Iworld.com.vn gửi tới độc giả khái niệm về Ransomware
Ransomware là phần mềm độc hại sử dụng mã hóa, sử dụng thông tin của nạn nhân để đòi tiền chuộc. Dữ liệu quan trọng của người dùng hoặc tổ chức được mã hóa, để họ không thể truy cập tệp, cơ sở dữ liệu hoặc ứng dụng. Sau đó, một khoản tiền chuộc được yêu cầu, để được cung cấp quyền truy cập. Ransomware thường được thiết kế để lây lan trên mạng và nhắm mục tiêu đến cơ sở dữ liệu và máy chủ, do đó có thể nhanh chóng làm tê liệt toàn bộ tổ chức. Đây là một mối đe dọa ngày càng tăng, mất hàng tỷ đô la thanh toán cho tội phạm mạng và gây ra thiệt hại và chi phí đáng kể cho các doanh nghiệp và tổ chức chính phủ.
Ransomware sử dụng mã hóa bất đối xứng. Đây là mật mã sử dụng một cặp khóa vừa để mã hóa và giải mã tệp. Cặp khóa công khai và riêng tư được kẻ tấn công tạo duy nhất cho nạn nhân, với khóa riêng tư để giải mã các tệp được lưu trữ trên máy chủ của kẻ tấn công. Kẻ tấn công chỉ cung cấp khóa riêng tư cho nạn nhân sau khi trả tiền chuộc, nhưng không phải lúc nào cũng vậy. Nếu không có quyền truy cập vào khóa riêng tư, gần như không thể giải mã các tệp đang bị giữ.
Có nhiều biến thể của ransomware tồn tại như các phần mềm độc hại được phát tán, bằng cách sử dụng các chiến dịch spam email hoặc thông qua các cuộc tấn công có chủ đích. Phần mềm độc hại cần một vectơ tấn công, để thiết lập sự hiện diện của nó trên một đầu cuối. Sau khi sự hiện diện được thiết lập, phần mềm độc hại vẫn ở trên hệ thống cho đến khi hoàn thành nhiệm vụ của nó.
Sau khi khai thác thành công, ransomware đi sâu vào và thực thi một tệp nhị phân độc hại trên hệ thống bị nhiễm. Sau đó, tệp nhị phân này sẽ tìm kiếm và mã hóa các tệp có giá trị, chẳng hạn như tài liệu Microsoft Word, hình ảnh, cơ sở dữ liệu, v.v. Phần mềm tống tiền cũng có thể khai thác các lỗ hổng hệ thống và mạng, để lây lan sang các hệ thống khác và có thể trên toàn bộ tổ chức.
Sau khi các tệp được mã hóa, ransomware sẽ nhắc người dùng trả tiền chuộc trong vòng 24 đến 48 giờ, để giải mã các tệp, nếu không chúng sẽ bị mất vĩnh viễn. Nếu không có bản sao lưu dữ liệu hoặc bản sao lưu đó đã được mã hóa, nạn nhân sẽ phải trả tiền chuộc để khôi phục các tệp cá nhân.
Các cuộc tấn công ransomware và các biến thể của chúng đang phát triển nhanh chóng, để chống lại các công nghệ phòng thủ vì một số lý do:
Những kẻ trộm ngày nay thậm chí không cần phải hiểu biết về công nghệ. Các thị trường phần mềm ransomware đã mọc trên trực tuyến, cung cấp các chủng phần mềm độc hại cho bất kỳ cybercrook nào và tạo ra thêm lợi nhuận cho các tác giả phần mềm độc hại, những người thường yêu cầu cắt giảm số tiền chuộc.
Việc sử dụng tiền điện tử ẩn danh để thanh toán, chẳng hạn như bitcoin, gây khó khăn cho việc lần theo dấu vết và truy tìm tội phạm. Càng ngày, các nhóm tội phạm mạng càng nghĩ ra các kế hoạch ransomware, để kiếm lợi nhuận nhanh chóng. Sự sẵn có dễ dàng của mã nguồn mở và nền tảng để phát triển ransomware, từ đó thúc đẩy nhanh việc tạo ra các biến thể ransomware mới và giúp những người mới làm quen với script tạo ransomware của riêng họ. Thông thường, phần mềm độc hại tiên tiến như ransomware có thiết kế đa hình, cho phép tội phạm mạng dễ dàng vượt qua bảo mật, dựa trên chữ ký truyền thống hoặc dựa trên file.
Ransomware-as-a-service là một mô hình kinh tế của tội phạm mạng, cho phép các nhà phát triển phần mềm độc hại kiếm tiền cho các sáng tạo của họ, mà không cần phải phát tán các mối đe dọa của chúng. Những tên tội phạm phi kỹ thuật mua sản phẩm của họ và tung ra các phần mềm lây nhiễm, trong khi trả cho các nhà phát triển một phần trăm số tiền họ thu được. Các nhà phát triển có ít rủi ro vì khách hàng của họ (tội phạm mạng) thực hiện hầu hết công việc. Một số trường hợp đăng ký sử dụng ransomware dưới dạng dịch vụ, trong khi những trường hợp khác yêu cầu đăng ký, để có quyền truy cập vào ransomware.
Để tránh ransomware và giảm thiểu thiệt hại nếu bạn bị tấn công, hãy làm theo các mẹo sau:
Sao lưu dữ liệu của bạn: Cách tốt nhất để tránh nguy cơ bị khóa các tệp quan trọng của bạn, là đảm bảo rằng bạn luôn có các bản sao lưu, tốt nhất là trên đám mây và trên ổ cứng ngoài. Bằng cách này, nếu bạn bị nhiễm ransomware, bạn có thể xóa sạch máy tính hoặc thiết bị của mình và cài đặt lại các tệp từ bản sao lưu. Điều này bảo vệ dữ liệu của bạn và bạn sẽ không phải trả tiền chuộc cho tội phạm. Vì vậy, sao lưu sẽ không ngăn chặn ransomware, nhưng nó có thể giảm thiểu rủi ro.
Bảo mật các bản sao lưu: Đảm bảo rằng dữ liệu sao lưu của bạn không thể truy cập được, hoặc sửa đổi hoặc xóa khỏi hệ thống nơi lưu trữ dữ liệu. Ransomware sẽ tìm kiếm các bản sao lưu dữ liệu và mã hóa hoặc xóa chúng, để không thể khôi phục được, vì vậy hãy sử dụng các hệ thống sao lưu không cho phép truy cập trực tiếp vào các tập tin sao lưu.
Sử dụng phần mềm bảo mật và luôn cập nhật phần mềm: Đảm bảo tất cả các máy tính và thiết bị của bạn được bảo vệ bằng phần mềm bảo mật toàn diện và luôn cập nhật. Đảm bảo bạn cập nhật phần mềm là mới nhất, vì các bản vá lỗi thường được bao gồm trong mỗi bản cập nhật.
Thực hành lướt web an toàn: Hãy cẩn thận nơi bạn nhấp vào. Bạn không trả lời email và tin nhắn văn bản từ những người bạn không biết và chỉ tải xuống ứng dụng từ các nguồn đáng tin cậy. Điều này rất quan trọng vì các phần mềm độc hại, thường sử dụng kỹ thuật xã hội để cố gắng khiến bạn cài đặt các tệp nguy hiểm.
Chỉ sử dụng mạng an toàn: Tránh sử dụng các mạng Wi-Fi công cộng, vì nhiều mạng không an toàn và tội phạm mạng có thể rình mò việc sử dụng Internet của bạn. Thay vào đó, hãy cân nhắc cài đặt VPN, vì nó cung cấp cho bạn kết nối Internet an toàn cho dù bạn đi đâu.
Thông báo: Cập nhật thông tin về các mối đe dọa ransomware mới nhất, để bạn biết những gì cần chú ý. Trong trường hợp bạn bị nhiễm ransomware và chưa sao lưu tất cả các tệp của mình. Bạn hãy biết rằng một số công cụ giải mã được các công ty công nghệ cung cấp, để giúp đỡ nạn nhân.
Nâng cao nhận thức về bảo mật: Tham gia đào tạo nâng cao nhận thức về bảo mật thường xuyên cho mọi thành viên trong tổ chức của bạn, để tránh bị lừa đảo. Tiến hành các bài thực hành và kiểm tra thường xuyên, để đảm bảo rằng việc đào tạo đang được tuân thủ.
Nếu bạn nghi ngờ mình đã bị tấn công bằng ransomware, điều quan trọng là phải nhanh chóng hành động. May mắn, có một số bước bạn có thể thực hiện để giảm thiểu thiệt hại và nhanh chóng trở lại công việc kinh doanh như bình thường.
Khi đối mặt với khả năng phục hồi trong vài tuần hoặc vài tháng, bạn có thể dễ dàng từ bỏ yêu cầu đòi tiền chuộc. Nhưng có một số lý do tại sao đây là một ý tưởng tồi:
Bạn có thể không bao giờ nhận được khóa giải mã. Khi bạn đáp ứng một yêu cầu ransomware, đổi lại bạn sẽ nhận được một khóa giải mã. Nhưng khi bạn thực hiện một giao dịch ransomware, bạn đang phụ thuộc vào bọn tội phạm. Nhiều người và tổ chức đã trả tiền chuộc chỉ để không nhận lại gì, sau đó họ phải trả hàng chục hoặc hàng trăm hoặc hàng nghìn đô la, để xây dựng lại hệ thống của mình từ đầu.
Bạn có thể nhận được nhiều lần đòi tiền chuộc. Sau khi bạn trả tiền chuộc, tội phạm mạng đã triển khai ransomware biết bạn đang nằm trong tay chúng. Họ có thể cung cấp cho bạn một chìa khóa hoạt động nếu bạn sẵn sàng trả nhiều hơn một chút.
Bạn có thể nhận được một khóa giải mã hoạt động. Những người tạo ra phần mềm tống tiền không để bán, mà họ đang kinh doanh kiếm tiền. Nói cách khác, trình giải mã để bạn biết rằng đã kết thúc thỏa thuận với bọn tội phạm. Hơn nữa, bản thân quá trình mã hóa có thể làm hỏng một số tệp, không thể sửa chữa được. Nếu điều này xảy ra, ngay cả một khóa giải mã tốt cũng sẽ không thể mở khóa các tệp của bạn và chúng sẽ biến mất vĩnh viễn.
Bạn có thể đang tạo ra một mục tiêu. Một khi bạn trả tiền chuộc, bọn tội phạm biết bạn là một khoản đầu tư tốt. Một tổ chức đã được chứng minh về việc trả tiền chuộc, là một mục tiêu hấp dẫn hơn một mục tiêu mới. Điều gì sẽ ngăn chặn nhóm tội phạm tấn công, hoặc vào một diễn đàn và thông báo cho những tên tội phạm mạng khác rằng bạn là một kẻ dễ bị bắt nạt.
Ngay cả khi mọi thứ kết thúc tốt đẹp, bạn vẫn đang tài trợ cho hoạt động tội phạm. Giả sử bạn trả tiền chuộc, nhận một khóa giải mã tốt để khôi phục và chạy mọi thứ. Điều này có thể dẫn đến tình huống xấu nhất hoặc tốt nhất. Khi bạn trả tiền chuộc, bạn đang tài trợ cho các hoạt động tội phạm. Bỏ những tiêu chuẩn đạo đức sang một bên, bạn đang tưởng rằng ransomware là một mô hình kinh doanh. Hãy nghĩ về điều đó, nếu không ai trả tiền chuộc, bạn có nghĩ rằng họ sẽ tiếp tục đưa ransomware vào để lây nhiễm không?. Với lợi nhuận cao, những tên tội phạm này sẽ tiếp tục tàn phá các doanh nghiệp, chúng dành thời gian và tiền vào việc phát triển các dòng ransomware mới hơn và thậm chí nguy hiểm hơn, một trong số chúng có thể tìm thấy đường vào thiết bị của bạn trong tương lai.
Các sản phẩm của McAfee tận dụng một số công nghệ, giúp ngăn chặn ransomware. Sau đây là các sản phẩm của McAfee, cung cấp các cấu hình được thiết kế, để ngăn chặn nhiều loại ransomware:
McAfee Endpoint Security kết hợp các khả năng truyền thống với học máy và ngăn chặn, để giúp phát hiện hành vi đáng ngờ và các mối đe dọa, bao gồm cả các cuộc tấn công không ngày và không lọc. Nó tận dụng McAfee Global Threat Intelligence, chứa hàng triệu cảm biến theo dõi các chữ ký ransomware duy nhất.
McAfee Web Protection sử dụng trí tuệ học máy, để quét nội dung đang hoạt động của một trang web, mô phỏng hành vi và dự đoán mục đích của nó. Và chủ động bảo vệ chống lại các cuộc tấn công có chủ đích trước khi chúng tiếp cận hệ thống đầu cuối.
McAfee Threat Intelligence Exchange sử dụng cấu hình để xác định quy trình nghi ngờ.
McAfee Application Control cung cấp khả năng bảo vệ hai lớp từ công nghệ danh sách trắng và bảo vệ bộ nhớ, có thể giúp ngăn chặn việc thực thi các tệp nhị phân đến từ nguồn không đáng tin cậy và chặn khai thác zero-day.
Trân trọng cám ơn quý độc giả./.
Biên dịch: Lê Toản – Iworld.com.vn