Ransomware đe dọa cơ sở hạ tầng đám mây

Theo các nhà nghiên cứu tại công ty phát hiện và phản ứng với các mối đe dọa Vectra, hệ thống mạng lưới này là vũ khí hiệu quả nhất của tội phạm mạng trong cuộc tấn công bằng ransomware.

Điều này là do các tệp nhiễm mã hóa độc hại được chia sẻ trên các máy chủ mạng, đặc biệt là các tệp được lưu trữ trong các nhà cung cấp đám mây dưới dạng dịch vụ (gọi tắt là IaaS).

Những kẻ tấn công có thể dễ dàng trốn tránh bảo mật vành đai mạng và thực hiện trinh sát nội bộ để xác định vị trí và mã hóa các tệp mạng được chia sẻ, theo các nhà nghiên cứu.

“Bằng cách mã hóa các tệp được truy cập bởi nhiều ứng dụng kinh doanh trên mạng, kẻ tấn công đạt được mục đích nhanh hơn và gây hại nhiều hơn so với mã hóa các tệp trên các thiết bị riêng lẻ”, các nhà nghiên cứu cho biết.

Theo báo cáo của Vectra năm 2019 về ransomware, các cuộc tấn công ransomware gần đây đã tạo ra một mạng lưới rộng hơn đe dọa các cơ sở hạ tầng đám mây, trung tâm dữ liệu và hạ tầng doanh nghiệp.

Báo cáo cũng lưu ý rằng chi phí thời gian chết do tê liệt hoạt động, không có khả năng khôi phục dữ liệu sao lưu và thiệt hại về danh tiếng là rất thảm khốc đối với các tổ chức lưu trữ dữ liệu của họ trên đám mây.

Chris Morales, người đứng đầu bộ phận phân tích bảo mật tại Vectra cho biết: “Sự sụp đổ của các nhà cung cấp dịch vụ đám mây từ các cuộc tấn công của ransomware sẽ tàn khốc hơn nhiều khi hệ thống kinh doanh của mọi khách hàng được lưu trữ trên đám mây được mã hóa”. “Ngày nay, các cuộc tấn công ransomware có mục tiêu là một mối đe dọa lớn với sự tiếp cận nhanh chóng và không cần có trung gian”.

Ransomware tiếp tục là một cách phổ biến để tội phạm mạng kiếm tiền vì nó nhanh và dễ dàng, và thường dẫn đến thiệt hại tài chính lớn hơn so với ăn cắp và bán thẻ tín dụng hoặc thông tin nhận dạng cá nhân.

Ransomware và các hình thức tống tiền mạng khác hiện đang là hình thức hoạt động của tội phạm mạng phổ biến nhất ở Anh. Rob Jones, giám đốc ban Quản lý Mối đe dọa tại Cơ quan Tội phạm Quốc gia (NCA) nói với Computer Weekly trong một cuộc phỏng vấn gần đây.

“Nghiên cứu của chúng tôi chỉ ra rằng 53% các tổ chức nói rằng họ có "sự thiếu hụt lớn" về các kỹ năng an ninh mạng ngày nay và sự phân nhánh của nó là minh chứng cho các cuộc tấn công ransomware nhanh”, Jon Oltsik, nhà phân tích chính của Nhóm Chiến lược doanh nghiệp cho biết.

“Các ngành công nghiệp chỉ đơn giản là không có các nhóm quét bảo mật được đào tạo, không biết tìm kiếm mối đe dọa hoặc ứng phó với các sự cố” ông cho biết thêm.

“Công ty Vectra cung cấp những hiểu biết quan trọng về vũ khí hóa, sự chuyển đổi từ cơ hội sang cuộc tấn công có chủ đích và các ngành công nghiệp bị ransomware nhắm đến có thể giúp các tổ chức được chuẩn bị tốt hơn”.

Báo cáo cho thấy các ngành công nghiệp ở châu Âu và Trung Đông có nhiều sự cố nhất về mã hóa tệp mạng ransomware từ tháng 1 đến tháng 6 năm 2019 là ngành tài chính và bảo hiểm (35%), tiếp theo là chăm sóc sức khỏe (18%), năng lượng (17%) và sản xuất (13%).

Ở quy mô thấp hơn là khu vực dịch vụ (8%), tiếp theo là công nghệ (4%), bán lẻ (4%) và khu vực công (1%).

Đức có nhiều sự cố do ransomware bằng các quốc gia khác ở Châu Âu và Trung Đông cộng lại, chiếm 42% các trường hợp trong khu vực. Tiếp theo là Thụy Sĩ (26%), Anh (18%), Đan Mạch (8%) và Ả Rập Xê út (2%).

Để phát hiện và phản ứng với ransomware, báo cáo của Vectra khuyến nghị các tổ chức nên tìm kiếm các chỉ số sớm nhận biết về một cuộc tấn công ransomware.

Báo cáo lưu ý rằng vì các cuộc tấn công bằng ransomware hiện đại có chủ đích và mô-đun, thời gian dừng của kẻ tấn công có thể khá dài trước khi các tệp mạng được chia sẻ bị mã hóa.

“Có rất nhiều bước trong quy trình tấn công mà các tổ chức có thể chủ động theo dõi các dấu hiệu sớm của các hành vi ransomware trong mạng”, báo cáo cho biết.

Báo cáo còn cho biết thêm rằng, một quá trình ứng phó sự cố và khả năng chủ động phát hiện các cuộc tấn công được ghi lại là rất quan trọng.

“Điều này bao gồm việc hiểu biết về cách tìm ra ransomware và các hành vi đầu tiên của nó, điều tra các sự cố và hiểu các phương pháp phản ứng thích hợp”.

Theo Vectra, trí thông minh nhân tạo cũng có thể được sử dụng để phát hiện các chỉ số tinh vi của ransomware và cho phép các tổ chức ngăn chặn thiệt hại lan rộng.