Tại sao tấn công ransomware ngày càng tăng?

Hoàng Linh| 08/07/2022 05:56
Theo dõi ICTVietnam trên

Dữ liệu khách hàng và người dùng hiện là trung tâm của các hoạt động trong một tổ chức, doanh nghiệp, bao gồm hỗ trợ các giao dịch hàng ngày, tiếp thị mục tiêu, phát triển sản phẩm, hậu cần và mọi thứ khác.

Thật không may, sự phụ thuộc rộng rãi của các tổ chức vào dữ liệu có nghĩa là tội phạm mạng có động cơ lớn để đánh cắp dữ liệu thông qua việc sử dụng phần mềm độc hại được gọi là "ransomware" (mã độc phần mềm tống tiền).

Ransomware khóa người dùng hợp pháp và tổ chức của họ khỏi hệ thống dữ liệu hoặc cơ sở dữ liệu (CSDL) của họ, thường thông qua một số loại mã hóa mà chỉ kẻ tấn công mới có thể hoàn tác. Dưới đây, chúng ta sẽ tìm hiểu cách thức hoạt động của ransomware và tại sao nó lại gây nguy hiểm cho các tổ chức, doanh nghiệp.

Ransomware khóa dữ liệu của người dùng hợp pháp như thế nào?

Như đã đề cập trên đây, hầu hết các ransomware được thiết kế để khóa dữ liệu của người dùng thông qua một số loại mã hóa dữ liệu. Trong phần lớn các trường hợp, các ứng dụng ransomware cũng tự nhân bản trên các thiết bị và máy chủ khác nhau, làm giảm lượng dữ liệu có thể được khôi phục. Những ransomware khác cũng sẽ vô hiệu hóa các tính năng bảo mật mạng và xóa các bản sao lưu tự động để buộc nạn nhân phải thanh toán tiền chuộc.

Nếu khoản tiền chuộc như vậy được thanh toán, một khóa số sẽ được trao cho nạn nhân để phục hồi thiệt hại. Tuy nhiên, không có gì đảm bảo rằng những kẻ xấu này sẽ nhận được món hời và cả việc các tổ chức có thể truy cập lại dữ liệu của họ ngay cả khi đã trả tiền chuộc. Nếu tổ chức không sao lưu dữ liệu của mình vào một hệ thống bên ngoài, thì những vụ việc như vậy có thể trở nên thảm khốc hơn.

Ransomware lây nhiễm cho các hệ thống như thế nào?

Tin tặc ransomware có thể xâm nhập vào mạng và lây nhiễm các CSDL thông qua nhiều điểm xâm nhập khác nhau. Dưới đây là một số cách phổ biến nhất ransomware có thể chiếm đoạt dữ liệu của tổ chức.

Phương tiện lưu trữ

Ổ cứng, ổ USB và thậm chí các thiết bị ngoại vi có thể chứa phần mềm độc hại có thể trực tiếp hoặc gián tiếp tạo điều kiện cho các cuộc tấn công ransomware. Các thiết bị lưu trữ có thể chứa phần mềm độc hại mà khi được kết nối với một thiết bị, chúng sẽ tự chuyển sang thiết bị đó và sao chép qua bất kỳ mạng nào mà máy được kết nối. Các thiết bị ngoại vi có thể bị tấn công để ghi lại các lần gõ phím và các loại thông tin khác cho phép người dùng trái phép truy cập và cài đặt trực tiếp ransomware trên máy mục tiêu sau này.

Email lừa đảo

Email chứa tệp đính kèm ransomware hoặc liên kết đến trang web bị nhiễm là một trong những đầu vào phổ biến hơn mà tội phạm mạng sử dụng để truy cập mạng và dữ liệu quan trọng. Sau khi các tệp đính kèm hoặc liên kết này được nhấp vào, ransomware hoặc phần mềm độc hại khác có thể được tải xuống máy của nạn nhân và từ đó, tin tặc có thể xâm nhập và bắt đầu lây nhiễm toàn bộ mạng.

Điều này phụ thuộc nhiều vào sự hiểu biết và đôi khi cũng do sơ suất, đó là lý do tại sao mọi hướng dẫn để ngăn chặn tấn công ransomware sẽ khuyến nghị cần phải trang bị kỹ năng. Để an toàn, tốt hơn nên triển khai hệ thống quản lý truy cập đặc quyền (Privileged Access Management - PAM) để khi một thiết bị bị xâm phạm, thiệt hại chỉ giới hạn ở thiết bị đó.

Truy cập thiết bị từ xa

Các quản trị viên hệ thống thường dựa vào giao thức máy tính từ xa (RDP) để cấu hình các máy trạm riêng lẻ mà họ không cần truy cập vật lý vào thiết bị đích. Điều này cho phép các nhóm quản trị hệ thống và CNTT giải quyết các vấn đề khác nhau của máy trạm ngay cả từ bên kia thế giới.

Tuy nhiên, RDP cũng có thể được sử dụng như một cách để các bên không được phép xâm nhập vào CSDL. Điều này đặc biệt đúng đối với các hệ thống được thiết lập không đúng cách cũng như đối với những hệ thống không triển khai xác thực đa yếu tố để xác nhận danh tính người dùng.

Các trang web bị lâynhiễm

Một số trang web chứa phần mềm tống tiền giả mạo là các trang web hợp pháp, chờ người dùng truy cập để họ có thể tải phần mềm độc hại lên thiết bị của mình. Nạn nhân có thể được dẫn đến trang web lừa đảo thông qua email, như đã đề cập trước đó, và thậm chí thông qua phương tiện truyền thông xã hội. Một lần nữa, hướng dẫn người dùng và xác thực hai yếu tố (2FA) là rất quan trọng để ngăn chặn các cuộc tấn công ransomware. Mặt khác, việc triển khai hệ thống PAM sẽ an toàn hơn nên thiệt hại chỉ giới hạn ở một thiết bị bị xâm phạm.

Tại sao sự cố ransomware ngày càng tăng?

Sự cố ransomware không phải là mới. Tuy nhiên, chúng đã trở nên phổ biến trong những năm gần đây do các vấn đề sau:

động cơ mạnh mẽ hơn. Các tổ chức trên toàn thế giới phụ thuộc vào dữ liệu. Không có dữ liệu hoặc các hệ thống quản lý dữ liệu đó có thể dẫn đến sự gián đoạn nghiêm trọng về dịch vụ và doanh thu. Điều này có nghĩa là nhiều tổ chức sẵn sàng trả phí đòi tiền chuộc khi các cuộc tấn công ransomware thành công. Những thành công này lại thúc đẩy tội phạm mạng tiếp tục các hoạt động bất hợp pháp như vậy.

Sự thay đổi trong văn hóa làm việc. Ngày càng có nhiều người làm việc tại nhà hơn so với trước năm 2020. Mặc dù có lợi về nhiều mặt, nhưng việc đảm bảo an ninh từ xa của tổ chức cũng gặp khó khăn. Điều này đã dẫn đến sự gia tăng các sự cố ransomware trong những năm gần đây.

Ít rủi ro đối với tội phạm mạng hơn. Rủi ro pháp lý mà tội phạm mạng sẽ phải đối mặt khi tấn công ransomware là tương đối thấp. Ngày càng có nhiều yêu cầu thanh toán tiền chuộc bằng tiền điện tử, do đó việc phát hiện và bắt giữ tội phạm mạng gặp nhiều khó khăn hơn.

Để bảo vệ tổ chức của mình khỏi ransomware

Sao lưu dữ liệu trên nhiều nguồn, triển khai các phương pháp an ninh mạng thực tiễn nhất và có hướng dẫn bảo vệ ransomware chuẩn là một khởi đầu tốt để ngăn chặn hầu như tất cả các cuộc tấn công ransomware trở nên thảm khốc.

Để bảo vệ tổ chức tốt hơn, thì nên thực hiện cách tiếp cận bảo vệ theo lớp để ngăn chặn tin tặc ransomware ở mỗi giai đoạn tấn công của chúng. Tuy nhiên, điều đó đòi hỏi nhiều giải pháp và có thể khá tốn kém. Một cách là tìm kiếm giải pháp tất cả trong một tích hợp nhiều mô-đun, như Mamori.io, để bạn có thể tiết kiệm cả chi phí và giảm phức tạp của việc tích hợp./.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Tại sao tấn công ransomware ngày càng tăng?
POWERED BY ONECMS - A PRODUCT OF NEKO