RanSomware

 

Ransomware All of views

 

Ba mươi năm kể từ cuộc tấn công ransomware đầu tiên trên thế giới, tội phạm mạng tiếp tục tấn công và giữ các tổ chức làm con tin, mã hóa độc hại các tập tin của họ và đòi tiền chuộc khổng lồ để trả lại dữ liệu an toàn. Thật vậy, trong khi tiêu đề đến và đi, Ransomware vẫn mạnh hơn bao giờ hết với nhu cầu tiền chuộc sáu và bảy con số hiện nay là phổ biến.

Bài viết này tìm hiểu các lý do đằng sau tuổi thọ của ransomware, bao gồm các yếu tố giúp nó nhanh hơn, thông minh hơn và nguy hại hơn trong những năm qua, và chúng ta phải học gì từ lịch sử này nếu chúng ta giảm thiểu rủi ro bị tấn công trong tương lai.

Nó cũng đi sâu vào ba lĩnh vực mới, nơi các xúc tua bẩn của ransomware đang bắt đầu nắm giữ, được kích hoạt bởi những thay đổi gần đây trong công nghệ và xã hội. Cuối cùng, có vẻ như các công nghệ và hành vi mà các tổ chức nên áp dụng để đảm bảo họ có khả năng phòng vệ tốt nhất chống lại ransomware.

1. Tác động của Ransomware

Ransomware là một mối đe dọa rất thực sự cho các tổ chức trên toàn thế giới. Một cuộc khảo sát độc lập gần đây với 3.100 nhà quản lý CNTT tại 12 quốc gia do Sophos ủy quyền đã tiết lộ rằng 21% các tổ chức đã bị tấn công bởi ransomware vào năm 2018. Điều gì nữa, ba trong số 10 (30%) tổ chức trở thành nạn nhân của một cuộc tấn công của ransomware có kinh nghiệm về tấn công mạng.

Tác động tài chính của ransomware là rất lớn. Khi bạn cộng lại toàn bộ chi phí khắc phục, bao gồm thời gian chết, thời gian của con người, chi phí thiết bị, chi phí cho hoạt động mạng, chi phí cơ hội bị mất và tiền chuộc…, số tiền cuối cùng cho mỗi nạn nhân là nước mắt của chúng ta.

Chi phí để khắc phục một cuộc tấn công ransomware:

Với phạm vi của ransomware vươn tới và chi phí cao cho một cuộc tấn công, câu hỏi đặt ra là: Tại sao nó lại dai dẳng đến vậy? Tại sao, bất chấp tất cả những tiến bộ của chúng ta trong công nghệ, chúng ta có thể phá hủy nó không? Tại sao nó có thể có một tác động tàn phá cao đến như vậy?

Để trả lời những câu hỏi này, chúng ta cần tìm hiểu làm thế nào chúng ta đã để đến tình huống ngày hôm nay. Điều này đòi hỏi chúng ta phải quay ngược thời gian và xem làm thế nào - và quan trọng là tại sao - ransomware đã phát triển qua nhiều năm như thế nào.

2. Sự phát triển của Ransomware

Ransomware không phải là mới. Trên thực tế, cuộc tấn công ransomware trên mạng đầu tiên đã được phát hành vào tháng 12 năm 1989. Tiến sĩ Joseph V. Popp đã gửi đi 20.000 đĩa mềm bị nhiễm Trojan Thông tin về AIDS. Chương trình này được coi là một hệ thống chuyên gia để tư vấn cho bạn về nguy cơ nhiễm HIV và AIDS, nhưng sau khi bạn chạy nó 90 lần, nó đã làm hỏng đĩa cứng của bạn.

Những người trong chúng ta lúc đó sẽ nhớ rằng vào năm 1989, mọi người đã tắt máy tính vào cuối ngày, vì vậy lần khởi động lại lần thứ 90 thường diễn ra bốn đến năm tháng sau khi chạy chương trình lần đầu tiên. Sau đó, người dùng đã nhận được một tờ tiền chuộc yêu cầu US $ 189 - cho một năm sử dụng chương trình - hoặc $ 378 cho việc sử dụng trọn đời. Thanh toán được thông qua Ngân hàng cho một công ty ở Panama.

Thật không may cho Tiến sĩ Popp, cypher được sử dụng là tầm thường để bẻ khóa và các công cụ giải mã miễn phí nhanh chóng trở nên có sẵn. Thêm vào đó, ý tưởng gửi thanh toán qua Ngân hàng tới Panama không bắt đầu được. Kết quả là, doanh nghiệp đã không tạo ra bất kỳ doanh thu, và thay vào đó đưa anh ta tòa án.

Có ba rào cản chính mà tội phạm mạng cần phải vượt qua để thực hiện một cuộc tấn công ransomware thành công: đưa ransomware vào các thiết bị nạn nhân; mã hóa và giải mã các tập tin; và nhận thanh toán.

Trong khi Tiến sĩ Popp đã xác định được một cách hiệu quả, mặc dù không thực sự có khả năng mở rộng, cách tiếp cận để đe dọa các thiết bị nạn nhân (ông phải viết 20.000 đĩa mềm đó bằng tay), ông đã rơi vào phần mã hóa và quy trình thanh toán.

• Khai thác cơ hội (Exploiting opportunities)

Cuộc tấn công Trojan thông tin về AIDS đã có một dấu hiệu thành công: nó đã tận dụng cơ hội môi trường rộng lớn hơn, cụ thể là mối quan tâm rộng rãi xung quanh HIV / AIDS tại thời điểm đó. Kể từ đó, tội phạm mạng đã tiếp tục lợi dụng sự phát triển trong cả công nghệ và xã hội rộng lớn hơn để phát triển và hoàn thiện các cuộc tấn công ransomware của họ, bao gồm:

• The rise of free email services like AOL and Yahoo: Các dịch vụ này cho phép tin tặc tạo địa chỉ email không giới hạn, không thể truy cập lần đầu tiên, dẫn đến việc bắt đầu các chiến dịch spam quy mô lớn được sử dụng để truyền bá ransomware
• The move from dial-up to ADSL connections: cho phép nhiều người sử dụng internet hơn và trong thời gian dài hơn, đã cho kẻ gian một khu vực mục tiêu lớn hơn cho các cuộc tấn công của họ.
• Geo-targeting abilities: cho phép tội phạm mạng tập trung vào các cuộc tấn công của họ vào một đối tượng, khu vực cụ thể quốc gia / khu vực. Nhắm mục tiêu theo địa lý tăng tỷ lệ thành công bằng cách cho phép kẻ tấn công khai thác các chủ đề nóng cục bộ trong các cuộc tấn công email đồng thời tùy chỉnh ngôn ngữ cho đối tượng của họ.
• Prepaid credit cards: Đã cho kẻ gian một cách dễ dàng ẩn danh để mọi người trả tiền đòi tiền chuộc.
• The availability of cryptocurrencies:  Đặc biệt là Bitcoin, đã cho bọn tội phạm một cách đáng tin cậy và dễ tiếp cận khác để nhận thanh toán.

Kết quả của việc khai thác các cơ hội này (và các cơ hội khác), đến năm 2010, tội phạm mạng đã giải quyết được ba thách thức chính đối với ransomware, cho phép nó trở thành một hình thức thương mại khả thi. Bằng ba bước thực hiện như sau:

• Installing the ransomware
• Encrypting and decrypting the files
• Receiving payment

 

• Cuộc chơi mèo vờn chuộc (Playing cat and mouse)

Khi ransomware trở thành xu hướng thương mại khả thi, tội phạm mạng tập trung nỗ lực của họ vào việc tinh chỉnh và tăng cường các cuộc tấn công của họ để tăng doanh thu. Cái này bao gồm:

• Branding: Tội phạm mạng hiểu biết nhận ra rằng mọi người sẽ chỉ trả tiền nếu có khả năng cao dữ liệu của họ sẽ được khôi phục. Do đó, một công cụ giải mã đáng tin cậy là điều cần thiết để ransomware trở thành công cụ tạo doanh thu liên tục. Đồng thời, không phải tất cả các công cụ giải mã đều như nhau. Các người điều khiển Ransomware với một công cụ hiệu quả đã không muốn làm hỏng bởi sự liên kết với những người kém hiệu quả hơn. Điều này khiến họ sử dụng một kỹ thuật tiếp thị mà ở đó là thông lệ trong thế giới thương mại trong nhiều thập kỷ: xây dựng thương hiệu. Một tìm kiếm nhanh trên internet về tên ransomware thông báo cho nạn nhân về khả năng lấy lại dữ liệu của họ nếu họ trả tiền.
• Ransomware-as-a-service: Nơi các chuyên gia ransomware tìm thấy cơ hội kinh doanh bằng cách cung cấp các gói phần mềm ransomware những kẻ lừa đảo thiếu kiến thức mã hóa và hệ thống thanh toán, nhưng lại giỏi phân phối các mối đe dọa này đến nhiều hơn với các con mồi. Dịch vụ này bao gồm phần mềm độc hại và thanh toán phụ trợ thông qua một trang web trung tâm, đổi lại 30% doanh thu nhận được.
• High impact ransomware: cho phép các tác nhân ransomware cải thiện lợi tức đầu tư (ROI) của họ bằng cách nhắm đến số ít nạn nhân bị tấn công để làm tê liệt. Các cuộc tấn công nhắm mục tiêu đòi hỏi ít nỗ lực hơn và ít bị phơi bày hơn, trong khi bằng cách tăng tác động của cuộc tấn công, chúng cũng làm tăng xu hướng  đến nạn nhân cần phải trả.

Đồng thời cùng thời điểm này, ngành công nghiệp an ninh mạng đang bận rộn phát triển các công nghệ phòng thủ, xác định cách phát hiện và ngăn chặn các cuộc tấn công của ransomware để đi trước tội phạm mạng.

 

• Ransomware evolved: Ryuk

Ryuk được cho là hình thức ransomware phát triển nhất hiện nay, được đặt theo tên của một nhân vật trong bộ truyện tranh Death Note. Các tác nhân đằng sau Ryuk thường nhắm mục tiêu các tổ chức không thể chịu được bất kỳ thời gian chết nào, chẳng hạn như báo chí, thông minh đô thị và tiện ích thanh toán khác, để tăng khả năng thanh toán, và yêu cầu sáu và bảy con số tiền chuộc.

Để giải quyết các công nghệ chống ransomware, những đối thủ tích cực này kết hợp các kỹ thuật tấn công tiên tiến với hack tương tác, thực hành. Các cuộc tấn công Ryuk thường bắt đầu bằng một email spam chứa tệp đính kèm độc hại. Tệp đính kèm kích hoạt Emotet hoặc TrickBot tấn công, cho phép tội phạm mạng xâm nhập vào mạng nạn nhân.

Khi vào mạng, tin tặc đánh cắp thông tin đăng nhập và leo thang các đặc quyền của chúng cho đến khi chúng tạo một người dùng quản trị mới. Với đặc quyền quản trị viên leo thang của họ, các tin tặc di chuyển ngang qua mạng bằng nhiều kỹ thuật bao gồm Remote Desktop (RDP), khảo sát Active Directory và xóa mọi bản sao lưu.

Với mạng lưới phòng thủ an toàn của nạn nhân đã hết tác dụng, họ cố gắng vô hiệu hóa các sản phẩm an ninh mạng trước khi cuối cùng phát hành ransomware Ryuk, mã hóa các tập tin và yêu cầu thanh toán tiền chuộc khổng lồ.

3. What’s next for ransomware?

Bài học lớn mà chúng ta có thể rút ra từ việc nhìn vào lịch sử của ransomware là tội phạm mạng sẽ tiếp tục khai thác những thay đổi trong công nghệ và xã hội để gây ra các cuộc tấn công ransomware của họ. Về bản chất, ransomware sẽ tiếp tục phát triển. Với ý nghĩ đó, hãy cùng khám phá ba khu vực mới nơi các xúc tua bẩn thỉu của ransomware bắt đầu vươn tới, được thúc đẩy bởi những cơ hội do những tiến bộ công nghệ mang lại.

• Public cloud ransomware

Đầu tiên trong danh sách là phần mềm ransomware công khai, có nghĩa là phần mềm ransomware nhắm mục tiêu và mã hóa dữ liệu được lưu trữ trong các dịch vụ đám mây công cộng như Amazon Web Services (AWS), Microsoft Azure (Azure) và Google Cloud Platform (GCP). Việc áp dụng đám mây công cộng đang phát triển, với các tổ chức sử dụng nó theo nhiều cách.

Đối với nhiều người, nó chỉ đơn giản là sự thay thế cho các máy chủ tại chỗ mà họ đã sử dụng để lưu trữ dữ liệu. Trong khi các nhân viên trước đây sẽ lưu các tệp vào máy chủ ở văn phòng, thì bây giờ họ lưu chúng vào các máy chủ trong đám mây. Một trường hợp sử dụng phổ biến khác là để chạy các ứng dụng web, chẳng hạn như chạy một trang web hoặc cung cấp các dịch vụ dựa trên web. Trường hợp sử dụng chính thứ ba cho đám mây công cộng là phát triển phần mềm. Các kỹ sư phần mềm đang ngày càng viết mã trên các máy chủ đám mây công cộng vì việc quay vòng một máy chủ trong đám mây nhanh hơn và dễ dàng hơn so với việc xây dựng các môi trường vật lý.

Đám mây công cộng cung cấp rất nhiều lợi thế. Tuy nhiên, khi nói đến bảo mật, có rất nhiều sự không chắc chắn và nhầm lẫn xung quanh trách nhiệm. Nhiều người không biết phần nào của quyền sở hữu bảo mật cùng với các nhà cung cấp đám mây công cộng và phần nào phía trách nhiệm với khách hàng. Sự không chắc chắn này dẫn đến các lỗ hổng trong bảo vệ, đưa ra các tác nhân ransomware với một kho tàng dữ liệu quý giá và chín muồi để mã hóa.

Sức hấp dẫn của đám mây công cộng không dừng lại ở đó. Sự gia tăng nhanh chóng về khối lượng và giá trị của dữ liệu được lưu trữ trên đám mây mang đến cho tội phạm mạng một mục tiêu lớn hơn để theo đuổi. Ngoài ra, cấu hình yếu và truy cập công khai vào tài nguyên đám mây (có thể là các thùng lưu trữ, cơ sở dữ liệu, tài khoản người dùng, v.v.) giúp tội phạm dễ dàng vi phạm cơ sở dữ liệu mở.

Bước đầu tiên để bảo vệ bạn khỏi ransomware công khai là hiểu mô hình trách nhiệm chia sẻ đám mây công cộng. Nói tóm lại, điều này có nghĩa là bạn có trách nhiệm bảo mật mọi thứ bạn đưa vào đám mây, bao gồm tất cả dữ liệu của bạn, cũng như quyền truy cập vào đám mây công cộng. Các nhà cung cấp đám mây công cộng chịu trách nhiệm về bảo mật của đám mây. Điều này bao gồm bảo mật của cơ sở vật chất nơi đặt các trung tâm dữ liệu.

Bạn nên áp dụng các nguyên tắc cơ bản tương tự cho dữ liệu dựa trên đám mây của mình như dữ liệu tại chỗ của bạn. Vì vậy, giống như bạn sử dụng bảo vệ máy chủ và tường lửa tại cơ sở, vì vậy bạn nên sử dụng bảo vệ máy chủ và tường lửa để bảo mật dữ liệu trong đám mây công cộng. Thêm vào đó, bạn cần biết những gì bạn đã có trong đám mây công cộng, vì vậy bạn có thể chắc chắn rằng nó đã bảo mật.

• Service provider attacks

Khu vực thứ hai mà chúng tôi hy vọng sẽ thấy sự tăng trưởng các cuộc tấn công ransomware nhà cung cấp dịch vụ. Khi công nghệ và các mối đe dọa trở nên phức tạp hơn bao giờ hết, các công ty đang ngày càng cần gia công CNTT cho họ. Hoặc các dịch vụ CNTT mà các nhà cung cấp dịch vụ thực hiện cho khách hàng, quản lý tất cả các khía cạnh của CNTT cho khách hàng của họ, từ máy in đến bảo mật. Để làm điều này, họ cần có quyền truy cập trực tiếp vào hệ thống mạng khách hàng.

Theo truyền thống, các tác nhân ransomware nhắm vào một tổ chức tại một thời điểm. Một nạn nhân, một tiền chuộc. Tuy nhiên, bao giờ cảnh báo về các cơ hội tăng ROI của mình, tội phạm mạng đã nhận ra rằng việc nhắm mục tiêu MSP cho phép họ giữ nhiều tổ chức làm con tin với một cuộc tấn công. Một cuộc tấn công, nhiều tiền chuộc.

Câu trả lời ở đây là không giữ an ninh trong phạm vị của bạn. Các managed service providers (MSP) chuyên về bảo mật cung cấp một trình độ chuyên môn rất cao, khó có thể hiện diện tại nhiều doanh nghiệp do nhiều nguyên nhân khác nhau. Thay vào đó, để đảm bảo an toàn hệ thống mạng với nhưng tổ chức có thuê ngoài thì hãy có một trong những tiêu chí lựa chọn của bạn khi chọn dịch vụ CNTT với các MSP. Hỏi họ về sản phẩm bảo mật và cách thức thực hiện cho khách hàng  họ sử dụng trong tổ chức riêng của họ. Một MSP tốt sẽ rất vui vẻ được chia sẻ.

Và tự hỏi về ưu tiên của bạn. Bảo vệ là số 1? Chi phí tất nhiên là một sự cân nhắc cho khá nhiều tổ chức, nhưng không thỏa hiệp việc bảo vệ dài hạn để tiết kiệm chi phí ngắn hạn. Như chúng ta đã thấy lúc đầu, chi phí để đối phó với một cuộc tấn công ransomware vượt xa nhiều chi phí khác.

• Encryption-free attacks

Ransomware bây giờ đã đến lập hoàn chỉnh đầy đủ của việc mã hóa<--> thu tiền. Khả năng mã hóa tập tin là một trong những khả năng cốt lõi cần thiết để biến ransomware thành một tội phạm mạng khả thi. Tuy nhiên, tội phạm mạng không còn cần phải mã hóa các tệp của bạn để giữ bạn làm con tin. Tại sao? Bởi vì họ sẽ nghĩ rằng bạn sẽ trả tiền chỉ để ngăn chặn dữ liệu của bạn được công khai.

Có hai loại dữ liệu là mục tiêu cụ thể cho loại tấn công này. Đầu tiên là dữ liệu cá nhân, thông tin về một cá nhân đôi khi được gọi là thông tin nhận dạng cá nhân (PII). Trong những năm gần đây, luật pháp để bảo vệ dữ liệu cá nhân đã được tăng cường đáng kể, với các luật quốc gia (như GDPR), quốc gia, khu vực và ngành cụ thể được áp dụng để bảo vệ dữ liệu.

Luật này đi kèm với các hình phạt tài chính rất nghiêm khắc đối với bất kỳ ai vi phạm dữ liệu liên quan - mức phạt tối đa theo GDPR lên tới 4% doanh thu toàn cầu hàng năm hoặc 20 triệu euro, tùy theo mức nào cao hơn - đối với các tổ chức vi phạm các yêu cầu của nó. Tội phạm mạng có thể bắt giữ các tổ chức làm con tin với mối đe dọa tiết lộ thông tin cá nhân, từ đó mở ra cho nạn nhân những hậu quả của việc vi phạm dữ liệu.

Vào tháng 10 năm 2019, Thành phố Johannesburg ở Nam Phi đã phải chịu một cuộc tấn công ransomware không mã hóa. Họ đã bị tấn công bởi một nhóm tự gọi mình là Shadow Kill Hackers. Theo một ghi chú được chia sẻ trên Twitter, họ đã không mã hóa dữ liệu. Thay vào đó, họ đã đánh cắp nó và đe dọa sẽ tải nó lên internet nếu Thành phố không thanh toán.

“All your servers and data have been hacked. We have dozens of back doors inside your

city. We have control of everything in your city. We also compromised all passwords and

sensitive data such as finance and personal population information”

Nhóm này đã yêu cầu thanh toán bốn Bitcoin (tương đương 30.347 bảng Anh), tiền chuộc dường như không được thanh toán.

Loại dữ liệu khác đặc biệt có nguy cơ từ các cuộc tấn công này là sở hữu trí tuệ hoặc IP. Đây thường là nguồn gốc của sự thành công của doanh nghiệp - cho dù đó là một công thức bí mật, công nghệ độc quyền hay dữ liệu độc đáo. Nếu IP đó được đưa vào đấu trường công cộng, điều đó có thể có nghĩa là hồi chuông báo tử cho doanh nghiệp.

Ví dụ công khai nhất về kiểu tấn công ransomware này là cuộc tấn công của ban nhạc Radiohead vào giữa năm 2019. Frontman Thom Yorke, kho lưu trữ đã bị hack và kẻ gian đã đánh cắp 18 giờ âm nhạc chưa từng thấy trong khoảng thời gian phát hành album năm 1997 OK Computer. Kẻ tống tiền đe dọa sẽ công khai âm nhạc trừ khi ban nhạc trả khoản tiền chuộc 150.000 đô la Mỹ - một yêu cầu mà Radiohead đã tránh.

Dừng các cuộc tấn công không có mã hóa có nghĩa là ngăn chặn tin tặc chiếm giữ dữ liệu của bạn. Nó đòi hỏi nhiều công nghệ và hành vi tương tự mà bạn cần để mã hóa ransomware, đây là một sự khác biệt tốt đẹp trong phần tiếp theo của chúng tôi.

4. How Ransomware Attacks

• Network first

Để đảm bảo nạn nhân trả tiền chuộc, ransomware sẽ cố gắng mã hóa càng nhiều tài liệu càng tốt, đôi khi còn mạo hiểm, hoặc cố tình làm tê liệt, điểm cuối. Các tài liệu này có thể được lưu trữ trên các ổ đĩa cố định và di động cục bộ, cũng như từ xa được ánh xạ chia sẻ ổ đĩa. Các ransomware thậm chí có thể ưu tiên các ổ đĩa hoặc kích thước tài liệu nhất định trước để đảm bảo thành công trước khi bị phần mềm bảo vệ điểm cuối hoặc nạn nhân chú ý. Ví dụ: ransomware có thể được lập trình để mã hóa một số tài liệu tại đồng thời thông qua nhiều luồng, ưu tiên các tài liệu nhỏ hơn hoặc thậm chí tấn công các tài liệu trên các ổ đĩa được chia sẻ từ xa trước.

Ransomware gây ra thiệt hại ngay lập tức nhất cho một tổ chức khi nó mã hóa các ổ đĩa mạng được ánh xạ này trước tiên, vì nó ngay lập tức ảnh hưởng đến hầu hết nhân viên cho dù họ ở vị trí địa lý nào. Khi nhân viên không thể làm công việc của họ, nó phá vỡ toàn bộ tổ chức, gây áp lực lên ban quản lý để trả tiền đòi tiền chuộc. Và mặc dù hầu hết các doanh nghiệp đều tạo bản sao lưu dữ liệu của họ, hầu hết các bản sao lưu được thực hiện định kỳ và không phải lúc nào cũng được cập nhật. Hơn nữa, việc khôi phục nhiều máy chủ từ bản sao lưu có thể mất nhiều ngày, tùy thuộc vào kích thước của dữ liệu và số lượng máy chủ bị ảnh hưởng. Tác động tài chính của sự chậm trễ như vậy có thể tăng lên nhanh chóng.

• Multi-threaded

Một số ransomware được thiết kế đặc biệt để sử dụng hiệu quả phần cứng CPU hiện đại và song song hóa các tác vụ riêng lẻ để đảm bảo tác động nhanh hơn và sau đó, có hại hơn trước khi nạn nhân phát hiện ra chúng bị tấn công. Các cuộc tấn công này có thể đạt được thông lượng cao hơn và độ trễ thấp hơn do dữ liệu trong một phương tiện nhanh hơn (như bộ nhớ) có thể được truy xuất bởi một luồng trong khi một luồng khác lấy dữ liệu từ phương tiện chậm hơn (chẳng hạn như bộ lưu trữ), không có luồng nào chờ đợi luồng khác kết thúc . Ví dụ như Sodinokibi ransomware.

• File encryption

Một số ransomware, như LockerGoga, đổi tên tài liệu gốc trước khi mã hóa. Một số ransomware, như WannaCry, có thể xóa các tài liệu gốc thông qua một ứng dụng hoặc quy trình khác.

• Key blob

Để khôi phục các tài liệu được mã hóa, ransomware lưu trữ một khóa mà một công cụ giải mã với khóa riêng có thể sử dụng để hoàn nguyên thiệt hại. Kho dữ liệu này được chuẩn bị và thêm vào vào các file, hoặc lưu trữ trong một hoặc nhiều tệp riêng biệt, tùy thuộc vào loại ransomware.

• Wallpaper

Để đảm bảo nạn nhân hiểu ngay những gì đã xảy ra và kêu gọi họ trả tiền đòi tiền chuộc, ransomware như WannaCry và Sodinokibi thay thế hình nền máy tính Windows bằng một thông điệp đối mặt với nạn nhân.

• Vssadmin

Thông thường, ransomware sẽ đổi tên tài liệu của bạn trong cuộc tấn công của nó, phá vỡ mối quan hệ với tệp phiên bản trước được lưu trữ bởi VSS. Về mặt lý thuyết, bạn có thể đổi tên một tài liệu được mã hóa trở lại tên tệp gốc của nó - do đó khôi phục mối quan hệ - và sau đó khôi phục bản gốc từ VSS để hoàn tác các tác động của một cuộc tấn công ransomware. Thật không may, những kẻ tấn công thường xóa volume shadow copies trong cuộc tấn công, thông qua một tiện ích Windows có tên VSSADMIN.EXE. Tiện ích này cung cấp giao diện dòng lệnh với dịch vụ volume shadow copies và yêu cầu các đặc quyền quản trị viên nâng cao. Kẻ tấn công thường ăn cắp hoặc đã sở hữu thông tin administrator privileges hoặc sử dụng khai thác để nâng cao quyền admin của nó.

• BCDEdit

Cùng với việc xóa các bản sao lưu tài liệu và các tệp khác được lưu trữ bởi Windows Volume Shadow Service, ransomware cũng có thể cố gắng ngăn nạn nhân và Windows bắt tay vào quy trình khôi phục để sửa chữa máy tính. Để đạt được điều này, nó lạm dụng lệnh Windows BCDEDIT.EXE, cho phép thao tác với Dữ liệu cấu hình khởi động Windows (BCD):

• Recoveryenabled No: Vô hiệu hóa tính năng chẩn đoán và sửa chữa Windows, vì vậy nó không còn chạy tự động sau lần khởi động thứ ba của máy tính không thành công.
• bootstatuspolicy IgnoreAllFailures:  Bỏ qua lỗi nếu khởi động không thành công, hoặc tắt máy khi lỗi. Máy tính sẽ cố khởi động bình thường sau khi lỗi xảy ra.

• Cipher

Các ransomware như LockerGoga và MegaCortex lạm dụng công cụ dòng lệnh CIPHER.EXE từ Microsoft để đảm bảo các nạn nhân của ransomware không thể khôi phục các tài liệu đã xóa từ các ổ lưu trữ của họ. Công cụ này là một phần của Windows kể từ Windows 2000 và nhằm quản lý dữ liệu được mã hóa hợp pháp bằng Hệ thống tệp mã hóa (EFS).

• 0 allocation

Thay vì thực hiện mã hóa tại chỗ, một số ransomware trước tiên tạo một bản sao được mã hóa của tài liệu mà nó tấn công và sau đó xóa tệp gốc. So với mã hóa tại chỗ, trong trường hợp này, các bản sao được mã hóa được lưu trữ ở nơi khác trên ổ lưu trữ.

Một công cụ phục hồi dữ liệu có thể nâng các tệp gốc miễn là các phần không có dấu của các tệp bị xóa chưa bị ghi đè. Để làm nản lòng con đường phục hồi này, phần mềm ransomware Dharma đặt kích thước tệp của mỗi tài liệu bị tấn công thành 0 byte trước khi xóa.

• Flush buffers

Các máy chủ tệp thường được thiết lập với bộ lưu trữ RAID, thường có bộ đệm ghi được hỗ trợ bằng pin. Trên các máy này, việc xóa bộ đệm thường bị vô hiệu hóa để tối ưu hóa hiệu suất hơn nữa, vì bộ đệm ghi dựa trên pin cho phép máy xóa bộ đệm trong trường hợp mất điện mà không gặp rủi ro mất dữ liệu hoặc hỏng.

Một số ransomware (như WannaCry, GandCrab và BitPaymer) đảm bảo rằng dữ liệu bằng văn bản của các tài liệu được mã hóa ngay lập tức được lưu vào ổ lưu trữ. Họ làm như vậy bằng cách gọi hàm  Flush

FileBuffers hoặc sử dụng Write Through của Raid controller.

• Encryption by proxy

Một số ransomware - như GandCrab và Sodinokibi - lạm dụng Windows PowerShell để thực hiện script  từ internet, được thiết lập để tự động khởi động ransomware sau vài ngày, khiến cuộc tấn công dường như không xuất hiện. Trong trường hợp này, chính cuộc tấn công mã hóa tệp thực tế được thực hiện bởi quy trình Windows POWERSHELL.EXE đáng tin cậy, khiến phần mềm bảo vệ điểm cuối tin rằng một ứng dụng đáng tin cậy đang sửa đổi các tài liệu. Để đạt được mục tiêu tương tự, các ransomware như Ryuk có thể tiêm mã độc của nó vào một quy trình chạy đáng tin cậy như SVCHOST.EXE. Và phần mềm ransomware MegaCortex sử dụng ứng dụng Windows RUNDLL32.EXE để mã hóa tài liệu từ một quy trình đáng tin cậy.

5. How to defend against ransomware

Ransomware đã phát triển thành một mối đe dọa rất tiên tiến, rất phức tạp - và nó chỉ phát triển hơn nữa. Với ý nghĩ đó, làm thế nào bạn có thể giảm thiểu rủi ro bị ảnh hưởng bởi ransomware? Câu trả lời là bạn cần làm cho các ransomware khó khăn nhất có thể để triển khai các cuộc tấn công phức tạp của họ và tận dụng các cơ hội do những thay đổi trong công nghệ và xã hội mang lại. Để làm điều này, chúng tôi khuyên bạn nên:

• Sử dụng công nghệ an ninh mạng tốt nhất, tập trung vào việc phá vỡ toàn bộ chuỗi tấn công không chỉ là một phần mềm độc hại.
• Áp dụng thực hành bảo mật tốt nhất mọi lúc.
• Giáo dục nhân viên của bạn về các rủi ro và hành vi cần thiết thông qua đào tạo nâng cao nhận thức bảo mật thường xuyên.

• Bảo vệ hệ thống của bạn

• Chỉ mở những email hoặc download những phần mềm ứng dụng có nguồn gốc rõ ràng, an toàn.
• Không mở những link hoặc những tập tin đính kèm theo email mà bạn không mong muốn nhận, hoặc từ những người bạn không biết đã gửi cho bạn.
• Bảo mật hệ thống email để chống lại spam mà ở đó có thể là nguồn lây nhiễm.
• Sao lưu toàn bộ dữ liệu một cách thường xuyên, khôi phục lại một nơi khác để đảm bảo an toàn dữ liệu và chắc chắn sử dụng được.
• Bảo đảm hệ thống mạng đã được triển khai các phần mềm Anti-virus mới nhất, các phần mềm chống, ngăn chặn Ransomware mới nhất.
• Sử dụng mật khẩu có độ phức tạp mạnh, thường xuyên thay đổi để tránh bị đánh cấp.

 

 

6. Một số giải pháp ngăn chặn Ransomware

Một số phần mềm anti-virus có khả năng phát hiện Ransomware như: Mcafee, Bitdefender, NortonLikeLock, Sophos, BullGuard, Kaspersky…

 

Để có chuỗi liên hoàn ngăn chặn tấn công của Ransomware thì Sophos có Threat protection that disrupts the whole attack chain:

 

 

Sophos Intercept X: Sophos Intercept X bao gồm các công nghệ bảo vệ tiên tiến ngăn chặn ransomware trên các điểm cuối và máy chủ của bạn ở nhiều giai đoạn của chuỗi tấn công

• AI-powered threat protection detects threats in malicious emails
•  Exploit protection detects and blocks more than two dozen exploit techniques, including

those used to distribute and install ransomware and escalate privileges

•  Credential theft stops hackers getting your valuable credentials, blocking unauthorized

system access, and admin privilege escalation

•  Tamper protection stops the ransomware from disabling your endpoint protection
•  Deep learning looks at the “DNA” of the file to determine if it’s ransomware and, if so,

stops the ransomware from executing

•  CryptoGuard’s behavioral detection blocks the unauthorised encryption of files, rolling

them back to their safe state in seconds

 

Sophos XG Firewall:

Sophos XG Firewall được tích hợp tính năng bảo vệ nâng cao để phát hiện và chặn các cuộc tấn công của ransomware và ngăn chặn tin tặc di chuyển ngang qua mạng của bạn để leo thang đặc quyền.

 

• AI-powered threat protection, including sandboxing, detects ransomware at the

Gateway

•  RDP management tools give you a simple, elegant way to manage your RDP, stopping

hackers from using it to move laterally around your network

•  IPS can detect any attempts to exploit network vulnerabilities such as those in RDP or

any other part of the network stack

 

Synchronized Security

Intercept X và XG Firewall là rất tuyệt vời cho việc hoạt động chống Ransomware, nhưng thậm chí còn tốt hơn với sự c Đồng bộ hóa thông tin giữa hai sản phẩm này trong việc bảo mật thì cáng tuyệt vời hơn cho hệ thống mạng của bạn. Nếu bất cứ điều gì kích hoạt phát hiện trong một trong hai sản phẩm, XG Firewall và Intercept X sẽ phối hợp với nhau để tự động cách ly các thiết bị bị ảnh hưởng - ngăn chặn chúng tránh các mối đe dọa tự  lan rộng hơn nữa.

Managed Threat Response (MTR):

Sophos Managed Threat Đáp ứng (MTR) - nhiều tổ chức không có chuyên môn, tài nguyên hoặc mong muốn giám sát mạng của họ 24/7. Dịch vụ MTR của Sophos là một đội ngũ chuyên gia săn lùng mối đe dọa và chuyên gia phản ứng liên tục, luôn luôn quét và tìm kiếm hành động đáng ngờ trong hệ thống mạng và trong không gian mạng.

 

7. Kết luận:

 

Ransomware là mối đe dọa trực tuyến, trực tiếp trong môi trường điện tử mà sẽ không bao giờ kết thúc nó.  Tại sao? Bởi vì bọn tội phạm tiếp tục lợi dụng những phát triển mới trong công nghệ và mạng xã hội để tinh chỉnh và tăng cường các cuộc tấn công ransomware của chúng. Nếu chúng ta rút ra một bài học từ lịch sử 30 năm chiến đấu với ransomware, thì đó là Ransomware sẽ tiếp tục phát triển.

Cách bảo vệ tốt nhất chống lại ransomware là sự kết hợp của bảo vệ nhiều lớp ở điểm cuối và cửa ngõ hệ thống mạng để phá vỡ chuỗi tấn công của chúng, áp dụng thường xuyên các thực tiễn tốt nhất về bảo mật mọi lúc và giáo dục người dùng liên tục.

 

• Phá vỡ chuỗi tấn công (Threat protection that disrupts the whole attack chain)
• Thực hành diễn tập bảo mật (Strong security practices)
• Giáo dục người dùng (Ongoing staff education)