Ransomware tiến hóa ngày càng mạnh mẽ
Diễn đàn - Ngày đăng : 10:09, 15/09/2016
Thời gian gần đây, rất nhiều mã độc tống tiền (ransomware) - sử dụng cách thức mã hóa dữ liệu trên thiết bị của nạn nhân để đòi tiền chuộc đã bùng nổ mạnh mẽ - bởi mỗi ngày hacker đều thay đổi các phương pháp và chiến thuật tấn công mới. Mỗi chủng ransomware mới ra đời lại có khả năng làm các phiên bản công cụ giải mã trước bị lỗi thời. Cách mà những ransomware này lây nhiễm vô cùng đơn giản: núp bóng những email giả mạo (phishing) và đánh lừa người dùng kích hoạt link/chạy macro trên file Word đính kèm. Kaspersky từng thừa nhận rằng, nếu nạn nhân đã rơi vào tình trạng này, họ không thể làm gì khác ngoài việc trả tiền chuộc cho hacker.
Vào cuối tháng 2/2016, các chuyên gia bảo mật FPT, VNIST đã cảnh báo về loại mã độc mã hóa dữ liệu tống tiền mang tên Locky. Tiếp đó, vào trung tuần tháng 3/2016, Công ty VNIST đã có cảnh báo về sự xuất hiện của loại mã độc mã hóa dữ liệu tống tiền mới rất nguy hiểm có tên CryptoFortress. Mã độc này có nhiều tính năng mới, có thể quét và mã hóa cả những dữ liệu vô tình được chia sẻ qua mạng nội bộ. Chuyên gia bảo mật VNIST phân tích: “Thông thường khi một mã độc ransomware mã hóa dữ liệu, nó sẽ lấy danh sách các ổ đĩa trong máy tính và mã hóa dữ liệu trên đó. Vì vậy các mạng chia sẻ trong mạng vẫn sẽ an toàn. Tuy nhiên, với mã độc CryptoFortress, khi bị lây nhiễm vào một máy trong mạng nội bộ, nó có thể tiến hành tìm kiếm các thư mục được chia sẻ trong toàn mạng và thực hiện hành vi mã hóa toàn bộ các dữ liệu mà nó tìm thấy. Tính năng mới này của mã độc CryptoFortress thay đổi cách nhìn về các mối đe dọa với quản trị mạng khi duy trì các hệ thống mạng nội bộ doanh nghiệp”.
Cũng trong tháng 3/2016, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - VNCERT đã có công văn cảnh báo các đơn vị chuyên trách về CNTT của các bộ, ngành; các Sở TT&TT; các nhà cung cấp dịch vụ Internet (ISP) cùng các đơn vị thuộc Bộ TT&TT về hình thức lây nhiễm mới của mã độc mã hóa tài liệu: giả mạo 1 địa chỉ thư điện tử có đuôi “@tencongty.com.vn” để gửi thư có kèm mã độc đến các người dùng trong công ty đó. Để ngăn chặn sự lây lan và giảm thiểu thiệt hại cho người dùng Internet, VNCERT đề nghị các cơ quan, tổ chức chú ý và tăng cường tuyên truyền rộng rãi đến nhân viên, người dùng máy tính để phòng ngừa sự cố có thể xảy ra.
Hệ thống của Bkav , ngày 19/8/2016, đã phát hiện hàng loạt email phát tán có đính kèm mã độc mã hóa dữ liệu tống tiền Ransomware thông qua file có định dạng “*.docm”. Chuyên gia Bkav cho biết, đối với các file mã độc đính kèm có định dạng “*.docm”, khi quan sát bình thường sẽ thấy file đính kèm có định dạng gần giống với các file “Word Document” có phần tên mở rộng là “*.doc” hay “*.docx” thông thường, nhưng thực tế đây là loại file “Word Macro - Enable Document”. “Các file có loại định dạng này chứa trong nó là các đoạn mã thực thi Macro. Các macro sẽ được thực thi khi file đính kèm được kích hoạt. Trong trường hợp này các macro độc hại thực thi sẽ tiến hành tải và cài đặt mã độc mã hóa dữ liệu Locky vào máy của người dùng để thực hiện hành vi mã hóa dữ liệu tống tiền đòi tiền chuộc”.
Câu hỏi đặt ra, mặc dù đã bị phát hiện từ năm 1987, nhưng tại sao cách thức tấn công email phishing - giả mạo hóa đơn thanh toán, hợp đồng mua bán hay chứa nội dung tò mò vẫn đánh lừa được người dùng - vốn cảnh giác và cũng có kinh nghiệm. Đơn giản vì những email này được chuẩn bị quá hoàn hảo, giống đến 99,9% email thật và đặc biệt còn chứa cả thông tin chính xác địa chỉ nhà của nạn nhân!
Thực tế, email lừa đảo có vẻ được gửi từ địa chỉ email và tên miền hợp lệ, với rất ít dấu hiệu nghi ngờ. Nội dung trong đó thường sẽ là hóa đơn thanh toán cho một dịch vụ quá hạn hay đơn giản là yêu cầu của giám đốc công ty chỉnh sửa một hợp đồng quan trọng. Sau khi nạn nhân kích hoạt macro để xem nội dung trong tập tin này (thường là file Word), nó sẽ âm thầm tải về mã độc từ máy chủ của hacker, mã hóa toàn bộ dữ liệu và đòi tiền chuộc.
Các chuyên gia cho biết, hacker đang dần thay đổi hình thức tấn công người dùng bằng kỹ thuật Social-engineering (chiếm lòng tin người dùng bằng cách đưa ra những dữ liệu như tên thật, địa chỉ nhà, số điện thoại,...) thay vì đánh lừa nạn nhân nhập username/mật khẩu vào những website giả mạo. Ngoài ra, việc mã hóa dữ liệu đòi tiền chuộc cũng giúp kẻ xấu kiếm tiền nhanh hơn rất nhiều.
Để đảm bảo an toàn, các chuyên gia bảo mật Trend Micro khuyên người dùng nên luyện tập thói quen bảo mật an toàn đối với thiết bị của mình bằng cách: hãy chắc chắn rằng bạn luôn sử dụng điện toán đám mây để sao lưu dữ liệu quan trọng nhất của mình; Hãy đảm bảo rằng bạn luôn áp dụng các bản cập nhật quan trọng mới nhất và bản vá lỗi cho hệ điều hành hệ thống cũng như phần mềm quan trọng khác (ví dụ như các trình duyệt); Hãy cài đặt phiên bản mới nhất và áp dụng các cấu hình tốt nhất của các giải pháp bảo mật tối ưu.