Cách thức tấn công của Ransomware.
Mã độc tống tiền là gì?
Mã độc tống tiền là phần mềm độc hại (malware) mã hóa hoặc giữ truy cập dữ liệu làm con tin để đổi lấy tiền chuộc. Mã độc đe dọa công bố, chặn hoặc làm hỏng dữ liệu hoặc ngăn người dùng có thể sử dụng hay truy cập vào máy tính trừ khi họ đáp ứng yêu cầu của kẻ tấn công. Ngày nay, mã độc tống tiền thường được gửi qua các email lừa đảo (phishing). Máy tính người dùng sẽ bị nhiễm virus sau khi mở các tệp/file đính kèm chứa sẵn mã độc. Mã độc cũng có thể lây lan qua tải xuống theo ổ đĩa, điều này xảy ra khi người dùng truy cập vào trang web bị nhiễm độc. Mã độc trên trang web đó được tải xuống và cài đặt vào máy mà người dùng không nhận ra.
Tấn công phi kỹ thuật thường đóng vai trò thiết yếu trong một cuộc tấn công mã độc. Đó là khi kẻ tấn công cố gắng thao túng người khác tiết lộ thông tin bí mật. Một hình thức phổ biến của tấn công phi kỹ thuật là gửi email hoặc tin nhắn văn bản nhằm đe dọa mục tiêu phải chia sẻ thông tin nhạy cảm, mở tệp chứa mã độc hoặc bấm vào liên kết dẫn tới trang web độc hại.
Hiểu rõ các rủi ro
Đội ngũ nghiên cứu an ninh mạng và mối đe dọa toàn cầu của FortiGuard Labs đã ghi nhận 10.666 biến thể mã độc tống tiền mới trong 6 tháng đầu năm 2022 so với con số 5.400 biến thể trong nửa cuối năm 2021. Dưới đây là một số thách thức phổ biến mà theo chuyên gia bảo mật của Fortinet - Aamir Lakhani và các tổ chức đang phải đối mặt, có thể khiến các tổ chức dễ bị tấn công hơn trước các sự cố mạng.
Nhân viên thiếu kiến thức về việc sử dụng mạng an toàn: con người là một yếu tố quan trọng trong hầu hết các sự cố bảo mật. Ngoài việc không thể nhận biết các dấu hiệu của mã độc tống tiền, việc nhân viên thiếu kiến thức chung về an ninh mạng có thể khiến tổ chức gặp nhiều rủi ro hơn. Theo Báo cáo điều tra vi phạm dữ liệu (DBIR) năm 2022 của Verizon (tập đoàn viễn thông đa quốc gia của Mỹ), 82% các vụ vi phạm xảy ra trong năm qua có liên quan đến yếu tố con người.
Chính sách mật khẩu yếu: không đủ hoặc không có chính sách liên quan đến thông tin xác minh danh tính của nhân viên có thể làm tăng khả năng tổ chức phải đối mặt với các vụ vi phạm bảo mật. Thông tin xác thực bị xâm phạm có liên quan đến gần 50% các cuộc tấn công.
Các quy trình và việc giám sát bảo mật không đầy đủ: không một công cụ đơn lẻ nào có thể cung cấp mọi thứ cần thiết cho nhóm chuyên trách bảo mật để giám sát và bảo vệ tổ chức khỏi các sự cố mạng tiềm ẩn như mã độc tống tiền. Phương pháp tiếp cận bảo mật theo lớp có thể giúp quản lý rủi ro một cách khá toàn diện cho doanh nghiệp.
Thiếu hụt nhân sự chuyên trách bảo mật và công nghệ thông tin: cần phải có những cá nhân có các kỹ năng phù hợp trong việc hỗ trợ các nỗ lực giám sát và giảm thiểu rủi ro nhằm chống lại tội phạm mạng một cách hiệu quả. Tuy nhiên, khoảng cách về kỹ năng an ninh mạng đặt ra thách thức lớn cho các lãnh đạo: làm thế nào để thu hút và giữ chân nhân tài mới đồng thời đảm bảo các thành viên hiện tại có được các cơ hội đào tạo và nâng cao kỹ năng cần thiết?
Các cuộc tấn công mã độc tống tiền gần đây cho thấy điều gì?
Ransomware ngày càng trở nên tinh vi hơn, đòi tiền chuộc nhiều hơn, ảnh hưởng đến các công ty trong mọi ngành nghề ở mọi khu vực. Các cuộc tấn công mã độc tống tiền nổi tiếng gần đây có thể kể đến như Colonial Pipeline, JBS, và vô số các sự cố mã độc tống tiền khác xảy ra mà không được đưa lên truyền thông. Tuy nhiên, nhiều cuộc tấn công hoàn toàn có thể được ngăn chặn bằng cách áp dụng các giải pháp an ninh mạng mạnh, bao gồm việc liên tục đào tạo nâng cao nhận thức an ninh mạng cho nhân viên, đồng thời tập trung vào triển khai cách thức ZTNA (Zero Trust Networking Access - truy cập không tin cậy tập trung vào việc kiểm soát quyền truy cập vào các ứng dụng) và bảo mật endpoint (thiết bị đầu cuối).
5 phương pháp bảo vệ tốt nhất khỏi mã độc tống tiền
Việc phát hiện mã độc tống tiền hiệu quả đòi hỏi sự kết hợp giữa đào tạo và công nghệ. Chuyên gia bảo mật của Fortinet - Aamir Lakhani thay mặt đội ngũ nghiên cứu đưa ra khuyến nghị những phương thức giúp phát hiện và ngăn chặn sự phát triển của các cuộc tấn công mã độc tống tiền hữu hiệu nhất hiện nay:
Một là, hướng dẫn cho nhân viên về các dấu hiệu nổi bật của mã độc tống tiền. Việc đào tạo nâng cao nhận thức về bảo mật cho lực lượng lao động ngày nay là điều bắt buộc và sẽ giúp các tổ chức phòng thủ chống lại một loạt các mối đe dọa ngày càng phát triển. Hướng dẫn nhân viên cách phát hiện các dấu hiệu của mã độc tống tiền, chẳng hạn như email được thiết kế giống như email đến từ các doanh nghiệp đáng tin cậy hay cách nhận diện liên kết bên ngoài và tệp đính kèm đáng ngờ.
Hai là, dùng phương thức dụ dỗ và ngăn chặn những kẻ tấn công. Honeypot là phương thức sử dụng một mồi nhử bao gồm các kho lưu trữ giả mạo các tệp được thiết kế để trông giống như các mục tiêu của những kẻ tấn công. Nhà quản trị mạng có thể phát hiện và ngăn chặn cuộc tấn công khi tin tặc đòi tiền chuộc. Phương thức bảo mật này không chỉ sử dụng các kỹ thuật và chiến thuật riêng của chính mã độc tống tiền chống lại chính nó để kích hoạt khả năng phát hiện, mà còn giúp khám phá ra các chiến thuật, công cụ và quy trình kẻ tấn công sử dụng trong mạng để nhóm chuyên trách bảo mật có thể xác định và khắc phục những lỗ hổng bảo mật đó.
Ba là, giám sát mạng và các thiết bị đầu cuối. Bằng cách tiến hành giám sát mạng liên tục, ghi lại lưu lượng truy cập đến và đi, quét file để tìm bằng chứng tấn công (chẳng hạn như việc sửa đổi không thành công), thiết lập đường cơ sở cho hoạt động được chấp nhận của người dùng, và sau đó điều tra mọi dấu hiệu bất thường. Việc triển khai các công cụ chống virus và chống mã độc tống tiền cũng rất hữu ích vì có thể sử dụng các công nghệ này để đưa vào danh sách trắng các trang web được chấp nhận. Cuối cùng, việc bổ sung các tính năng phát hiện dựa trên hành vi vào hộp công cụ bảo mật là điều cần thiết, đặc biệt khi bề mặt tấn công của tổ chức ngày càng mở rộng và những kẻ tấn công liên tục nâng cao khả năng bằng các cuộc tấn công mới, phức tạp hơn.
Bốn là, tìm hiểu những rủi ro bên ngoài. Dịch vụ DRP (Disaster Recovery Plan - Kế hoạch khắc phục thảm họa mạng) là một phần mở rộng của kiến trúc bảo mật mạng, dịch vụ này hỗ trợ các tổ chức trong việc hỗ trợ phát hiện và giảm thiểu lĩnh vực rủi ro bổ sung (rủi ro tài sản kỹ thuật số, rủi ro liên quan đến thương hiệu, các mối đe dọa ngầm và các mối đe dọa tiềm ẩn sắp xảy ra).
Năm là, tăng cường SOC-as-a-service (dịch vụ đảm bảo an toàn thông tin trên nền tảng website). Thực tế, các nhà quản trị mạng luôn nỗ lực để đi trước những kẻ tấn công. Một trong những phương pháp bảo mật hiệu quả được nhiều công ty lựa chọn là thuê các nhóm chuyên gia cung cấp dịch vụ Phát hiện và phản hồi được quản lý (MDR) và cung cấp dịch vụ Giám sát, vận hành an ninh mạng (SOC) để ứng phó với sự cố và ngăn chặn các mối đe dọa. Việc sử dụng 1 nhóm chuyên gia riêng biệt giúp đơn giản hóa quy trình công việc và việc bảo vệ công ty một cách chuyên nghiệp.
Xuân Bình