Tấn công mã độc ransomware dưới dạng dịch vụ ngày càng gia tăng

Bảo Bình| 19/11/2021 11:31
Theo dõi ICTVietnam trên

Hãng bảo mật Sophos tin rằng trong năm 2022 và cả sau này, mô hình kinh doanh ransomware dưới dạng dịch vụ sẽ tiếp tục đe dọa các doanh nghiệp (DN) và tổ chức, vì mô hình này cho phép tội phạm xây dựng ransomware và tiếp tục cải thiện sản phẩm, đồng thời cung cấp cho các nhóm tội phạm khác và kiếm lời.

Theo một báo cáo mới của công ty an ninh mạng Sophos có trụ sở tại Anh, các cuộc tấn công mã độc ransomware dưới dạng dịch vụ (ransomware-as-a-service - RaaS) đã trở nên phổ biến hơn trong 18 tháng qua. Trong số hàng trăm vụ tấn công bằng ransomware mà Sophos đã điều tra trong thời gian đó, gần 60% là do các nhóm tội phạm ransomware-as-a-service gây ra.

Mô hình kinh doanh của RaaS

Với hình thức tấn công mã độc RaaS, một nhóm tội phạm sẽ xây dựng mã độc và bán nó cho một nhóm khác để sử dụng những mã độc ransomware này và xâm nhập vào một DN hoặc tổ chức dễ bị tấn công. Theo các chuyên gia bảo mật, dạng tấn công ransomware dưới dạng dịch vụ này đang ngày càng trở nên tinh vi. 

Trong hai năm qua, Sophos đã quan sát thấy xu hướng tấn công này ngày càng tăng, các nhà phát triển phần mềm độc hại cho những kẻ tấn công thuê mã của họ để thực hiện hành vi phạm pháp là đột nhập vào mạng của các DN và chiếm giữ hệ thống hoặc dữ liệu của họ làm con tin, cho đến khi nạn nhân trả tiền chuộc.

Thậm chí, RaaS còn là một mô hình bán mã độc dựa trên đăng ký thuê bao, cho phép các chi nhánh trong nhóm tội phạm sử dụng các công cụ ransomware đã được phát triển để thực hiện các cuộc tấn công. RaaS tương tự như mô hình kinh doanh phần mềm như một dịch vụ (SaaS). Bởi vì, giống như các dạng dịch vụ được quản lý phổ biến nhất, RaaS có thể bao gồm dịch vụ hỗ trợ công nghệ 24/24 và các diễn đàn người dùng dành riêng để tận dụng tối đa ứng dụng. 

Người mua có thể có được “giải pháp” theo một số cách, bao gồm đăng ký hàng tháng, phí giấy phép một lần hoặc chia sẻ lợi nhuận với nhà cung cấp phần mềm. Vì vậy, giống như tất cả các giải pháp SaaS, người dùng RaaS không cần phải có kỹ năng hoặc thậm chí có kinh nghiệm để sử dụng thành thạo công cụ. Do đó, các giải pháp RaaS trao quyền cho những tin tặc mới nhất thực hiện các cuộc tấn công mạng rất tinh vi.

Đối với tác giả phần mềm độc hại, mô hình kinh doanh này cho phép họ mở rộng quy mô thu nhập từ một phần mềm mã độc, đồng thời chịu rủi ro cá nhân hơn so với việc tự sử dụng phần mềm độc hại để gây ra cuộc tấn công. Cung cấp phần mềm cho người khác sẽ loại những tác giả này khỏi tội cuối cùng bằng cách nhờ người khác thực hiện hành vi đòi tiền chuộc.

Tuy nhiên, dù dưới hình thức nào, RaaS cũng có một mục tiêu chung: tấn công mạng và gây ra tình trạng hỗn loạn kỹ thuật số và thu về lợi nhuận khổng lồ trong quá trình này. Đó là lý do chính khiến doanh thu của ransomware tăng vọt lên mức ước tính 20 tỷ USD ở Mỹ vào năm ngoái, theo Cybersecurity Ventures.

Các giải pháp RaaS trả cổ tức rất cao cho các chi nhánh của họ. Nhu cầu tiền chuộc trung bình đã tăng 33% kể từ quý 3/2019, một số chi nhánh kiếm được tới 80% mỗi lần thanh toán tiền chuộc.

Báo cáo của Sophos lưu ý rằng một số nhà phát triển phần mềm độc hại thậm chí còn tạo ra hướng dẫn (playbook) riêng về các cuộc tấn công của họ và cung cấp cho các nhóm trong tổ chức. Kết quả là, các nhóm tấn công khác nhau sẽ thực hiện các cuộc tấn công rất giống nhau. Càng có nhiều lập trình viên chuyên tạo ransomware cho thuê mã độc và cơ sở hạ tầng độc hại của họ cho các chi nhánh của bên thứ ba, thì quy mô và phạm vi các phương thức phân phối và tấn công bằng ransomware sẽ càng lớn.

Tấn công mã độc ransomware dưới dạng dịch vụ ngày càng gia tăng - Ảnh 1.

Mô hình của lối tấn công Ransomware dưới dạng dịch vụ (RaaS). Ảnh: Virus Bulletin

RaaS giúp tội phạm mạng dễ dàng xâm nhập và đòi tiền chuộc hơn

Có mặt trên trang web đen (dark web) từ khoảng năm 2016, RaaS đã nổi lên nhanh chóng kể từ đó và là một phương tiện truyền bá ransomware. Trong khi đó, chuỗi cung ứng toàn cầu, được tạo thành từ nhiều đối tác độc lập thuộc mọi quy mô và mức độ tinh vi về công nghệ, đặc biệt dễ bị tấn công. 

Các nhà sản xuất, nhà phân phối và nhà bán lẻ lớn có thể nghĩ rằng mình an toàn khi đã chi hàng triệu USD cho các biện pháp an ninh chặt chẽ trong chính ngôi nhà của họ, nhưng chỉ một nhà cung cấp nhỏ nhất và vụn vặt nhất cũng có thể đóng vai trò là cánh cửa dẫn đến vô số dữ liệu nhạy cảm về khách hàng bị đánh cắp. Theo một số ước tính, 2/3 tổng số các cuộc tấn công mạng hiện đang đến qua chuỗi cung ứng.

Với việc RaaS giúp tội phạm mạng dễ dàng xâm nhập và đòi tiền chuộc hơn, người ta sẽ nghĩ rằng các công ty tư nhân và cơ quan chính phủ sẽ đặc biệt quan tâm đến việc bảo vệ dữ liệu của họ. Nhưng sự bùng nổ của các cuộc tấn công ransomware trong những năm gần đây cho thấy rằng không phải vậy. Chỉ tính riêng trong năm 2021, các nạn nhân là những tổ chức rất lớn, như một công ty đường ống dẫn dầu, nhà máy đóng gói thịt, nhà phân phối hóa chất, nhà sản xuất ô tô. Dường như không thể biết nạn nhân thuộc những đối tượng nào - chỉ là tất cả các hệ thống đều dễ bị tổn thương trước một hình thức tấn công đã trở nên dễ dàng đến mức đáng báo động.

Một ví dụ về trường hợp tấn công này chính là Conti, một “thương hiệu” của kiểu tấn công ransomware-as-a-service. Hồi tháng 5/2021, FBI cho biết Conti đã tấn công 16 mạng y tế. Đây là loại ransomware-as-a-service phổ biến nhất được triển khai trong thời gian đó. Conti đã nhắm mục tiêu vào cơ quan thực thi pháp luật, dịch vụ y tế khẩn cấp, trung tâm điều phối và các thành phố. FBI cho hay có hơn 400 tổ chức trên toàn thế giới bị "các tác nhân Conti" nhắm mục tiêu. 

Lús đó, cơ quan điều hành dịch vụ Y tế của Ireland đã phải đóng cửa các mạng của họ sau một cuộc tấn công liên quan đến Conti. Cuộc tấn công đòi tiền chuộc đã làm tê liệt các dịch vụ chẩn đoán, làm gián đoạn quá trình xét nghiệm COVID-19 và buộc các bệnh viện phải hủy các cuộc hẹn. Bộ trưởng phụ trách chính phủ điện tử của Ireland, Ossian Smyth, mô tả đây có thể là tội phạm mạng quan trọng nhất tấn công Ireland.

RaaS sẽ tiếp tục là mối đe dọa đối với nền tảng an toàn thông tin

Các thiết bị di động, đã bùng nổ về số lượng và ứng dụng trong thập kỷ qua, là những vật trung gian lây nhiễm phổ biến. Padmini Ranganathan, Phó chủ tịch toàn cầu về chiến lược sản phẩm của SAP cho biết: “Giả sử một nhà thầu phụ được thuê để xây dựng một tiện ích mở rộng phần mềm dựa trên API cho khách hàng. Làm thế nào để bạn biết mã của họ an toàn? Hay họ đang bảo vệ các thiết bị mà họ sử dụng ”

Chuyên gia CNTT cho biết không nhất thiết phải đầu tư tốn kém mới được đảm bảo an toàn. Các tổ chức cần có những nhân viên có nhận thức về nguy cơ vi phạm thông qua bất kỳ hệ thống và thiết bị nào. Thường thì một cuộc tấn công thành công có thể do sự bất cẩn của con người chứ không phải do lỗ hổng trong công nghệ.

Tất nhiên, các kỹ thuật của tin tặc sẽ tiếp tục phát triển. Cuộc tấn công bằng ransomware ngày nay có thể sẽ diễn ra ở một hình thức hoàn toàn mới trong những năm tới. Công nghệ sẽ cố gắng bắt kịp với mối đe dọa luôn thay đổi, nhưng chìa khóa an toàn nằm ở sự cảnh giác thường xuyên của các nhà thiết kế hệ thống và cả những người dùng bình thường nhất.

Theo Sophos, các tổ chức ngày nay khó có thể đảm bảo rằng họ an toàn nếu chỉ dựa vào các công cụ bảo mật hoặc tin tưởng họ sẽ phát hiện ra các mã độc hại. Các nhóm CNTT của DN, tổ chức cần hiểu sự phát triển của ransomware và đặc biệt là xu hướng phát triển của dạng tấn công ransomware như một dịch vụ, để phát triển các chiến lược an ninh mạng hiệu quả nhằm bảo vệ tổ chức của họ vào năm 2022 và hơn thế nữa.

Sophos đã tổng hợp dữ liệu trong báo cáo từ một phân tích thống kê về hàng trăm cuộc tấn công bằng ransomware và hàng trăm nghìn mẫu phần mềm độc hại mà các nhà nghiên cứu và nhóm phản ứng đã điều tra trong 18 tháng qua. Sophos tin rằng, trong năm 2022 và sau này, mô hình kinh doanh RaaS sẽ tiếp tục đe dọa nền an ninh mạng, vì mô hình này cho phép tội phạm xây dựng ransomware và tiếp tục cải thiện sản phẩm, đồng thời cung cấp cho các nhóm tội phạm khác và kiếm lời./.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Tấn công mã độc ransomware dưới dạng dịch vụ ngày càng gia tăng
POWERED BY ONECMS - A PRODUCT OF NEKO