Theo ước tính, mỗi ngày có khoảng 100 yêu cầu bồi thường gửi đến các công ty bảo hiểm liên quan tới các cuộc tấn công ransomware. Trung bình tấn công ransomware mất từ 60 đến 120 ngày để chuyển từ xâm phạm bảo mật ban đầu đến việc thực hiện tấn công ransomware trên thực tế. Điều đó có nghĩa là tin tặc có thể ấn náu trong mạng của hàng trăm công ty, sẵn sàng kích hoạt phần mềm độc hại mã hóa mạng bất cứ lúc nào.
Vậy đâu là những dấu hiệu ban đầu giúp các công ty có thể phát hiện một cuộc tấn công ransomware trước khi chúng gây ra thiệt hại? Và phải làm gì nếu phát hiện thấy một cuộc tấn công đang diễn ra?
Liên kết giao thức máy tính từ xa: Điểm yếu bị khai thác để tấn công ransomware
Mã hóa tệp bằng ransomware là bước cuối cùng xảy ra. Trước đó, tội phạm mạng đã dành hàng tuần, hoặc lâu hơn, điều tra mạng lưới để phát hiện ra các điểm yếu. Một trong những phương thức phổ biến nhất để các băng đảng ransomware xâm nhập vào mạng của các công ty là thông qua các liên kết giao thức máy tính từ xa (Remote Desktop Protocol - RDP).
Jared Phipps, Phó Chủ tịch công ty bảo mật SentinelOne cho biết: "Hãy xem xét môi trường của bạn, tìm hiểu mức độ lộ lọt RDP và đảm bảo rằng bạn sử dụng xác thực hai yếu tố trên các liên kết đó hoặc thực hiện chúng đằng sau một VPN".
Giãn cách xã hội do virus corona đã buộc nhiều nhân viên phải làm việc tại nhà, và khiến nhiều công ty mở liên kết RDP để giúp truy cập từ xa dễ dàng hơn. Jared Phipps cho biết, điều này đang tạo cơ hội cho các băng đảng ransomware, vì vậy việc quét các hệ thống sử dụng Internet của bạn để tìm các cổng RDP đang mở là bước đầu tiên.
Một dấu hiệu cảnh báo khác là các công cụ phần mềm bất ngờ xuất hiện trên mạng. Những kẻ tấn công có thể bắt đầu với quyền kiểm soát chỉ một PC trên mạng - có thể thông qua email lừa đảo (phishing) (thực tế rất nhiều email lừa đảo có thể là dấu hiệu của một cuộc tấn công và nếu nhân viên được đào tạo tốt để phát hiện ra chúng thì có thể đưa ra cảnh báo sớm). Với quyền kiểm soát trong mạng này, tin tặc sẽ có thể khai thác và thực hiện tấn công.
Điều đó có nghĩa là cần sử dụng cácmáy quét mạng, như AngryIP hoặc Advanced Port Scanner. Nếu phát hiện các email lừa đảo trên mạng, thì nhóm bảo mật cần phảikiểm tra.
Theo công ty bảo mật công nghệ Sophos, một dấu hiệu cảnh báo khác cho thấy tấn công ransomware có thể đang diễn ra là MimiKatz, một trong những công cụ được tin tặc sử dụng thường xuyên nhất, cùng với Microsoft Process Explorer, để đánh cắp mật khẩu và chi tiết đăng nhập
Nỗ lực xâm nhập mạng, chiếm quyền quản trị để tấn công
Sophos cho biết: Một khi đã nắm được quyền truy cập vào mạng, các băng đảng ransomware thường sẽ cố gắng tăng phạm vi tiếp cận của chúng bằng cách tạo tài khoản quản trị viên cho chính chúng, như trong Active Directory và sử dụng sức mạnh tăng cường để bắt đầu vô hiệu hóa phần mềm bảo mật bằng các ứng dụng được tạo để hỗ trợ buộc phải gỡ bỏ phần mềm, chẳng hạn như Process Hacker, IOBit Uninstaller, GMER và PC Hunter.
Theo công ty bảo mật Sophos, những loại công cụ thương mại này là hợp pháp, nhưng nằm trong tay kẻ xấu, các đội bảo mật và quản trị viên cần đặt câu hỏi tại sao chúng lại đột ngột xuất hiện.
Jared Phipps của SentinelOne cho biết: Để ngăn chặn điều này xảy ra, các công ty cần tìm kiếm các tài khoản được tạo bên ngoài hệ thống chăm sóc khách hàng hoặc hệ thống quản lý tài khoản của bạn. Một khi những kẻ tấn công có được các quyền quản trị viên, chúng sẽ cố gắng lây lan rộng hơn trên mạng bằng cách sử dụng PowerShell.
Toàn bộ kế hoạch có thể mất vài tuần, và thậm chí vài tháng để các băng đảng ransomware thực hiện tấn công. Nhiều công cụ bảo mật chỉ ghi lại lưu lượng truy cập trên mạng trong một khoảng thời gian nhất định, có nghĩa là nếu tin tặc "án binh bất động" một thời gian, các nhóm bảo mật sẽ khó tìm ra cách chúng xâm nhập vào hệ thống ngay từ đầu.
Ngoài ra, còn có một số dấu hiệu cho thấy một cuộc tấn công ransomware sắp diễn ra. Đó là những kẻ tấn công sẽ cố gắng vô hiệu hóa Active Directory và các bộ điều khiển tên miền (domain controller), đồng thời phá huỷ bất kỳ bản sao lưu nào mà chúng tìm thấy, cũng như vô hiệu hóa các hệ thống được sử dụng để đẩy các bản vá hoặc cập nhật. "Và sau đó chúng sẽ tấn công bạn", Phipps cho biết.
Sophos cũng lưu ý rằng tại thời điểm này, băng nhóm có thể cố gắng mã hóa một vài thiết bị chỉ để xem kế hoạch của chúng có hoạt động hay không.
Vì vậy, làm thế nào để ngăn chặn những kẻ tấn công khi chúng đã ở bên trong? Theo Phipps, điều quan trọng nhất là kiểm soát các phiên RDP, bởi điều đó sẽ ngăn những kẻ tấn công thâm nhập, chiếm quyền truy cập và kiểm soát. Các bước khác, như thay đổi mật khẩu trên các hệ thống lõi, có thể hữu ích. Việc giám sát các tài khoản quản trị không mong muốn xuất hiện cũng rất quan trọng và các công ty nên xem xét việc giám sát hoặc hạn chế việc sử dụng PowerShell.
Làm thế nào bạn có thể tổ chức của mình trở thành một mục tiêu khó nhằn đối với các băng đảng ransomware? Thường xuyên cập nhật bản vá và phần mềm là chìa khóa. Nhiều cuộc tấn công ransomware dựa trên các lỗi phần mềm để hoạt động, nhưng hầu hết các lỗi này đã được các công ty phần mềm sửa từ lâu – theo đó, cần cập nhật bản vá.
Đối với các cuộc tấn công ransomware qua email, việc hướng dẫn nhân viên không nhấp vào các liên kết ngẫu nhiên và kết hợp sử dụng mật khẩu mạnh với xác thực hai yếu tố trên càng nhiều hệ thống càng tốt, cũng sẽ giúp ngăn chặn hoặc làm chậm quá trình tấn công.
Mới đây, báo cáo xu hướng nguy hiểm và đe dọa năm 2020 của Skybox Security cho biết: Các cuộc tấn công ransomware đã tăng mạnh trong nửa đầu năm nay, khi tội phạm mạng tìm cách phát tán phần mềm độc hại mã hóa tệp trong bối cảnh mọi người phải làm việc tại nhà, với các mẫu phần mềm độc hại mã hóa tệp mới tăng 72%.
Nhà nghiên cứu Joshua Platt của SentinelOne từng trao đổi: Ransomware ngày càng phát triển: "Thời kỳ đầu của ransomware, những kẻ tấn công đòi tiền chuộc máy tính cá nhân với giá 300 USD, và bây giờ con số này đã lên tới hàng triệu đô la".