Ransomware là gì?

Iworld.com.vn gửi tới độc giả khái niệm về Ransomware

Định nghĩa

Ransomware là phần mềm độc hại sử dụng mã hóa, sử dụng thông tin của nạn nhân để đòi tiền chuộc. Dữ liệu quan trọng của người dùng hoặc tổ chức được mã hóa, để họ không thể truy cập tệp, cơ sở dữ liệu hoặc ứng dụng. Sau đó, một khoản tiền chuộc được yêu cầu, để được cung cấp quyền truy cập. Ransomware thường được thiết kế để lây lan trên mạng và nhắm mục tiêu đến cơ sở dữ liệu và máy chủ, do đó có thể nhanh chóng làm tê liệt toàn bộ tổ chức. Đây là một mối đe dọa ngày càng tăng, mất hàng tỷ đô la thanh toán cho tội phạm mạng và gây ra thiệt hại và chi phí đáng kể cho các doanh nghiệp và tổ chức chính phủ.

Ransomware hoạt động như thế nào?

Ransomware sử dụng mã hóa bất đối xứng. Đây là mật mã sử dụng một cặp khóa vừa để mã hóa và giải mã tệp. Cặp khóa công khai và riêng tư được kẻ tấn công tạo duy nhất cho nạn nhân, với khóa riêng tư để giải mã các tệp được lưu trữ trên máy chủ của kẻ tấn công. Kẻ tấn công chỉ cung cấp khóa riêng tư cho nạn nhân sau khi trả tiền chuộc, nhưng không phải lúc nào cũng vậy. Nếu không có quyền truy cập vào khóa riêng tư, gần như không thể giải mã các tệp đang bị giữ.

Có nhiều biến thể của ransomware tồn tại như các phần mềm độc hại được phát tán, bằng cách sử dụng các chiến dịch spam email hoặc thông qua các cuộc tấn công có chủ đích. Phần mềm độc hại cần một vectơ tấn công, để thiết lập sự hiện diện của nó trên một đầu cuối. Sau khi sự hiện diện được thiết lập, phần mềm độc hại vẫn ở trên hệ thống cho đến khi hoàn thành nhiệm vụ của nó.

Sau khi khai thác thành công, ransomware đi sâu vào và thực thi một tệp nhị phân độc hại trên hệ thống bị nhiễm. Sau đó, tệp nhị phân này sẽ tìm kiếm và mã hóa các tệp có giá trị, chẳng hạn như tài liệu Microsoft Word, hình ảnh, cơ sở dữ liệu, v.v. Phần mềm tống tiền cũng có thể khai thác các lỗ hổng hệ thống và mạng, để lây lan sang các hệ thống khác và có thể trên toàn bộ tổ chức.

Sau khi các tệp được mã hóa, ransomware sẽ nhắc người dùng trả tiền chuộc trong vòng 24 đến 48 giờ, để giải mã các tệp, nếu không chúng sẽ bị mất vĩnh viễn. Nếu không có bản sao lưu dữ liệu hoặc bản sao lưu đó đã được mã hóa, nạn nhân sẽ phải trả tiền chuộc để khôi phục các tệp cá nhân.

Tại sao ransomware lại lan rộng?

Các cuộc tấn công ransomware và các biến thể của chúng đang phát triển nhanh chóng, để chống lại các công nghệ phòng thủ vì một số lý do:

• • • Có sẵn bộ phần mềm độc hại để tạo ra các mẫu phần mềm độc hại mới theo yêu cầu
    • Sử dụng các chương trình giả tạo để tạo ransomware đa nền tảng (ví dụ: sử dụng Ransom32 Node.js với tải trọng JavaScript)
    • Sử dụng các kỹ thuật mới, chẳng hạn như mã hóa CD hoàn chỉnh, thay vì các tệp được chọn

Những kẻ trộm ngày nay thậm chí không cần phải hiểu biết về công nghệ. Các thị trường phần mềm ransomware đã mọc trên trực tuyến, cung cấp các chủng phần mềm độc hại cho bất kỳ cybercrook nào và tạo ra thêm lợi nhuận cho các tác giả phần mềm độc hại, những người thường yêu cầu cắt giảm số tiền chuộc.

Tại sao rất khó để tìm ra thủ phạm ransomware?

Việc sử dụng tiền điện tử ẩn danh để thanh toán, chẳng hạn như bitcoin, gây khó khăn cho việc lần theo dấu vết và truy tìm tội phạm. Càng ngày, các nhóm tội phạm mạng càng nghĩ ra các kế hoạch ransomware, để kiếm lợi nhuận nhanh chóng. Sự sẵn có dễ dàng của mã nguồn mở và nền tảng để phát triển ransomware, từ đó thúc đẩy nhanh việc tạo ra các biến thể ransomware mới và giúp những người mới làm quen với script tạo ransomware của riêng họ. Thông thường, phần mềm độc hại tiên tiến như ransomware có thiết kế đa hình, cho phép tội phạm mạng dễ dàng vượt qua bảo mật, dựa trên chữ ký truyền thống hoặc dựa trên file.

Ransomware-as-a-service (RaaS) là gì?

Ransomware-as-a-service là một mô hình kinh tế của tội phạm mạng, cho phép các nhà phát triển phần mềm độc hại kiếm tiền cho các sáng tạo của họ, mà không cần phải phát tán các mối đe dọa của chúng. Những tên tội phạm phi kỹ thuật mua sản phẩm của họ và tung ra các phần mềm lây nhiễm, trong khi trả cho các nhà phát triển một phần trăm số tiền họ thu được. Các nhà phát triển có ít rủi ro vì khách hàng của họ (tội phạm mạng) thực hiện hầu hết công việc. Một số trường hợp đăng ký sử dụng ransomware dưới dạng dịch vụ, trong khi những trường hợp khác yêu cầu đăng ký, để có quyền truy cập vào ransomware.

Cách bảo vệ khỏi ransomware

Để tránh ransomware và giảm thiểu thiệt hại nếu bạn bị tấn công, hãy làm theo các mẹo sau:

Sao lưu dữ liệu của bạn: Cách tốt nhất để tránh nguy cơ bị khóa các tệp quan trọng của bạn, là đảm bảo rằng bạn luôn có các bản sao lưu, tốt nhất là trên đám mây và trên ổ cứng ngoài. Bằng cách này, nếu bạn bị nhiễm ransomware, bạn có thể xóa sạch máy tính hoặc thiết bị của mình và cài đặt lại các tệp từ bản sao lưu. Điều này bảo vệ dữ liệu của bạn và bạn sẽ không phải trả tiền chuộc cho tội phạm. Vì vậy, sao lưu sẽ không ngăn chặn ransomware, nhưng nó có thể giảm thiểu rủi ro.

Bảo mật các bản sao lưu: Đảm bảo rằng dữ liệu sao lưu của bạn không thể truy cập được, hoặc sửa đổi hoặc xóa khỏi hệ thống nơi lưu trữ dữ liệu. Ransomware sẽ tìm kiếm các bản sao lưu dữ liệu và mã hóa hoặc xóa chúng, để không thể khôi phục được, vì vậy hãy sử dụng các hệ thống sao lưu không cho phép truy cập trực tiếp vào các tập tin sao lưu.

Sử dụng phần mềm bảo mật và luôn cập nhật phần mềm: Đảm bảo tất cả các máy tính và thiết bị của bạn được bảo vệ bằng phần mềm bảo mật toàn diện và luôn cập nhật. Đảm bảo bạn cập nhật phần mềm là mới nhất, vì các bản vá lỗi thường được bao gồm trong mỗi bản cập nhật.

Thực hành lướt web an toàn: Hãy cẩn thận nơi bạn nhấp vào. Bạn không trả lời email và tin nhắn văn bản từ những người bạn không biết và chỉ tải xuống ứng dụng từ các nguồn đáng tin cậy. Điều này rất quan trọng vì các phần mềm độc hại, thường sử dụng kỹ thuật xã hội để cố gắng khiến bạn cài đặt các tệp nguy hiểm.

Chỉ sử dụng mạng an toàn: Tránh sử dụng các mạng Wi-Fi công cộng, vì nhiều mạng không an toàn và tội phạm mạng có thể rình mò việc sử dụng Internet của bạn. Thay vào đó, hãy cân nhắc cài đặt VPN, vì nó cung cấp cho bạn kết nối Internet an toàn cho dù bạn đi đâu.

Thông báo: Cập nhật thông tin về các mối đe dọa ransomware mới nhất, để bạn biết những gì cần chú ý. Trong trường hợp bạn bị nhiễm ransomware và chưa sao lưu tất cả các tệp của mình. Bạn hãy biết rằng một số công cụ giải mã được các công ty công nghệ cung cấp, để giúp đỡ nạn nhân.

Nâng cao nhận thức về bảo mật: Tham gia đào tạo nâng cao nhận thức về bảo mật thường xuyên cho mọi thành viên trong tổ chức của bạn, để tránh bị lừa đảo. Tiến hành các bài thực hành và kiểm tra thường xuyên, để đảm bảo rằng việc đào tạo đang được tuân thủ.

9 bước để ứng phó với cuộc tấn công bằng ransomware

Nếu bạn nghi ngờ mình đã bị tấn công bằng ransomware, điều quan trọng là phải nhanh chóng hành động. May mắn, có một số bước bạn có thể thực hiện để giảm thiểu thiệt hại và nhanh chóng trở lại công việc kinh doanh như bình thường.

1. 1. 1. Cô lập thiết bị bị nhiễm: Ransomware ảnh hưởng đến một thiết bị là một sự cố nhỏ, nhưng phần mềm ransomware lây nhiễm vào tất cả các thiết bị của doanh nghiệp bạn là một thảm họa lớn và có thể khiến bạn ngừng kinh doanh. Sự khác biệt giữa cả hai thường phụ thuộc vào thời gian phản ứng. Để đảm bảo an toàn cho mạng của bạn, chia sẻ ổ đĩa và các thiết bị khác và bạn cần ngắt kết nối thiết bị bị ảnh hưởng khỏi mạng, internet và các thiết bị khác càng nhanh càng tốt. Bạn làm như vậy càng sớm thì khả năng các thiết bị khác bị nhiễm càng ít.
      2. Ngăn chặn sự lây lan: Vì ransomware di chuyển nhanh chóng và thiết bị có ransomware không nhất thiết phải là Patient Zero, nên việc cô lập ngay thiết bị bị nhiễm sẽ không đảm bảo rằng ransomware không tồn tại ở nơi khác trên mạng của bạn. Để giới hạn phạm vi của nó một cách hiệu quả, bạn sẽ cần phải ngắt kết nối khỏi mạng tất cả các thiết bị đang hoạt động đáng ngờ, bao gồm cả những thiết bị hoạt động ngoài phạm vi, nếu chúng được kết nối với mạng, chúng sẽ có nguy cơ. Tắt kết nối không dây (Wi-Fi, Bluetooth, v.v.) tại thời điểm này cũng là một ý kiến ​​hay.
      3. Đánh giá thiệt hại: Để xác định thiết bị nào đã bị nhiễm, hãy kiểm tra các tệp được mã hóa gần đây, có tệp lạ không và tìm kiếm các báo cáo về tên tệp lạ hoặc người dùng gặp sự cố khi mở tệp. Nếu bạn phát hiện ra bất kỳ thiết bị nào chưa được mã hóa hoàn toàn, chúng nên được cách ly và tắt, để giúp ngăn chặn cuộc tấn công và thiệt hại khi mất thêm dữ liệu. Mục tiêu của bạn là tạo một danh sách về tất cả các hệ thống bị ảnh hưởng, bao gồm thiết bị lưu trữ mạng, lưu trữ đám mây, ổ cứng ngoài (bao gồm ổ USB), máy tính xách tay, điện thoại thông minh và bất kỳ vectơ nào khác có thể có, nên hạn chế chúng. Làm như vậy sẽ tạm dừng mọi quy trình mã hóa đang diễn ra và cũng các chia sẻ dữ liệu không bị nhiễm, trong khi quá trình khắc phục xảy ra. Nếu một thiết bị có số lượng tệp đang mở nhiều so với bình thường, bạn có thể vừa tìm thấy bệnh nhân Zero.
      4. Xác định vị trí bệnh nhân Zero: Theo dõi khả năng lây nhiễm sẽ dễ dàng khi bạn đã xác định được nguồn gốc. Để làm như vậy, hãy kiểm tra mọi cảnh báo đến từ chương trình chống vi rút hoặc phần mềm chống độc hại, như EDR hoặc bất kỳ nền tảng giám sát. Bởi vì hầu hết ransomware xâm nhập vào mạng, thông qua các liên kết và tệp đính kèm email độc hại, đòi hỏi người dùng cuối phải thực hiện hành động. Cuối cùng, việc xem xét các thuộc tính của tệp cũng có thể cung cấp manh mối và liệt kê là chủ sở hữu là ai, có thể là đầu mối. (Tuy nhiên, hãy nhớ rằng có thể có nhiều hơn một Bệnh nhân Zero)
      5. Xác định ransomware: Trước khi tiếp tục, điều quan trọng là phải tìm ra biến thể của ransomware, mà bạn đang xử lý. Một cách là truy cập No More Ransom, một sáng kiến ​​trên toàn thế giới mà McAfee là một phần. Trang web có một bộ công cụ, để giúp bạn giải phóng dữ liệu của mình, bao gồm công cụ Crypto Sheriff. Chỉ cần tải lên một trong các tệp được mã hóa của bạn và nó sẽ quét để tìm kết quả phù hợp. Bạn cũng có thể sử dụng thông tin có trong ghi chú đòi tiền chuộc. Nếu nó không nhận dạng được biến thể ransomware, việc sử dụng công cụ tìm kiếm để truy vấn địa chỉ email hoặc ghi chú có thể hữu ích. Khi bạn đã xác định được phần mềm tống tiền và thực hiện một số nghiên cứu nhanh về hành vi của nó, bạn nên thông báo cho tất cả các nhân viên không bị ảnh hưởng càng sớm càng tốt, để họ biết cách phát hiện các dấu hiệu cho thấy họ đã bị nhiễm.
      6. Báo cáo ransomware cho cơ quan chức năng: Ngay khi có ransomware, bạn sẽ muốn liên hệ với cơ quan thực thi pháp luật vì một số lý do. Trước hết, ransomware là vi phạm pháp luật và giống như bất kỳ tội phạm nào khác, nó phải được báo cáo cho các cơ quan có thẩm quyền thích hợp. Thứ hai, theo Cục điều tra Liên bang Hoa Kỳ, Cơ quan thực thi pháp luật có thể sử dụng các quy chế pháp luật và các công cụ nhưng không có sẵn cho hầu hết các tổ chức. Quan hệ đối tác với cơ quan thực thi pháp luật quốc tế có thể được tận dụng, để giúp tìm ra dữ liệu bị đánh cắp hoặc mã hóa và đưa thủ phạm ra trước công lý. Cuối cùng, cuộc tấn công phải tuân thủ theo các điều khoản của GDPR, nếu bạn không thông báo cho ICO trong vòng 72 giờ về một vi phạm liên quan đến dữ liệu công dân EU, doanh nghiệp của bạn có thể phải chịu khoản phạt rất nặng.
      7. Đánh giá các bản sao lưu: Bây giờ đã đến lúc bắt đầu quá trình phản hồi. Cách nhanh nhất và dễ nhất là khôi phục hệ thống của bạn từ một bản sao lưu. Lý tưởng nhất là bạn sẽ có một bản sao lưu không bị nhiễm và hoàn chỉnh, được tạo gần đây đủ. Nếu vậy, bước tiếp theo là sử dụng giải pháp chống vi rút hoặc phần mềm chống độc hại, để đảm bảo tất cả các hệ thống và thiết bị bị nhiễm đều được xóa sạch khỏi phần mềm tống tiền. Nếu không, nó sẽ tiếp tục khóa hệ thống và mã hóa tệp của bạn, có khả năng làm hỏng bản sao lưu của bạn. Sau khi dấu vết của phần mềm độc hại đã được loại bỏ, bạn sẽ có thể khôi phục hệ thống của mình từ bản sao lưu này. Không may, nhiều tổ chức không nhận ra tầm quan trọng của việc tạo và duy trì các bản sao lưu, cho đến khi họ cần thì không có. Vì ransomware ngày càng tinh vi, một số người tạo bản sao lưu sớm phát hiện ra rằng, ransomware đã làm hỏng hoặc mã hóa chúng, khiến chúng hoàn toàn vô dụng.
      8. Nghiên cứu các tùy chọn giải mã của bạn: Nếu bạn thấy mình không có bản sao lưu khả thi, vẫn có cơ hội lấy lại dữ liệu của mình. Bạn có thể tìm thấy ngày càng nhiều khóa giải mã miễn phí tại No More Ransom. Nếu có sẵn một biến thể của ransomware mà bạn đang xử lý (và giả sử bạn đã xóa sạch tất cả dấu vết của phần mềm độc hại khỏi hệ thống của mình ngay bây giờ), bạn sẽ có thể sử dụng khóa giải mã, để mở khóa dữ liệu của mình. Tuy nhiên, khi bạn tìm thấy một trình giải mã, bạn vẫn chưa hoàn thành, bạn vẫn có thể mất hàng giờ hoặc hàng ngày để khắc phục.
      9. Tiếp tục: Thật không may, nếu bạn không có bản sao lưu và không thể tìm thấy khóa giải mã, lựa chọn duy nhất của bạn có thể bắt đầu lại từ đầu. Xây dựng lại sẽ không phải là một quá trình nhanh chóng hoặc ít tốn kém, nhưng một khi bạn không có lựa chọn khác, đó là điều tốt nhất bạn có thể làm.

Tại sao không nên trả tiền chuộc?

Khi đối mặt với khả năng phục hồi trong vài tuần hoặc vài tháng, bạn có thể dễ dàng từ bỏ yêu cầu đòi tiền chuộc. Nhưng có một số lý do tại sao đây là một ý tưởng tồi:

Bạn có thể không bao giờ nhận được khóa giải mã. Khi bạn đáp ứng một yêu cầu ransomware, đổi lại bạn sẽ nhận được một khóa giải mã. Nhưng khi bạn thực hiện một giao dịch ransomware, bạn đang phụ thuộc vào bọn tội phạm. Nhiều người và tổ chức đã trả tiền chuộc chỉ để không nhận lại gì, sau đó họ phải trả hàng chục hoặc hàng trăm hoặc hàng nghìn đô la, để xây dựng lại hệ thống của mình từ đầu.

Bạn có thể nhận được nhiều lần đòi tiền chuộc. Sau khi bạn trả tiền chuộc, tội phạm mạng đã triển khai ransomware biết bạn đang nằm trong tay chúng. Họ có thể cung cấp cho bạn một chìa khóa hoạt động nếu bạn sẵn sàng trả nhiều hơn một chút.

Bạn có thể nhận được một khóa giải mã hoạt động. Những người tạo ra phần mềm tống tiền không để bán, mà họ đang kinh doanh kiếm tiền. Nói cách khác, trình giải mã để bạn biết rằng đã kết thúc thỏa thuận với bọn tội phạm. Hơn nữa, bản thân quá trình mã hóa có thể làm hỏng một số tệp, không thể sửa chữa được. Nếu điều này xảy ra, ngay cả một khóa giải mã tốt cũng sẽ không thể mở khóa các tệp của bạn và chúng sẽ biến mất vĩnh viễn.

Bạn có thể đang tạo ra một mục tiêu. Một khi bạn trả tiền chuộc, bọn tội phạm biết bạn là một khoản đầu tư tốt. Một tổ chức đã được chứng minh về việc trả tiền chuộc, là một mục tiêu hấp dẫn hơn một mục tiêu mới. Điều gì sẽ ngăn chặn nhóm tội phạm tấn công, hoặc vào một diễn đàn và thông báo cho những tên tội phạm mạng khác rằng bạn là một kẻ dễ bị bắt nạt.

Ngay cả khi mọi thứ kết thúc tốt đẹp, bạn vẫn đang tài trợ cho hoạt động tội phạm. Giả sử bạn trả tiền chuộc, nhận một khóa giải mã tốt để khôi phục và chạy mọi thứ. Điều này có thể dẫn đến tình huống xấu nhất hoặc tốt nhất. Khi bạn trả tiền chuộc, bạn đang tài trợ cho các hoạt động tội phạm. Bỏ những tiêu chuẩn đạo đức sang một bên, bạn đang tưởng rằng ransomware là một mô hình kinh doanh. Hãy nghĩ về điều đó, nếu không ai trả tiền chuộc, bạn có nghĩ rằng họ sẽ tiếp tục đưa ransomware vào để lây nhiễm không?. Với lợi nhuận cao, những tên tội phạm này sẽ tiếp tục tàn phá các doanh nghiệp, chúng dành thời gian và tiền vào việc phát triển các dòng ransomware mới hơn và thậm chí nguy hiểm hơn, một trong số chúng có thể tìm thấy đường vào thiết bị của bạn trong tương lai.

Giải pháp giải quyết mối đe dọa ransomware

Các sản phẩm của McAfee tận dụng một số công nghệ, giúp ngăn chặn ransomware. Sau đây là các sản phẩm của McAfee, cung cấp các cấu hình được thiết kế, để ngăn chặn nhiều loại ransomware:

McAfee Endpoint Security kết hợp các khả năng truyền thống với học máy và ngăn chặn, để giúp phát hiện hành vi đáng ngờ và các mối đe dọa, bao gồm cả các cuộc tấn công không ngày và không lọc. Nó tận dụng McAfee Global Threat Intelligence, chứa hàng triệu cảm biến theo dõi các chữ ký ransomware duy nhất.

McAfee Web Protection sử dụng trí tuệ học máy, để quét nội dung đang hoạt động của một trang web, mô phỏng hành vi và dự đoán mục đích của nó. Và chủ động bảo vệ chống lại các cuộc tấn công có chủ đích trước khi chúng tiếp cận hệ thống đầu cuối.

McAfee Threat Intelligence Exchange sử dụng cấu hình để xác định quy trình nghi ngờ.

McAfee Application Control cung cấp khả năng bảo vệ hai lớp từ công nghệ danh sách trắng và bảo vệ bộ nhớ, có thể giúp ngăn chặn việc thực thi các tệp nhị phân đến từ nguồn không đáng tin cậy và chặn khai thác zero-day.

Trân trọng cám ơn quý độc giả./.

Bài đọc tham khảo thêm cho bạn

• McAfee for Business
• McAfee Endpoint Security

Biên dịch: Lê Toản – Iworld.com.vn