- Tài nguyênCông cụ trực tuyến
- Định giá
- Giới thiệu
- Nhà phát triển
VN
Nếu bạn đã theo dõi bất kỳ tiêu đề an ninh mạng nào gần đây, bạn sẽ nhận thấy một xu hướng đáng lo ngại. Đã qua rồi cái thời mà những cuộc tấn công này chủ yếu tập trung vào việc đánh cắp chi tiết thẻ tín dụng, thông tin an sinh xã hội và hiển thị những quảng cáo bật lên gây phiền nhiễu đó. Chúng đã phát triển thành mối đe dọa hiện hữu lớn đối với các doanh nghiệp thuộc mọi quy mô trên khắp thế giới.
Chúng ta đang chứng kiến các cuộc tấn công không chỉ gây ra sự sụt giảm nhỏ về năng suất cho doanh nghiệp mà thay vào đó tạm dừng hoạt động của họ trong một hoặc hai ngày. Chúng ta đang chứng kiến các cuộc tấn công có khả năng xóa sổ toàn bộ tổ chức khỏi bản đồ.
Có một quan niệm sai lầm kéo dài rằng các cuộc tấn công ransomware nhắm mục tiêu rõ ràng vào các công ty công nghệ lớn, doanh nghiệp hoặc các cơ quan chính phủ vô danh. Tin tặc còn bừa bãi hơn thế. Các doanh nghiệp sống sót sau suy thoái, chiến tranh toàn cầu và đại dịch đang sụp đổ dưới áp lực tống tiền kỹ thuật số và họ cần học cách bảo vệ bản thân một cách nhanh chóng.
Trong bài đăng này, chúng tôi sẽ phân tích chính xác ransomware là gì, cơ chế đằng sau các cuộc tấn công hiện đại, tại sao chúng lây lan nhanh như vậy và chúng có thể tàn nhẫn như thế nào khi khiến một công ty mất cảnh giác.
Trước khi chúng ta đi sâu hơn vào một số câu chuyện kinh dị và những câu chuyện cảnh báo, chúng ta hãy nhanh chóng tìm hiểu một số định nghĩa.
Ransomware được mô tả tốt nhất là phần mềm độc hại (phần mềm độc hại) làm gián đoạn hoạt động và từ chối doanh nghiệp truy cập vào hệ thống của mình cho đến khi thanh toán một khoản tiền. Đây sẽ là giá chuộc.
Mặc dù định nghĩa từ điển có thể hơi trừu tượng hoặc thậm chí lâm sàng, nhưng hãy xem qua một kịch bản tưởng tượng về một cuộc tấn công ransomware thực sự sẽ như thế nào. Hãy tưởng tượng bạn bước vào văn phòng của mình vào sáng mai. Bạn đã sắp xếp tất cả các cuộc họp của mình và bạn đã sẵn sàng để bắt đầu.
Bạn đánh thức máy tính, lắc chuột và màn hình trở nên sống động, nhưng hình nền màn hình thông thường đã biến mất. Thay vào đó, những gì bạn thấy là một màn hình đen với văn bản màu đỏ đe dọa giải thích rằng mọi tệp trên hệ thống của bạn, mọi cơ sở dữ liệu và mọi hồ sơ khách hàng đã được mã hóa và bạn không thể truy cập chúng nữa. Trạm hoảng loạn.
Thông thường, mã hóa là một công cụ được sử dụng bởi các "người tốt" để đảm bảo an ninh mạng. Nhưng với ransomware, chúng lật ngược quan điểm đó và mã hóa tất cả dữ liệu của bạn, biết rằng họ là những người duy nhất có chìa khóa để mở khóa nó.
Tiếp theo, tin tặc yêu cầu một khoản tiền chuộc. Điều này thường ở dạng thanh toán bằng tiền điện tử, chẳng hạn như Bitcoin, nhưng nhiều khả năng nó là một đồng tiền khó theo dõi hơn như Monero hoặc Zcash. Lời hứa là một khi bạn trả tiền chuộc, họ sẽ giải mã hệ thống của bạn và bạn có thể quay trở lại con đường vui vẻ của mình như thể không có gì xảy ra.
Hầu hết các băng đảng hiện nay cũng sử dụng một chiến thuật bất chính được gọi là tống tiền kép, trong đó chúng khóa tệp của bạn, sao chép tất cả các tệp của bạn và đe dọa rò rỉ chúng ra công chúng. Vì vậy, ngay cả khi bạn chuẩn bị cho một cuộc tấn công ransomware bằng cách có các bản sao lưu vững chắc, chúng vẫn có đòn bẩy thứ hai chống lại bạn dưới dạng rò rỉ dữ liệu trên diện rộng. Họ có thể đe dọa tiết lộ dữ liệu cá nhân của khách hàng, tài liệu pháp lý hoặc bí mật thương mại. Tất cả phụ thuộc vào loại dữ liệu mà họ có được.
Theo nhiều cách, điều này trở thành một tình huống con tin kỹ thuật số và rất khó điều hướng khi khẩu súng chĩa thẳng vào danh tiếng và sự tồn tại của tổ chức.
Nếu một mối đe dọa đã được biết đến nhiều như vậy vào thời điểm này, làm thế nào nó vẫn gây ra nhiều thiệt hại trên quy mô lớn như vậy? Vấn đề nằm ở tốc độ phân phối phần mềm độc hại khi mạng bị xâm phạm, cũng như kiến trúc của các mạng hiện đại.
Ransomware lây lan bằng cách đi theo con đường ít kháng cự nhất và vấn đề với phần lớn cơ sở hạ tầng kỹ thuật số hiện đại là nó có đầy những cánh cửa không khóa.
Cần gì để một cuộc tấn công ransomware bắt đầu? Trong khi văn hóa đại chúng vẽ ra một bức tranh về một nhân vật trùm đầu trong một căn phòng tối điên cuồng gõ bàn phím, cố gắng vượt qua tường lửa, thực tế lại trần tục hơn một chút (và gây khó chịu hơn rất nhiều cho các nhóm an ninh).
Hầu hết thời gian, tin tặc không cần một cú đập để cố gắng xông vào cửa trước được bảo vệ nghiêm ngặt. Họ chỉ lấy chìa khóa dự phòng để dưới thảm. Về mặt thực tế, khóa dự phòng này có thể là một cái gì đó đơn giản như một mật khẩu yếu hoặc bị xâm phạm. Và nếu doanh nghiệp của bạn sử dụng hàng trăm hoặc hàng nghìn người, mỗi người sử dụng hàng chục ứng dụng, đó là rất nhiều vết nứt tiềm ẩn có thể bị khai thác.
Nếu kẻ tấn công đoán đúng mật khẩu yếu hoặc mua danh sách đăng nhập hợp lệ từ web đen, chúng chỉ cần đăng nhập vào mạng của bạn như một người dùng hợp pháp. Một khi họ đã tham gia, hầu hết các hệ thống phòng thủ an ninh mạng không còn coi họ như người ngoài và họ được tự do di chuyển ngang giữa các hệ thống, phát tán phần mềm độc hại cho đến khi nó đạt đến khối lượng quan trọng.
Một khi những kẻ tấn công đã đặt chân vào cửa, chúng sẽ dành thời gian để lây nhiễm vào hệ thống một cách lén lút nhất có thể. Họ làm điều này bằng cách sử dụng một kỹ thuật gọi là "sống dựa vào đất".
Thay vì tải lên các loại virus độc hại rõ ràng mà phần mềm diệt virus có thể phát hiện, chúng sử dụng các công cụ đã được tích hợp sẵn trong hệ điều hành Windows. Họ có thể sử dụng PowerShell (một khung tự động hóa tác vụ) để chạy các tập lệnh vô hiệu hóa cảnh báo bảo mật hoặc quét mạng để tìm các máy tính khác.
Và bởi vì họ đang sử dụng các công cụ quản trị hợp pháp, họ hòa nhập vào lưu lượng mạng thông thường mà không có bất kỳ nghi ngờ nào. Sử dụng phương pháp này, nhóm bảo mật có thể mất hàng giờ, vài ngày hoặc trong một số trường hợp, hàng tháng để nhận thấy sự bất thường. Điều này cho phép ransomware gây thiệt hại và lan truyền qua các hệ thống và dữ liệu, leo thang đặc quyền của nó cho đến khi tin tặc đạt đến điểm mà chúng có thể khóa toàn bộ tổ chức.
Vì vậy, bạn đã nghe nói về SaaS (phần mềm dưới dạng dịch vụ). Bây giờ hãy tưởng tượng mô hình kinh doanh đó, nhưng lần này nó được xây dựng cho tội phạm mạng. Nghe có vẻ quá trơ trẽn để nó trở thành một thứ có thật, nhưng đây chính xác là ransomware-as-a-service (RaaS).
Trước đây, nếu bạn muốn thực hiện một cuộc tấn công ransomware, bạn cần có kỹ năng kỹ thuật nghiêm túc và kỹ năng hack thậm chí để tiến gần đến thành công. Đó là lý do tại sao những cuộc tấn công này rất ít. Nhưng ngày nay, bất kỳ ai cũng có thể lên mạng và mua một bộ ransomware làm sẵn.
Các nhóm tội phạm đóng gói các công cụ của họ lại với nhau giống như cách một công ty phần mềm hiện đại đóng gói các ứng dụng của mình và sau đó họ bán chúng trên cơ sở đăng ký. Các dịch vụ này thường đi kèm với dịch vụ khách hàng, hướng dẫn kỹ thuật, hướng dẫn giới thiệu, mô hình chia sẻ lợi nhuận và thậm chí cả bảng điều khiển theo dõi sự lây nhiễm giữa các nạn nhân.
Điều này nghe có vẻ điên rồ, nhưng đó là một "ngành công nghiệp" thực sự và nó đang diễn ra hàng ngày.
Kết quả là bất kỳ ai có ý định xấu, cho dù là nhân viên cũ bất mãn, ai đó đang tìm kiếm một chút tiền mặt hay ai đó chỉ muốn xem thế giới bùng cháy, đều có thể khởi động các cuộc tấn công ransomware trên quy mô lớn. Họ không cần phải hiểu cách thức hoạt động của phần mềm độc hại vì nó đã được phát triển.
Đây là một trong những lý do lớn nhất khiến các cuộc tấn công bùng nổ. Tội phạm mạng đã trở thành nhượng quyền. Và với nhiều tội phạm hơn, sự gia tăng đáng kể về sự hung hăng.
Nếu bạn nghĩ rằng các băng nhóm ransomware dừng lại ở việc khóa tệp, hãy suy nghĩ lại. Mô hình kinh doanh của họ phụ thuộc vào nỗi sợ hãi, áp lực và sự sỉ nhục. Họ muốn nạn nhân hoảng loạn. Họ muốn những người ra quyết định cảm thấy bị lùi vào một góc.
Một câu chuyện gần đây của BBC cho thấy mọi thứ có thể trở nên tàn bạo như thế nào. Một nhóm ransomware không chỉ đánh cắp dữ liệu mà còn nhắm mục tiêu trực tiếp vào nhân viên. Họ gửi tin nhắn đe dọa làm rò rỉ thông tin cá nhân và hồ sơ y tế, sử dụng nhân viên làm đòn bẩy cảm xúc để buộc doanh nghiệp phải trả tiền. Đây không phải là một "quả táo xấu" một lần. Điều này đang trở thành hành vi tiêu chuẩn.
Tội phạm hiện nay:
Không có cảm giác xấu hổ thực sự, và không có ranh giới nào mà họ từ chối vượt qua. Những tên tội phạm này không chỉ muốn tiền, chúng muốn kiểm soát và tuân thủ hoàn toàn, và chúng sẽ siết chặt nạn nhân của mình bằng mọi cách có thể cho đến khi chúng có được nó.
Mỗi năm, những cuộc tấn công này trở nên nhanh hơn, hung hăng hơn và gây thiệt hại nhiều hơn. Các nhóm tội phạm đang hợp tác và trau dồi kỹ năng của họ, chia sẻ "thực tiễn tốt nhất" và từ từ tinh chỉnh các chiến lược. Và với các ưu đãi tài chính quá cao, không thiếu những kẻ xấu muốn nhảy vào và kiếm được miếng bánh của riêng họ.
Đối với các doanh nghiệp, bước đầu tiên để bảo vệ là hiểu cách ransomware thực sự hoạt động và hy vọng blog này đã bắt đầu bạn trên con đường đó. Đối với mức độ tàn bạo của ransomware, nó có thể ngăn chặn được bằng các phương pháp an ninh mạng tốt và đào tạo nhân viên thường xuyên.
Hãy nhớ rằng, khả năng phòng thủ của bạn chỉ mạnh bằng mắt xích yếu nhất của bạn, vì vậy hãy đảm bảo rằng mọi người trong tổ chức của bạn hiểu rủi ro của ransomware và trách nhiệm của họ khi tương tác trực tuyến.
