Mã độc tống tiền ransomware đã “biến tướng” đến mức nào?
An toàn thông tin - Ngày đăng : 08:22, 23/11/2021
Khi John Donovan gia nhập ngành an ninh mạng vào năm 1995, thế giới tội phạm mạng lúc đó rất khác. Các cuộc tấn công thường chỉ được thiết kế để phá hủy các mạng hoặc hệ thống riêng lẻ, chủ yếu để hacker khoe khoang của việc đã thâm nhập thành công vào một tổ chức….
Bức tranh tội phạm mạng giờ đã đáng sợ hơn nhiều. Ransomware nổi lên là một công cụ để hacker tống tiền các tổ chức. Hiện là giám đốc điều hành của Sophos tại Úc và New Zealand, Donovan dành thời gian giúp các tổ chức ứng phó với hậu quả của việc nhân viên nhấp vào liên kết hoặc mở tệp đính kèm lây nhiễm phần mềm độc hại vào toàn bộ mạng.
Khi dữ liệu đã được mã hóa, yêu cầu đòi tiền chuộc sẽ được đưa ra để mở khóa dữ liệu. Khi các tổ chức đã học cách thường xuyên sao lưu dữ liệu của họ, các cuộc tấn công ransomware lại biến tướng thành mối đe dọa sẽ tung dữ liệu của tổ chức lên dark web.
Các cuộc tấn công ngày càng phức tạp và thường xuyên hơn
Theo nghiên cứu của Sophos, các tổ chức thiệt hại trung bình khoảng 1,04 triệu USD cho mỗi sự cố an ninh mạng, nếu họ chấp nhận trả tiền chuộc cho hacker. Cộng thêm chi phí phục hồi và các chi phí khác, con số thiệt hại lên tới 2 triệu USD. Tin tặc thường yêu cầu khoản tiền thanh toán bằng tiền điện tử và nhiều tổ chức tội phạm còn có “trung tâm điều hành”, hướng dẫn nạn nhân thực hiện quy trình thanh toán.
Các cuộc tấn công ransomware đã trở nên phổ biến hơn vì xu hướng làm việc từ xa do đại dịch. Trong 12 tháng qua, số vụ tấn công ransomware tại Úc đã tăng 15%, theo Trung tâm An ninh mạng Úc.
Các cuộc tấn công bằng ransomware không chỉ ngày càng phức tạp và thường xuyên hơn, chúng còn trở nên có mục tiêu mạnh bạo hơn. “Tội phạm mạng sẽ xâm nhập vào hệ thống một cách rất âm thầm; chúng sẽ chỉ im lặng trong vài tuần mà không cần đánh động gì với tổ chức”, Donovan nói. “Chúng sẽ tìm hiểu tần suất sao lưu dữ liệu của tổ chức và các điểm áp lực khác, chẳng hạn như chuẩn bị sự kiện IPO hoặc các phi vụ sáp nhập và mua lại”.
Yêu cầu tiền chuộc thường được hacker đưa ra qua email nhưng thủ phạm có thể gọi điện thoại cho đại diện của tổ chức, gọi họ bằng tên và nói ra một số thông tin cá nhân thu mà chúng được từ thông tin bị đánh cắp. Theo Sophos, ý tưởng là để tăng mối đe dọa nhằm đòi tiền chuộc.
Ransomware dưới dạng dịch vụ
Vào năm 2021, mô hình ransomware-as-a-service (hoặc RaaS) rất thành công. Theo Báo cáo về mối đe dọa bảo mật năm 2022 của Sophos, RaaS sẽ tiếp tục đe dọa đến các tổ chức. RaaS liên quan đến việc một nhà phát triển ransomware chuyên nghiệp tung mã độc và cơ sở hạ tầng cho các chi nhánh bên thứ ba.
Trong năm qua, chỉ có bốn nhóm chuyên gia phát triển ransomware chịu trách nhiệm cho gần một nửa số vụ tấn công được báo cáo - Conti, Ryuk, REvil và Ragnarok. Trong số này, nghiên cứu của Sophos cho thấy Conti là nguyên nhân gây ra nhiều vụ tấn công nhất. Đầu năm, một chi nhánh của Conti đã tiết lộ hướng dẫn triển khai mã độc bằng tiếng Nga, cụ thể các công cụ và từng bước kỹ thuật.
RaaS cũng đã được sử dụng để nhằm vào Colonial Pipeline trong một cuộc tấn công được coi là gây rối loạn nhất trong lịch sử Mỹ. Colonial Pipeline đã trả 5 triệu USD cho tin tặc, nhưng khoản thanh toán này được đưa ra quá muộn khiến mạng lưới đường ống dẫn nhiên liệu của họ bị gián đoạn, gây tình trạng thiếu nhiên liệu trên toàn quốc. Các nhà điều tra Mỹ sau đó đã thu được một phần lớn tiền chuộc được trả bằng Bitcoin, nhưng thành công như vậy là rất hiếm.
Có một xu hướng ransomware đáng báo động khác đang tấn công vào các chuỗi cung ứng. Garrett O’Hara, cố vấn kỹ thuật chính tại Mimecast, cho biết mối đe dọa này sẽ kéo dài đến năm 2022 và cả sau đó. Vào tháng 7, REvil đã tấn công nhà cung cấp phần mềm Kaseya có trụ sở tại Mỹ, ảnh hưởng đến 1.500 doanh nghiệp trên khắp năm châu lục, từ các siêu thị ở Thụy Điển đến các trường mẫu giáo ở New Zealand.
“Đây là một trường hợp đáng quan tâm trong đó tội phạm mạng thực sự tấn công các tổ chức có liên hệ với Kaseya”, O’Hara nói. “Trong trường hợp này, bạn có thể nghĩ rằng bạn có mối quan hệ đáng tin cậy với một nhà cung cấp, nhưng nếu họ bị xâm phạm, mạng lưới của bạn cũng có thể bị xâm nhập”.
Chiến lược phòng thủ vững chắc và kế hoạch khắc phục
O’Hara đã nhận thấy sự thay đổi trong nhận thức của chính phủ Úc về ransomware và ghi nhận một số sáng kiến tích cực, chẳng hạn như Kế hoạch hành động chống Ransomware. Theo ông, điều đó cho thấy chính phủ Úc thừa nhận về mức độ nghiêm trọng của vấn đề.
Tuy nhiên, ông tin rằng cần phải đầu tư nhiều hơn nữa để giải quyết hiệu quả tai họa của ransomware. O’Hara nói: “Đó là một vấn đề toàn cầu rất lớn và cần mức độ phản ứng thích hợp”.
Úc cũng ngăn các tổ chức trả tiền cho các nhóm tội phạm đòi tiền chuộc. “Nhưng chúng ta biết các tổ chức đang trả tiền. Chúng ta cần hiểu rõ về việc có bao nhiêu tổ chức đang âm thầm trả tiền chuộc, để hiểu rằng vấn đề này nghiêm trọng đến mức nào”!
Mặc dù không có phương pháp nào dễ dàng ngăn chặn cuộc tấn công bằng ransomware, nhưng một chiến lược phòng thủ vững chắc và kế hoạch khắc phục có thể là giải pháp giảm thiểu thiệt hại. Các mẹo chính bao gồm liên tục kiểm tra các hệ thống phòng thủ, tiến hành các bài tập mô phỏng, sử dụng mật khẩu mạnh và ủy quyền đa yếu tố, tiến hành sao lưu ngoại vi hàng ngày.