Các cuộc tấn công của phần mềm độc hại phá hoại tăng 200% trong năm 2019

An Nhiên, Trương Khánh Hợp, Nguyễn Thị Tám| 08/08/2019 15:41
Theo dõi ICTVietnam trên

Theo báo cáo X-Force của IBM: Các tổ chức bị tấn công bởi phần mềm độc hại phá hoại có thể mất quyền kiểm soát của hơn 12.000 máy và phải đối mặt với chi phí từ 200 triệu đô la trở lên.

Kết quả hình ảnh cho Destructive Malware Attacks Up 200% in 2019

Các doanh nghiệp trên khắp thế giới đang phải đối mặt với sự gia tăng của các cuộc tấn công phần mềm độc hại phá hoại, được thiết kế để tắt quyền truy cập thông tin và xóa sạch các chức năng hệ thống trên các máy nạn nhân.

Dữ liệu mới từ Dịch vụ Tình báo và Ứng phó Sự cố X-Force của IBM (IRIS) cho thấy các tổ chức bị tấn công bằng phần mềm độc hại phá hoạt có thể chịu thiệt hại hơn 200 triệu đô la và mất hơn 12.000 thiết bị trong một cuộc tấn công. Các nhà nghiên cứu báo cáo, trích dẫn phân tích về các cuộc tấn công mạng được công bố công khai cho biết: các công ty đa quốc gia lớn phải chịu chi phí trung bình là 239 triệu đô la cho mỗi sự cố. Theo ước tính của Viện nghiên cứu Ponemon, chi phí khắc phục, thay thế thiết bị, giảm năng suất và các thiệt hại khác khiến các cuộc tấn công hủy diệt trở nên đắt đỏ hơn nhiều so với các vi phạm dữ liệu thông thường, trung bình chỉ mất khoảng 3,92 triệu USD cho mỗi vụ vi phạm thành công.

Christopher Scott, trưởng nhóm khắc phục sự cố toàn cầu của IBM X-Force IRIS cho biết: "Khi bạn nghĩ về một cuộc tấn công hủy diệt so với vi phạm dữ liệu, quá trình tấn công đó rất giống nhau. Bạn phải vào xâm nhập vào môi trường, mở rộng quyền truy cập, lấy những gì bạn muốn và hành động theo mục tiêu đó" Nhưng không giống như các cuộc vi phạm dữ liệu truyền thống, thường nhắm mục tiêu sở hữu trí tuệ hoặc thông tin có giá trị khác, một cuộc tấn công phần mềm độc hại phá hoại nhằm mục đích đóng cửa môi trường của công ty mục tiêu.

Phần mềm độc hại có sức hủy diệt, bao gồm cả phần mềm ransomware sử dụng yếu tố "wiper", đang gia tăng: Các nhóm ứng phó sự cố IRIS của X-Force đã và đang giúp các tổ chức xử lý các sự cố phần mềm độc hại phá hoại, và số lượng các cuộc tấn công này đã tăng hơn 200% trong nửa đầu năm 2019 so với nửa cuối năm 2018. Các yếu tố phá hoại trong ransomware cũng tăng vọt khi các chủng mới của LockerGoga và MegaCortex xâm nhập vào môi trường. Các cuộc gọi tới đường dây phản ứng khẩn cấp của X-Force IRIS thông báo về Ransomware gọi tới đã tăng vọt 116% trong nửa đầu năm 2019.

Các nhà nghiên cứu viết trong quyển: “Sự kết hợp của các phần mềm độc hại phá hoại: Bài học từ tuyến đầu”: “Mặc dù không phải tất cả các cuộc tấn công ransomware đều kết hợp với phần mềm độc hại phá hoại, tuy nhiên sự gia tăng đồng thời các cuộc tấn công ransomware và ransomware với các yếu tố phá hoại đã nhấn mạnh mối đe dọa tăng cường đối với các tập đoàn từ những ransomware có khả năng xóa sạch dữ liệu một cách vĩnh viễn". Các nhà nghiên cứu cũng dự đoán việc sử dụng ransomware phá hoại của tội phạm mạng sẽ gia tăng trong vòng năm năm tới.

Một nửa số trường hợp phần mềm độc hại phá hoại nhắm vào các ngành sản xuất; các mục tiêu phổ biến khác là trong lĩnh vực giáo dục hoặc dầu khí. Hầu hết các cuộc tấn công mà nhóm IRIS X-Force đã quan sát được nhắm vào các tổ chức nạn nhân mục tiêu ở Hoa Kỳ, Châu Âu và Trung Đông.

Phát hiện và giải quyết các cuộc tấn công hủy diệt

Một cuộc tấn công phần mềm độc hại phá hoạt có thể bắt đầu bằng một email lừa đảo, nhồi thông tin xác thực hoặc tấn công lỗ tưới nước. Khi đã thâm nhập được vào bên trong, kẻ tấn công có thể biến đổi thông tin đăng nhập và tấn công cho đến khi chúng có quyền truy cập quản trị. Scott cho biết: "Điều này cho phép chúng tự do di chuyển qua môi trường như chúng muốn và lên kế hoạch tấn công". Các nhà nghiên cứu nhận thấy những kẻ tấn công thường có mặt trên một thiết bị, tài sản hoặc mạng trong nhiều tuần hoặc nhiều tháng trước khi chúng khởi động một cuộc tấn công phần mềm độc hại phá hoại. Trong một số trường hợp, những kẻ tấn công đã ẩn mình trong mạng lưới hơn bốn tháng, dành thời gian cho trinh sát nội bộ.

Điểm truy cập và cơ sở hạ tầng quan trọng cực kỳ có giá trị trong giai đoạn này. Với quyền truy cập vào các hệ thống quan trọng, kẻ tấn công có thể kiểm soát vị trí của chúng càng lâu càng tốt. Cách tiếp cận chậm rãi cho phép chúng gây thiệt hại tối đa, nhưng nó cũng mang lại cho doanh nghiệp cơ hội xác định vị trí của các kẻ tấn công trước cuộc tấn công. Nhiều kẻ tấn công đang nhắm mục tiêu các tài khoản và dịch vụ đặc quyền để chúng có thể di chuyển khắp mạng mà không bị chú ý.

Thời gian để khắc phục sẽ khác nhau, tùy thuộc vào mức độ nghiêm trọng của một cuộc tấn công. Những chuyên gia ứng phó sự cố IRIS của X-Force đã dành trung bình 512 giờ để khắc phục một cuộc tấn công phần mềm độc hại phá hoại; tuy nhiên, con số đó có thể kéo dài tới 1.200 giờ hoặc hơn cho các sự cố quan trọng.

Không chỉ là vấn đề của riêng một quốc gia

Phần mềm độc hại hủy diệt chủ yếu được sử dụng bởi các tác nhân nhà nước quốc gia để gây hại cho các đối thủ địa chính trị, bằng cách phá hủy các hệ thống hoặc gây tổn hại cho các tổ chức công nghiệp chủ chốt. Từ năm 2010 đến 2018, các cuộc tấn công chủ yếu nhằm mục đích tăng thêm lợi ích cho nhà nước. Bây giờ nó đang trở nên phổ biến trong giới tội phạm mạng.

Các nhà nghiên cứu đưa ra giả thuyết rằng bọn tội phạm có thể đang áp dụng hình thức phần mềm độc hại này để gây áp lực lên nạn nhân của ransomware: nếu họ không trả tiền, những kẻ tấn công có thể phá hủy dữ liệu của họ. Kẻ tấn công cũng có thể bốc đồng phát động một cuộc tấn công hủy diệt để "đả kích" những nạn nhân không hợp tác.

Scott giải thích: "Bằng cách chuẩn bị phá hoại hoặc thậm chí phá hoại một phần, bạn thậm chí còn có động lực lớn hơn để trả tiền chuộc. Bằng cách đó họ có thể phục hồi và quay trở lại kinh doanh nhanh hơn". Nếu tội phạm mạng muốn được thanh toán ngay lập tức, họ có thể phá hủy một phần môi trường của mục tiêu để cho thấy thiệt hại có thể xảy ra nếu họ không gửi khoản thanh toán được yêu cầu.

Khi các cuộc tấn công này tiếp tục gia tăng, các doanh nghiệp nên đảm bảo rằng họ đã chuẩn bị bằng cách kiểm tra kế hoạch phản ứng của họ dưới áp lực. X-Force IRIS khuyên bạn nên sử dụng bài tập để xác định xem nhóm của bạn có biết chính xác phải làm gì trong những thời điểm quan trọng trong quá trình phản ứng hay không.

Các tổ chức cũng nên xem xét việc cách ly và giảm thiểu các tài khoản đặc quyền, và đảm bảo không thể sử dụng cùng một tài khoản để truy cập vào mọi hệ thống quan trọng. Họ cũng nên xây dựng cơ sở hoạt động mạng nội bộ và theo dõi các chuyển động ngoại biên; cảnh báo về các chú thích PowerShell bất ngờ; đồng thời kiểm tra và giữ các bản sao lưu ngoại tuyến của hệ thống của họ. Nếu kẻ tấn công có thể phá hủy bản sao lưu của công ty, trả tiền chuộc là cách duy nhất nạn nhân có thể lấy lại thông tin của mình.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Các cuộc tấn công của phần mềm độc hại phá hoại tăng 200% trong năm 2019
POWERED BY ONECMS - A PRODUCT OF NEKO