Ransomware thận trọng hơn trong việc lựa chọn mục tiêu

Trương Khánh Hợp| 22/04/2019 20:47
Theo dõi ICTVietnam trên

Ransomware (mã độc tống tiền) không còn thống trị toàn cảnh phần mềm độc hại - nhưng nó vẫn có khả năng gây ra những sự gián đoạn nghiêm trọng. Orli Gan, Trưởng phòng Quản lý sản phẩm và Tiếp thị sản phẩm, Phòng chống mối đe dọa tại Check Point đã xem xét lý do tại sao các tổ chức vẫn cần cảnh giác với ransomware - và cách họ có thể ngăn chặn các cuộc tấn công gây thiệt hại.

Ngay khi có vẻ như ransomware đã trở thành quá khứ, nó lại bắt đầu trỗi dậy. Trong khi phần mềm độc hại mã hóa thống trị toàn cảnh phần mềm độc hại trong suốt năm 2018, thay thế ransomware trở thành phương thức phổ biến nhất để tội phạm mạng kiếm tiền bất hợp pháp, ransomware đã biến mất hoàn toàn - nó chỉ trở nên cẩn trọng hơn trong việc chọn mục tiêu.

Tội phạm mạng chuyển từ việc phân phối hàng triệu email mà không có nạn nhân cụ thể nào, sang các cuộc tấn công đòi tiền chuộc được lên kế hoạch và nhắm mục tiêu cẩn thận. Một ví dụ điển hình là cuộc tấn công gần đây vào Norsk Hydro, một trong những nhà sản xuất nhôm lớn nhất thế giới, cho thấy ransomware đã không hề mất đi sức mạnh để gây ra sự gián đoạn mặc dù việc sử dụng đã bị suy giảm.

Ngày 18/3, Norsk Hydro đã bị tấn công bởi ransomware với tên gọi 'LockerGoga', một biến thể tương đối mới xuất hiện lần đầu tiên vào tháng 1 năm 2019. Phần mềm độc hại buộc công ty phải cách ly tất cả các nhà máy hoạt động trên khắp Hoa Kỳ và Châu Âu, và buộc phải chuyển sang các hoạt động thủ công tại bất cứ nơi nào có thể. Phần mềm độc hại mã hóa các hệ thống quan trọng và một yêu cầu thanh toán tiền chuộc đã được đưa ra.

Mặc dù những hành động của công ty trong suốt thời gian cuộc tấn công diễn ra đã được ca ngợi rộng rãi như các hành động chuẩn mực trong sách giáo khoa về các quá trình ứng phó sự cố bên trong và bên ngoài, hoạt động của công ty vẫn bị gián đoạn nghiêm trọng. Mặc dù công ty đã có thể nhanh chóng đưa nhiều hệ thống trở lại hoạt động bình thường, nhưng nó đã trải qua những thách thức trong sản xuất và tạm dừng hoạt động tại một số nhà máy. Công ty cho biết họ đang dần đưa các hệ thống bị ảnh hưởng trở lại trực tuyến, nhưng chi phí sơ bộ của sự cố đã được ước tính vào khoảng 300 - 350 triệu kroner NRC (khoảng 30 triệu đô la).

Khái niệm cơ bản về sự sẵn sàng đối phó ransomware

Vậy làm thế nào để các công ty có thể tránh bị gián đoạn tương tự bởi các cuộc tấn công của ransomware? Tin tốt là, ngay cả các cuộc tấn công phần mềm độc hại rất tinh vi cũng có thể được vô hiệu hóa và thậm chí ngăn chặn hoàn toàn với các công cụ và quy trình an ninh mạng tương đối đơn giản. Ví dụ, phân đoạn mạng (Network segmentation) rất dễ thực hiện - đó là một nguyên tắc cơ bản của kiến trúc mạng thông minh - nhưng nó cực kỳ hiệu quả trong việc ngăn chặn sự lây lan của phần mềm độc hại, ngăn không cho nó di chuyển ngang qua các mạng để lây nhiễm và làm xáo trộn các hệ thống khác.

Một điều rất quan trọng chính là có các bản sao lưu dữ liệu tốt, được lưu trữ riêng biệt với mạng chính của tổ chức. Đây là cách duy nhất để đảm bảo rằng, nếu điều tồi tệ nhất xảy ra và một cuộc tấn công ransomware diễn ra, các tệp và thông tin quan trọng có thể được phục hồi sau khi loại bỏ các tệp bị nhiễm độc.

Việc đào tạo nhân viên cũng là một vũ khí mạnh mẽ. Các tệp đính kèm và liên kết chỉ nên được mở từ các nguồn thực sự đáng tin cậy. Nếu người dùng được yêu cầu chạy macro trên tệp Microsoft Office, thì câu trả lời đơn giản là - không! Macro thường được sử dụng làm trình kích hoạt để tải xuống ransomware, do đó, việc được yêu cầu chạy chúng trên một tệp Office đơn giản là một chỉ báo phổ biến về một cuộc tấn công của ransomware. Tuyên truyền nhận thức này phải là một phần cốt lõi của việc đào tạo công nghệ thông tin cho nhân viên.

Và tất nhiên, việc cập nhật chương trình chống vi-rút truyền thống và các biện pháp bảo vệ dựa trên chữ ký khác là rất quan trọng. Nhưng những biện pháp này vẫn có thể bị vượt qua bởi ransomware hiện đại. Các biện pháp bảo vệ tiên tiến hơn là điều cần thiết để củng cố hệ thống phòng thủ hiện có.

Ngăn ngừa lây nhiễm

Trích xuất mối đe dọa (Threat extraction) hoạt động trên một tiền đề đơn giản: phần lớn ransomware và phần mềm độc hại được phân phối qua email, ẩn trong các loại tệp phổ biến được sử dụng cho doanh nghiệp - Tài liệu Word, PDF, bảng tính Excel v.v... Vì vậy, từ quan điểm bảo mật, tốt nhất bạn nên giả định rằng mọi tệp đính kèm email luôn bị lây nhiễm - và cần trích xuất bất kỳ mối đe dọa tiềm ẩn nào từ nó trước khi chuyển nó cho người dùng. Các tài liệu được đính kèm vào email được giải mã tại cổng email và những nội dung đáng ngờ (như macro và liên kết bên ngoài) bị xóa. Tài liệu sau đó có thể được xây dựng lại một cách an toàn và gửi đến người dùng dự định. Điều này giúp loại bỏ các rủi ro từ các tệp bị nhiễm mà không làm trì hoãn công việc của người dùng.

Hộp cát (Sandbox - một kỹ thuật quan trọng trong lĩnh vực bảo mật có tác dụng cô lập các ứng dụng, ngăn chặn các phần mềm độc hại để chúng không thể làm hỏng hệ thống máy tính, hay cài cắm các mã độc nhằm ăn cắp thông tin cá nhân) tiên tiến hoạt động song song với trích xuất mối đe dọa, để phát hiện ngay cả phần mềm độc hại chưa biết và chữ ký chưa tồn tại. Sandbox kiểm tra các yếu tố đáng ngờ trong một tệp đến ở cấp độ CPU, bên dưới lớp ứng dụng hoặc hệ điều hành trên bộ xử lý, cho phép nó xem qua bất kỳ kỹ thuật trốn tránh nào được tích hợp trong phần mềm độc hại và ngăn chặn lây nhiễm tiềm năng trước khi có thể được xử lý.

Nhưng ngay cả những biện pháp này cũng không hoàn hảo - không có biện pháp phòng thủ nào có thể đảm bảo sự an toàn 100%. Ở đó, luôn luôn có một cơ hội mỏng manh mà ransomware có thể vượt qua. Tuy nhiên, một lớp bảo vệ cuối cùng có sẵn có thể vô hiệu hóa ngay cả các ransomware tiên tiến nhất, có khả năng vi phạm thành công hệ thống phòng thủ của tổ chức và bắt đầu quá trình lây nhiễm.

Tuyến phòng thủ cuối cùng này hoạt động bằng cách theo dõi các điểm cuối liên tục cho các dấu hiệu nhận biết hành vi mà tất cả các loại biến thể ransomware tuân theo. Các dấu hiệu nhận biết này bao gồm:

- Tạo một tài liệu văn bản, trong đó sẽ bao gồm thông báo tiền chuộc cho người dùng

- Chúng xóa hoặc cố gắng xóa, tất cả các bản sao và tệp sao lưu để thông tin không thể dễ dàng được phục hồi

- Sau đó, chúng bắt đầu mã hóa một số hoặc tất cả các tệp trên máy

Những dấu hiệu nhận biết này tạo cơ hội cho các công cụ pháp y xác định một cuộc tấn công trong micro giây và hành động để giảm thiểu tác động của nó.

Cơ chế rollback

Các phòng thủ ransomware dựa trên pháp y này đặt trên các máy riêng lẻ, theo dõi các dấu hiệu nhận biết của ransomware được mô tả ở trên. Khi các dấu hiệu nhận biết ransomware được phát hiện, sự lây lan sẽ bị vô hiệu hóa bằng cách sử dụng cơ chế “rollback” (thao tác lùi cơ sở dữ liệu về một trạng thái cũ. Các thao tác rollback có tầm quan trọng đối với tính toàn vẹn dữ liệu của cơ sở dữ liệu).

 Cơ chế này hoạt động bằng cách tạo bản sao lưu tức thời của mọi thứ trên máy, nhưng chỉ trong quá trình lây nhiễm. Sau đó, phần mềm ransomware được cách ly để ngăn chặn sự lây lan thêm và các tệp sao lưu cùng với hình ảnh sao lưu của PC có thể được sử dụng trong vòng vài phút để thay thế các tệp bị mã hóa bởi ransomware. Điều này giảm thiểu sự gián đoạn và cho phép các quy trình kinh doanh thông thường khởi động lại trong vòng vài phút, thay vì vài ngày hoặc vài tuần.

Tóm lại, ransomware dường như không bao giờ biến mất. Có vẻ như các tổ chức không thể ngăn chặn hoàn toàn mọi cuộc tấn công của ransomware nhắm vào họ. Tuy nhiên, với cách tiếp cận dựa trên pháp y như là một tuyến phòng thủ cuối cùng quan trọng chống lại các cuộc tấn công gây thiệt hại này, nó có thể quay ngược thời gian và vô hiệu hóa tác động của chúng./.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Ransomware thận trọng hơn trong việc lựa chọn mục tiêu
POWERED BY ONECMS - A PRODUCT OF NEKO