Tại sao tấn công ransomware ngày càng tăng?

Thật không may, sự phụ thuộc rộng rãi của các tổ chức vào dữ liệu có nghĩa là tội phạm mạng có động cơ lớn để đánh cắp dữ liệu thông qua việc sử dụng phần mềm độc hại được gọi là "ransomware" (mã độc phần mềm tống tiền).

Ransomware khóa người dùng hợp pháp và tổ chức của họ khỏi hệ thống dữ liệu hoặc cơ sở dữ liệu (CSDL) của họ, thường thông qua một số loại mã hóa mà chỉ kẻ tấn công mới có thể hoàn tác. Dưới đây, chúng ta sẽ tìm hiểu cách thức hoạt động của ransomware và tại sao nó lại gây nguy hiểm cho các tổ chức, doanh nghiệp.

Ransomware khóa dữ liệu của người dùng hợp pháp như thế nào?

Như đã đề cập trên đây, hầu hết các ransomware được thiết kế để khóa dữ liệu của người dùng thông qua một số loại mã hóa dữ liệu. Trong phần lớn các trường hợp, các ứng dụng ransomware cũng tự nhân bản trên các thiết bị và máy chủ khác nhau, làm giảm lượng dữ liệu có thể được khôi phục. Những ransomware khác cũng sẽ vô hiệu hóa các tính năng bảo mật mạng và xóa các bản sao lưu tự động để buộc nạn nhân phải thanh toán tiền chuộc.

Nếu khoản tiền chuộc như vậy được thanh toán, một khóa số sẽ được trao cho nạn nhân để phục hồi thiệt hại. Tuy nhiên, không có gì đảm bảo rằng những kẻ xấu này sẽ nhận được món hời và cả việc các tổ chức có thể truy cập lại dữ liệu của họ ngay cả khi đã trả tiền chuộc. Nếu tổ chức không sao lưu dữ liệu của mình vào một hệ thống bên ngoài, thì những vụ việc như vậy có thể trở nên thảm khốc hơn.

Ransomware lây nhiễm cho các hệ thống như thế nào?

Tin tặc ransomware có thể xâm nhập vào mạng và lây nhiễm các CSDL thông qua nhiều điểm xâm nhập khác nhau. Dưới đây là một số cách phổ biến nhất ransomware có thể chiếm đoạt dữ liệu của tổ chức.

Phương tiện lưu trữ

Ổ cứng, ổ USB và thậm chí các thiết bị ngoại vi có thể chứa phần mềm độc hại có thể trực tiếp hoặc gián tiếp tạo điều kiện cho các cuộc tấn công ransomware. Các thiết bị lưu trữ có thể chứa phần mềm độc hại mà khi được kết nối với một thiết bị, chúng sẽ tự chuyển sang thiết bị đó và sao chép qua bất kỳ mạng nào mà máy được kết nối. Các thiết bị ngoại vi có thể bị tấn công để ghi lại các lần gõ phím và các loại thông tin khác cho phép người dùng trái phép truy cập và cài đặt trực tiếp ransomware trên máy mục tiêu sau này.

Email lừa đảo

Email chứa tệp đính kèm ransomware hoặc liên kết đến trang web bị nhiễm là một trong những đầu vào phổ biến hơn mà tội phạm mạng sử dụng để truy cập mạng và dữ liệu quan trọng. Sau khi các tệp đính kèm hoặc liên kết này được nhấp vào, ransomware hoặc phần mềm độc hại khác có thể được tải xuống máy của nạn nhân và từ đó, tin tặc có thể xâm nhập và bắt đầu lây nhiễm toàn bộ mạng.

Điều này phụ thuộc nhiều vào sự hiểu biết và đôi khi cũng do sơ suất, đó là lý do tại sao mọi hướng dẫn để ngăn chặn tấn công ransomware sẽ khuyến nghị cần phải trang bị kỹ năng. Để an toàn, tốt hơn nên triển khai hệ thống quản lý truy cập đặc quyền (Privileged Access Management - PAM) để khi một thiết bị bị xâm phạm, thiệt hại chỉ giới hạn ở thiết bị đó.

Truy cập thiết bị từ xa

Các quản trị viên hệ thống thường dựa vào giao thức máy tính từ xa (RDP) để cấu hình các máy trạm riêng lẻ mà họ không cần truy cập vật lý vào thiết bị đích. Điều này cho phép các nhóm quản trị hệ thống và CNTT giải quyết các vấn đề khác nhau của máy trạm ngay cả từ bên kia thế giới.

Tuy nhiên, RDP cũng có thể được sử dụng như một cách để các bên không được phép xâm nhập vào CSDL. Điều này đặc biệt đúng đối với các hệ thống được thiết lập không đúng cách cũng như đối với những hệ thống không triển khai xác thực đa yếu tố để xác nhận danh tính người dùng.

Các trang web bị lâynhiễm

Một số trang web chứa phần mềm tống tiền giả mạo là các trang web hợp pháp, chờ người dùng truy cập để họ có thể tải phần mềm độc hại lên thiết bị của mình. Nạn nhân có thể được dẫn đến trang web lừa đảo thông qua email, như đã đề cập trước đó, và thậm chí thông qua phương tiện truyền thông xã hội. Một lần nữa, hướng dẫn người dùng và xác thực hai yếu tố (2FA) là rất quan trọng để ngăn chặn các cuộc tấn công ransomware. Mặt khác, việc triển khai hệ thống PAM sẽ an toàn hơn nên thiệt hại chỉ giới hạn ở một thiết bị bị xâm phạm.

Tại sao sự cố ransomware ngày càng tăng?

Sự cố ransomware không phải là mới. Tuy nhiên, chúng đã trở nên phổ biến trong những năm gần đây do các vấn đề sau:

Có động cơ mạnh mẽ hơn. Các tổ chức trên toàn thế giới phụ thuộc vào dữ liệu. Không có dữ liệu hoặc các hệ thống quản lý dữ liệu đó có thể dẫn đến sự gián đoạn nghiêm trọng về dịch vụ và doanh thu. Điều này có nghĩa là nhiều tổ chức sẵn sàng trả phí đòi tiền chuộc khi các cuộc tấn công ransomware thành công. Những thành công này lại thúc đẩy tội phạm mạng tiếp tục các hoạt động bất hợp pháp như vậy.

Sự thay đổi trong văn hóa làm việc. Ngày càng có nhiều người làm việc tại nhà hơn so với trước năm 2020. Mặc dù có lợi về nhiều mặt, nhưng việc đảm bảo an ninh từ xa của tổ chức cũng gặp khó khăn. Điều này đã dẫn đến sự gia tăng các sự cố ransomware trong những năm gần đây.

Ít rủi ro đối với tội phạm mạng hơn. Rủi ro pháp lý mà tội phạm mạng sẽ phải đối mặt khi tấn công ransomware là tương đối thấp. Ngày càng có nhiều yêu cầu thanh toán tiền chuộc bằng tiền điện tử, do đó việc phát hiện và bắt giữ tội phạm mạng gặp nhiều khó khăn hơn.

Để bảo vệ tổ chức của mình khỏi ransomware

Sao lưu dữ liệu trên nhiều nguồn, triển khai các phương pháp an ninh mạng thực tiễn nhất và có hướng dẫn bảo vệ ransomware chuẩn là một khởi đầu tốt để ngăn chặn hầu như tất cả các cuộc tấn công ransomware trở nên thảm khốc.

Để bảo vệ tổ chức tốt hơn, thì nên thực hiện cách tiếp cận bảo vệ theo lớp để ngăn chặn tin tặc ransomware ở mỗi giai đoạn tấn công của chúng. Tuy nhiên, điều đó đòi hỏi nhiều giải pháp và có thể khá tốn kém. Một cách là tìm kiếm giải pháp tất cả trong một tích hợp nhiều mô-đun, như Mamori.io, để bạn có thể tiết kiệm cả chi phí và giảm phức tạp của việc tích hợp./.