Loading
Ransomware là một loại virus được mã hóa, được Bộ Tư pháp Hoa Kỳ xem là mô hình hiện đại của tội phạm mạng với nguy cơ gây tổn thương hệ thống mạng toàn cầu.
Ransomware là một loại phần mềm độc hại, sau khi lây nhiễm vào máy tính, mã hóa hoặc chặn truy cập dữ liệu trên đĩa và sau đó thông báo cho nạn nhân về khả năng khôi phục chúng. Tất nhiên, không miễn phí và cần phải chuyển tiền vào tài khoản được chỉ định.
Ransomware thường lây lan qua thư rác hoặc email lừa đảo, và cũng có thể thông qua các trang web hoặc tải xuống theo ổ đĩa, để lây nhiễm vào thiết bị điểm cuối và xâm nhập vào mạng. Khi đã xâm nhập, ransomware sau đó khóa tất cả các tệp mà nó có thể truy cập bằng thuật toán mã hóa mạnh. Cuối cùng, phần mềm độc hại yêu cầu tiền chuộc (thường phải trả bằng Bitcoin) để giải mã các tệp và khôi phục toàn bộ hoạt động cho các hệ thống CNTT bị ảnh hưởng. Trong một số trường hợp, phần mềm ransomware được cài đặt cùng với trojan để có quyền kiểm soát nhiều hơn trên thiết bị nạn nhân.
Sau khi được gửi đến hệ thống qua email lừa đảo, ransomware sẽ tự cài đặt trên thiết bị đầu cuối và mọi thiết bị mạng mà nó có thể truy cập.
Các ransomware liên lạc với máy chủ chỉ huy và kiểm soát được điều hành bởi bọn tội phạm mạng đằng sau cuộc tấn công để tạo ra các khóa ryptographic được sử dụng trên hệ thống cục bộ.
Các ransomware bắt đầu mã hóa mọi dữ liệu nó có thể tìm thấy trên các máy cục bộ và mạng.
Với công việc mã hóa được thực hiện, ransomware hiển thị các hướng dẫn về tống tiền và thanh toán tiền chuộc, đe dọa hủy dữ liệu nếu thanh toán (thường bằng Bitcoin) không được thực hiện.
Các tổ chức có thể trả tiền chuộc và hy vọng tội phạm mạng thực sự giải mã các tệp bị ảnh hưởng (trong nhiều trường hợp không xảy ra). Hoặc họ có thể thử phục hồi bằng cách xóa các tệp và hệ thống bị nhiễm khỏi mạng và khôi phục dữ liệu từ các bản sao lưu sạch.
Ransomware được phát hiện ở Nga vào năm 2005-2006. Ở giai đoạn đầu tiên, ransomware có dạng biến thể TROJ_CRYZIP.A. Các nhà phân tích dữ liệu phát hiện ra rằng khi biến thể dạng Trojan này xâm nhập vào máy, dữ liệu ngay lập tức bị mã hóa, muốn truy cập vào lại thì phải có mật khẩu. Và để nhận được mật khẩu, chủ dữ liệu được yêu cầu trả $300.
Theo thời gian, Ransomware mở rộng phạm vi của mình, ăn vào cả các tệp văn bản, bảng tính có định dạng đuôi như *.doc, *.xl, *.exe, …
Năm 2011, giới thông tin thế giới ghi nhận sự xuất hiện của một dạng Ransomware khác có tên SMS Ransomware. Ngoài những đặc tính thông thường, SMS Ransomware còn gửi thông báo yêu cầu người dùng phải liên lạc với hacker qua số điện thoại được cung cấp cho đến khi chuyển tiền đúng như yêu cầu.
Ngoài ra, một phiên bản khác của Ransomware cũng làm mưa làm gió khi tấn công vào MBR của hệ điều hành máy chủ. Nói cách khác, nó sẽ khiến cho hệ điều hành không thể hoạt động được.
Có hai loại ransomware chính: Locker ransomware, khóa máy tính hoặc thiết bị, và ransomware Crypto, ngăn chặn truy cập vào tệp hoặc dữ liệu, thường thông qua mã hóa.
Trên biểu đồ bên trái, bạn có thể thấy các loại ransomware mới nhất được chia theo tên và quy mô tấn công của chúng.
Các chủng Ransomware nguy hiểm nhất
Ransomware hay các phần mềm malware độc hại thông thường có điểm chung là làm mọi cách để ẩn mình và phá hoại file trong âm thầm. Thế nhưng, sự khác biệt to lớn của ransomware là cơ chế mã hóa vô cùng phức tạp. Các mã hóa này mở đường cho phần mềm độc hại ăn sâu vào file dữ liệu, vượt qua cả những rào cản mà các phần mềm diệt virus tạo ra. Tuy nhiên, các phần mềm diệt virus cũng đang dần trở nên “nhạy” hơn với ransomware.
Ransomware được các hacker trang bị cho nhiều thuật toán “ẩn mình”, phổ biến nhất là các thuật sau:
Detection: Đây là phương pháp do thám. Các phần mềm độc hại sẽ dò xét môi trường để đề phòng nguy cơ chúng đang ở trong một môi trường bị ảo hóa và trốn tránh được sự phát hiện của các nhà nghiên cứu bảo mật. Nhưng đổi lại, phương pháp này khiến chúng không thể tạo ra một chữ ký bảo mật cập nhật.
Timing: Mọi thứ đều không thể đạt đến mức hoàn hảo và các phần mềm diệt virus cũng vậy. Dù liên tục phát ra các cảnh báo nhưng chúng vẫn khó có thể bảo vệ mọi khía cạnh của hệ thống, nhất là khi đối mặt với virus nguy hiểm như ransomware. Ransomware sẽ tranh thủ xâm nhập vào khoảng thời gian khi thiết bị đang bật/tắt, lúc các phần mềm diệt virus chưa kịp khởi động.
Communication: Khi thâm nhập vào file dữ liệu, các ransomware sẽ ngay lập tức liên lạc với máy chỉ huy (C&C server) để nhận hướng dẫn. Thế nhưng các phần mềm diệt virus có thể lợi dụng đặc điểm này để phát hiện các địa chỉ IP cụ thể và ngăn chặn các giao tiếp đó.
False Operation: Khi máy tính bị nhiễm ransomware, một chương trình giả mạo có thể hiện ra. Người dùng không có nhiều kỹ năng sẽ lầm tưởng đây là một chương trình bình thường của hệ điều hành và làm theo các hướng dẫn của chúng khiến các virus lây lan nhanh hơn.
Ransomware đặc biệt nguy hiểm. Mặc dù thường lây lan qua email, nhưng chúng cũng đã được biết là tận dụng các cửa hậu hoặc lỗ hổng.
Làm thế nào ransomware thâm nhập vào tổ chức?
Vá lỗ hổng phần mềm là một công việc không dễ dàng, tốn thời gian và nhàm chán. Nhưng nó rất quan trọng đối với an ninh của bạn.
Các nhóm tin tặc tạo ra phần mềm độc hại sẽ ghi nhận mọi lỗ hổng phần mềm nào và cố gắng sử dụng chúng như một cách xâm nhập vào mạng trước khi các doanh nghiệp có thời gian để kiểm tra và triển khai các bản vá. Ví dụ lớn nhất là về những gì đã xảy ra nếu bạn không vá đủ nhanh chính là WannaCry.
Ransomware này đã gây ra sự khủng hoảng vào mùa hè năm 2017, bao gồm cả việc phá vỡ đáng kể NHS ở Anh. Một lỗ hổng khai thác dựa trên giao thức Windows Server Message Block cho phép WannaCry lan truyền cho đến nay thực sự đã được phát hành vài tháng trước khi ransomware tấn công. Nhưng không đủ các tổ chức đã áp dụng bản sửa lỗi cho cơ sở hạ tầng của họ và kết quả là hơn 300.000 PC đã bị nhiễm.
Nhấp vào một liên kết xấu trong email có lẽ là cách bị nhiễm phần mềm độc hại được biết đến nhiều nhất, nhưng đó là cách duy nhất. Gần một phần ba số ransomware được phân phối thông qua các cuộc tấn công từ xa (RDP).
Các cuộc tấn công Brute force là những nỗ lực của tin tặc truy cập vào máy chủ và các thiết bị khác bằng cách thử càng nhiều mật khẩu càng tốt, thường là với sự trợ giúp của bot, với hy vọng đạt được quyền quản trị.
Có nhiều công ty không thay đổi mật khẩu mặc định hoặc sử dụng các mật khẩu dễ đoán, các cuộc tấn công brute force thường thành công nhanh chóng. RDP cho phép điều khiển máy tính từ xa và là một con đường tấn công ransomware phổ biến khác. Có nhiều cách để giảm nguy cơ bị tấn công thông qua RDP, từ việc đảm bảo sử dụng mật khẩu mạnh, đến thay đổi cổng RDP, để hạn chế tính khả dụng của nó trên các thiết bị thực sự cần thiết.
Một trong những cách thường gặp để ransomware xâm nhập vào tổ chức của bạn là qua email. Bởi vì spam phần mềm độc hại đến hàng ngàn địa chỉ email là cách tiết kiệm chi phí và dễ dàng để các nhóm tin tặc ransomware thử và phát tán phần mềm độc hại. Mặc dù bản chất của các chiến thuật này cực kỳ cơ bản, nhưng nó vẫn hiệu quả.
Đào tạo cho nhân viên để nhận ra các email đáng ngờ có thể giúp bảo vệ chống lại ransomware và các rủi ro do email khác như lừa đảo. Nguyên tắc cơ bản: không mở email từ người gửi mà bạn không nhận ra. Và đừng nhấp vào các liên kết trong email nếu bạn không chắc chắn đó là hợp lệ. Tránh các tệp đính kèm bất cứ khi nào có thể và hãy cẩn thận với các tệp đính kèm yêu cầu bạn bật macro, vì đây là con đường dễ dẫn đến nhiễm phần mềm độc hại nhất. Xem xét sử dụng xác thực hai yếu tố như một lớp bảo mật bổ sung.
Các nhóm tin tặc ransomware đang ngày càng tìm kiếm những lỗ hổng lớn nhất có thể. Mã hóa dữ liệu trên một PC sẽ không làm cho chúng trở nên giàu có, vì vậy chúng có khả năng truy cập vào mạng và sau đó phát tán phần mềm độc hại của chúng càng xa càng tốt trước khi kích hoạt và mã hóa mọi thứ.
Làm cho điều này trở nên khó khăn hơn bằng cách phân đoạn các mạng và cũng bằng cách giới hạn và bảo mật số lượng tài khoản quản trị viên có quyền truy cập trên phạm vi rộng. Các cuộc tấn công lừa đảo đã được các tin tặc nhắm mục tiêu vì chúng có quyền truy cập rộng rãi trên nhiều hệ thống.
Máy chủ và máy trạm có thể là nơi lưu trữ dữ liệu của bạn, nhưng chúng không phải là thiết bị duy nhất bạn phải lo lắng. Bên cạnh wi-fi văn phòng, Internet vạn vật hoặc làm việc tại nhà, giờ đây có rất nhiều thiết bị kết nối với mạng công ty, nhiều thiết bị sẽ không đủ bảo mật tích hợp mà bạn mong muốn bằng một thiết bị của công ty .
Càng nhiều thiết bị, nguy cơ cung cấp cho tin tặc một cửa hậu vào mạng của bạn và sau đó sử dụng quyền truy cập đó để di chuyển qua hệ thống của bạn đến các mục tiêu càng cao hơn so với các thiết bị được bảo mật kém hoặc máy bán hàng tự động thông minh. Ngoài ra, hãy suy nghĩ về những người khác có quyền truy cập vào hệ thống của bạn: các đối tác của bạn có nhận thức được rủi ro tiềm ẩn của ransomware và phần mềm độc hại khác không?
Điều đáng ghi nhớ là tốt hơn hết là tránh xa các mạng Wi-Fi công cộng trong khi làm việc bên ngoài văn phòng hoặc ít nhất là biết cách giữ an toàn trên các mạng công cộng đó.
Bước đầu tiên để kiểm soát ổ dịch ransomware là cách ly các hệ thống bị nhiễm khỏi phần còn lại của mạng.
Tắt các hệ thống đó và rút cáp mạng ra. Tắt WIFI. Các hệ thống bị nhiễm cần được cách ly hoàn toàn khỏi các máy tính và thiết bị lưu trữ khác trên mạng.
Tiếp theo, tìm ra loại phần mềm độc hại đã lây nhiễm các máy tính. Nhóm Ứng phó sự cố, tổ chức CNTT hoặc chuyên gia tư vấn bên ngoài sẽ có thể xác định chủng ransomware và bắt đầu lên kế hoạch cách tốt nhất để đối phó với sự lây lan.
Để đảm bảo không sót lại ransomware nào bị ẩn trong hệ thống của bạn, bạn nên xóa toàn bộ dữ liệu và sau đó khôi phục mọi thứ từ bản sao lưu an toàn. Với điều kiện có một bản sao lưu tốt có sẵn.
Học hỏi từ những thiếu sót là một trong những cách tốt để hiểu về bản chất của cuộc tấn công và ngăn chặn các cuộc tấn công tương tự xảy ra lần nữa.
Nguồn: https://www.thegioididong.com/game-app/ransomware-la-gi-muc-do-nguy-hiem-va-cach-ngan-chan-1371507