều biện pháp trừng phạt và luật pháp hơn. Kết hợp điều đó với khả năng bạn có thể bị nhắm mục tiêu trở lại nếu những kẻ tấn công tin rằng bạn sẽ tiếp tục phải trả rủi ro là quá cao. Nhưng đó chỉ là tôi. Đây là những gì FBI nói về việc trả tiền chuộc.
“FBI không ủng hộ việc trả tiền chuộc để đối phó với một cuộc tấn công bằng ransomware. Trả tiền chuộc không đảm bảo bạn hoặc tổ chức của bạn sẽ lấy lại được bất kỳ dữ liệu nào. Nó cũng khuyến khích thủ phạm nhắm đến nhiều nạn nhân hơn và tạo động lực cho những người khác tham gia vào loại hoạt động bất hợp pháp này ”.
Thực tế là nhiều tổ chức đã không chuẩn bị cho tình huống đòi tiền chuộc, biến “không” thành “có thể” khi các bản sao lưu bị xâm phạm và dữ liệu quan trọng cũng có nguy cơ bị mất. Chính vì lý do này mà các chuyên gia bảo mật nhấn mạnh sự cần thiết phải chuẩn bị để giảm nguy cơ bạn phải trả tiền chuộc.
Bạn nên thông báo cho ai?
Báo cáo các cuộc tấn công ransomware cho cơ quan thực thi pháp luật. Tại Hoa Kỳ, các văn phòng hiện trường của FBI và Trung tâm Khiếu nại Tội phạm Internet là những nguồn lực có thể bắt đầu điều tra. Vì bạn có thể không phải là nạn nhân duy nhất, báo cáo của bạn có thể giúp các cơ quan chức năng xây dựng trường hợp chống lại những kẻ tấn công. Liên hệ với các cơ quan chức năng cũng có thể giúp bạn thu thập bằng chứng cho cuộc điều tra của riêng bạn và xây dựng yêu cầu về chính sách bảo hiểm mạng.
Bạn cũng nên thông báo cho bất kỳ bên bị ảnh hưởng nào qua email hoặc thông báo công khai trên trang web của bạn. Điều này có thể bao gồm khách hàng, nhà cung cấp hoặc đối tác có thể đã bị ảnh hưởng bởi cuộc tấn công ransomware. Quy trình thông báo chính xác của bạn sẽ được hướng dẫn bởi cố vấn pháp lý và các quy định trong ngành của bạn, nhưng bằng cách minh bạch về sự việc, bạn có thể giữ được niềm tin vào tổ chức của mình và hạn chế mọi thiệt hại cho danh tiếng của bạn. Cũng có thể vectơ tấn công ban đầu là một đối tác kinh doanh, vì vậy việc thông báo trực tiếp cho họ có thể giúp ngăn chặn các cuộc tấn công trong tương lai bằng cách giúp họ bảo mật mạng của mình.
Có những nguồn tài nguyên nào khác?
Mỗi nhà cung cấp nên có các phương pháp hay nhất để tăng cường hệ thống của bạn. Veeam’s đang ở trong trung tâm trợ giúp và có một báo cáo chính thức tuyệt vời về chủ đề này. CISA đã bao gồm danh sách các khuyến nghị và danh sách kiểm tra chung trong Hướng dẫn về Ransomware của họ và việc tham gia các nhóm chia sẻ thông tin có thể giúp bạn xác định các cách mới để tăng cường khả năng bảo vệ của mình.
iVIM, chúng tôi tin rằng sự phục hồi nhanh chóng, đáng tin cậy là một phần không thể thiếu của quy trình ứng phó sự cố an ninh mạng tổng thể và phải được lên kế hoạch chu đáo giống như phần còn lại của kiến trúc bảo mật của bạn. Vào cuối ngày, dữ liệu của bạn là tài sản quý giá nhất của bạn, vì vậy nó phải được bảo vệ bằng giải pháp sao lưu an toàn không chỉ đủ linh hoạt để xây dựng tính bất biến phù hợp với nhu cầu của bạn mà còn xác minh các công việc sao lưu để đảm bảo dữ liệu ở đó và không có phần mềm độc hại khi bạn cần khôi phục. Tất cả những lý do này và hơn thế nữa là lý do tại sao khi chúng tôi nghĩ về ransomware, iVIM tin rằng sao lưu an toàn là tuyến phòng thủ cuối cùng của bạn.