Phần mềm gián điệp hoạt động như thế nào? Cách để tự bảo vệ

Ransomware thường được phân phối bởi một tập hợp các robot, robot này gửi hàng triệu email độc hại ngẫu nhiên cho các nạn nhân. Những email này chứa nội dung tống tiền với số tiền tương đối nhỏ khoảng 300-500 bảng Anh. Nhưng theo các sĩ quan cảnh sát, chúng tôi đã phỏng vấn các đơn vị tội phạm mạng của Anh, các cuộc tấn công ransomware đang ngày càng trở nên có mục tiêu. Kẻ tấn công thường nhắm vào những doanh nghiệp có khả năng trả một khoản tiền rất lớn, lên tới 1.000.000 bảng để họ có thể lấy lại dữ liệu nhanh chóng.

Trong năm 2017 và 2018 đã có sự gia tăng các cuộc tấn công ransomware nhắm mục tiêu như vậy vào các doanh nghiệp ở Vương quốc Anh. Những kẻ tấn công sử dụng phần mềm tìm kiếm các máy tính và máy chủ dễ bị xâm nhập và sau đó sử dụng các kỹ thuật khác nhau để tấn công.

Nếu những kẻ tấn công có được quyền truy cập, chúng sẽ cố gắng lây nhiễm vào cả các máy khác trên mạng và thu thập thông tin cần thiết về hoạt động kinh doanh của công ty, cơ sở hạ tầng công nghệ thông tin và các lỗ hổng tiềm năng khác. Các lỗ hổng này có thể bao gồm các mạng không được phân tách hiệu quả thành các phần khác nhau hoặc mật khẩu quản trị yếu.

Sau đó, họ tải lên phần mềm ransomware, mã hóa dữ liệu có giá trị và gửi một ghi chú tiền chuộc. Sử dụng thông tin vừa tìm được như quy mô, doanh thu và lợi nhuận của công ty, những kẻ tấn công sẽ ước tính được số tiền mà công ty có thể chi trả và điều chỉnh sao cho phù hợp. Thanh toán thường được yêu cầu bằng tiền điện tử và khoảng từ 35 đến 100 bitcoin

Một phương thức tấn công phổ biến khác là “giao tiếp lừa đảo” hoặc “trò chơi săn lùng lớn”. Hai phương thức này liên quan đến việc nghiên cứu về những người trực tiếp xử lý tài chính trong một công ty và gửi cho họ một email giả vờ là từ một nhân viên khác. Email sẽ bịa đặt một câu chuyện khuyến khích người nhận mở tệp đính kèm, thông thường là tài liệu Word hoặc Excel có chứa mã độc.

Hai loại tấn công nhắm mục tiêu này thường được thực hiện bởi các nhóm chuyên nghiệp và chỉ được thúc đẩy bởi lợi nhuận, mặc dù cũng có một số cuộc tấn công tìm cách phá vỡ các doanh nghiệp hoặc cơ sở hạ tầng. Các nhóm tội phạm này có tổ chức tốt và các hoạt động liên tục được phát triển.

Theo cảnh sát, các tên tội phạm thường thích nhắm vào các doanh nghiệp được số hóa hoàn toàn, phụ thuộc nhiều vào công nghệ thông tin và dữ liệu. Họ có xu hướng ủng hộ các công ty vừa và nhỏ và tránh các tập đoàn lớn vì có an ninh mạng tiên tiến hơn. Hơn nữa, các công ty lớn có khả năng thu hút nhiều sự chú ý của truyền thông, điều này sẽ dẫn đến sự quan tâm của cảnh sát nhiều hơn và làm gián đoạn các hoạt động của chúng.

Cách tự bảo vệ chính mình

Dự án nghiên cứu đa trường đại học EMPHASIS, nghiên cứu về tác động kinh tế, xã hội và tâm lý của ransomware. Theo nghiên cứu, an ninh mạng kém trong các tổ chức là lý do chính tại sao tội phạm mạng đã rất thành công trong việc tống tiền họ.

Một cách để cải thiện tình trạng này là bảo vệ tốt hơn cho việc truy cập máy tính từ xa. Điều này có thể được thực hiện bằng cách vô hiệu hóa hệ thống khi không sử dụng và sử dụng mật khẩu mạnh và xác thực hai bước. Hoặc chuyển sang một mạng riêng ảo, kết nối các máy thông qua internet như thể chúng ở trong một mạng riêng.

Ông Bob McArdle từ công ty bảo mật CNTT Trend Micro đã khuyên rằng các bộ lọc email và phần mềm chống vi-rút có chứa bảo vệ ransomware chuyên dụng là rất quan trọng. Các công ty cũng nên thường xuyên sao lưu dữ liệu để sẽ không trở thành vấn đề lớn nếu ai đó chiếm được bản gốc. Tuy nhiên, sao lưu phải được kiểm tra và lưu trữ ở những vị trí không thể tiếp cận với ransomware.

Những cách kiểm soát này rất quan trọng vì các cuộc tấn công ransomware có xu hướng để lại rất ít bằng chứng và do đó rất khó điều tra. Như vậy, các cuộc tấn công ransomware được nhắm mục tiêu sẽ không dừng lại sớm và những kẻ tấn công sẽ chỉ ngày càng tinh vi hơn trong các phương thức hoạt động của chúng.