Ransomware: các mối đe dọa hiện đại, cách ngăn chặn chúng và cách FBI có thể trợ giúp
Vào tháng 4 năm 2021, các siêu thị của Hà Lan phải đối mặt với tình trạng thiếu lương thực. Nguyên nhân không phải do hạn hán hay nhu cầu về bơ tăng đột ngột. Thay vào đó, lý do là một cuộc tấn công ransomware. Trong những năm qua, các công ty, trường đại học, trường học, cơ sở y tế và các tổ chức khác đã trở thành mục tiêu của các tác nhân đe dọa ransomware, biến ransomware thành cuộc khủng hoảng bảo mật nghiêm trọng nhất trên Internet.
Toàn cảnh phần mềm tống tiền
Ransomware đã tồn tại hơn 30 năm, nhưng nó đã trở thành nguồn thu nhập béo bở cho những kẻ tấn công mạng và các băng đảng trong thập kỷ qua. Kể từ năm 2015, các băng nhóm ransomware đã nhắm mục tiêu vào các tổ chức thay vì cá nhân. Do đó, số tiền chuộc đã tăng lên đáng kể, lên tới hàng triệu đô la.
Ransomware hiệu quả vì nó gây áp lực cho nạn nhân theo hai cách bổ sung cho nhau. Đầu tiên, bằng cách đe dọa nạn nhân phá hủy dữ liệu của họ. Thứ hai, bằng cách đe dọa công khai cuộc tấn công. Mối đe dọa thứ hai có tác động gián tiếp, nhưng nó cũng nghiêm trọng không kém (nếu không muốn nói là hơn). Việc xuất bản có thể gây ra các vấn đề về quy định và tuân thủ, cũng như các tác động tiêu cực về lâu dài đối với thương hiệu.
Dưới đây là một số ví dụ về ghi chú ransomware thực sự:
Ransomware as a Service (RaaS) đã trở thành loại ransomware phổ biến nhất. Trong các cuộc tấn công RaaS, cơ sở hạ tầng ransomware được bọn tội phạm mạng phát triển và sau đó được cấp phép cho những kẻ tấn công khác sử dụng. Những kẻ tấn công khách hàng có thể trả tiền cho việc sử dụng phần mềm hoặc họ có thể chia chiến lợi phẩm với những người tạo ra. Etay maor, Giám đốc cấp cao Chiến lược bảo mật tại Cato Networks nhận xét: “Có nhiều hình thức RaaS khác. Sau khi nhận được khoản thanh toán của ransomware, một số nhóm Ransomware bán tất cả dữ liệu về mạng của nạn nhân cho các băng đảng khác. Điều này có nghĩa là cuộc tấn công tiếp theo đơn giản hơn nhiều và có thể hoàn toàn tự động vì nó không đòi hỏi những kẻ tấn công phải mất hàng tuần khám phá và phân tích mạng.”
Một số người chơi RaaS chính, những người khét tiếng vì đã biến bối cảnh RaaS thành như ngày nay, là CryptoLocker, người đã lây nhiễm hơn một phần tư triệu hệ thống vào những năm 2000 và kiếm được hơn 3 triệu đô la trong vòng chưa đầy bốn tháng, CryptoWall, người đã tạo ra hơn 18 triệu đô la và yêu cầu tư vấn của FBI, và cuối cùng là Petya, notpetya và WannaCry, những kẻ đã sử dụng nhiều kiểu khai thác khác nhau, bao gồm cả ransomware.
Cách FBI giúp chống lại Ransomware
Một tổ chức bị tấn công chắc chắn sẽ cảm thấy thất vọng và bối rối. Một trong những cách hành động được khuyến nghị đầu tiên là liên hệ với nhóm Ứng phó Sự cố. Nhóm IR có thể hỗ trợ điều tra, phục hồi và đàm phán. Sau đó, FBI cũng có thể giúp đỡ.
Một phần nhiệm vụ của FBI là nâng cao nhận thức về ransomware. Nhờ có mạng lưới địa phương và toàn cầu rộng lớn, họ có quyền truy cập vào thông tin tình báo có giá trị. Thông tin này có thể giúp nạn nhân đàm phán và vận hành. Ví dụ: FBI có thể cung cấp thông tin hồ sơ về tác nhân đe dọa dựa trên ví Bitcoin của họ.
Để giúp các nạn nhân của phần mềm tống tiền và ngăn chặn phần mềm tống tiền, FBI đã thành lập 56 Lực lượng Đặc nhiệm Mạng trên khắp các văn phòng hiện trường của mình. Các Lực lượng Đặc nhiệm này hợp tác chặt chẽ với IRS, Bộ Giáo dục, Văn phòng Tổng Thanh tra, Dịch vụ Bảo vệ Liên bang và Cảnh sát Tiểu bang. Họ cũng có liên hệ chặt chẽ với Sở Mật vụ và có quyền truy cập vào các phòng thí nghiệm pháp y khu vực. Đối với các tội phạm mạng thuộc An ninh Quốc gia, FBI có một Biệt đội được chỉ định.
Cùng với Lực lượng Đặc nhiệm Mạng, FBI vận hành CyWatch 24/7, là Trung tâm Theo dõi để điều phối các văn phòng hiện trường, khu vực tư nhân và các cơ quan liên bang và tình báo khác. Ngoài ra còn có Trung tâm Khiếu nại Tội phạm Internet, ic3.gov, để đăng ký khiếu nại và xác định xu hướng.
Ngăn chặn các cuộc tấn công của Ransomware đúng lúc
Nhiều cuộc tấn công bằng mã độc tống tiền không nhất thiết phải đến mức cần đến FBI. Thay vào đó, chúng có thể tránh được trước. Ransomware không phải là một cuộc tấn công một lần. Thay vào đó, một loạt các chiến thuật và kỹ thuật đều góp phần thực hiện nó. Bằng cách xác định trước các lỗ hổng bảo mật và mạng cho phép tấn công, các tổ chức có thể chặn hoặc hạn chế khả năng thực hiện ransomware của các tác nhân đe dọa. Etay Maor nói thêm “Chúng ta cần suy nghĩ lại về khái niệm “những kẻ tấn công chỉ cần đúng một lần, những người phòng thủ cần luôn đúng”. Một cuộc tấn công mạng là sự kết hợp của nhiều chiến thuật và kỹ thuật. Như vậy, nó chỉ có thể được chống lại bằng một cách tiếp cận toàn diện, với nhiều hệ thống bảo mật hội tụ, tất cả đều chia sẻ bối cảnh trong thời gian thực. Đây chính xác là những gì mà kiến trúc SASE, chứ không phải kiến trúc nào khác, mang lại cho những người bảo vệ”.
Ví dụ: đây là tất cả các bước trong một cuộc tấn công REvil vào một nhà sản xuất nổi tiếng, được vạch ra cho khung MITRE ATT&CK. Như bạn có thể thấy, có rất nhiều giai đoạn diễn ra trước khi đòi tiền chuộc thực tế và rất cần thiết cho “sự thành công” của nó. Bằng cách giảm thiểu những rủi ro đó, cuộc tấn công có thể đã được ngăn chặn.
Đây là một bản đồ tương tự của một cuộc tấn công Sodinokobi:
Ánh xạ tấn công mê cung vào khung MITRE:
Một cách khác để lập bản đồ các cuộc tấn công bằng mã độc tống tiền là thông qua bản đồ nhiệt, hiển thị tần suất các chiến thuật và kỹ thuật khác nhau được sử dụng. Đây là bản đồ nhiệt của các cuộc tấn công Mê cung:
Một cách để sử dụng các ánh xạ này là để phân tích mạng và thử nghiệm hệ thống. Bằng cách kiểm tra khả năng phục hồi của hệ thống đối với các chiến thuật và kỹ thuật này, đồng thời triển khai các biện pháp kiểm soát có thể giảm thiểu mọi rủi ro, các tổ chức sẽ giảm nguy cơ bị một tác nhân nhất định tấn công bằng mã độc tống tiền vào các tài nguyên quan trọng của họ.
Làm thế nào để tránh các cuộc tấn công – Từ miệng ngựa
Nhưng đừng tin lời chúng tôi. Một số kẻ tấn công mã độc tống tiền đủ “tử tế” để cung cấp cho các tổ chức các phương pháp hay nhất để bảo vệ họ khỏi các cuộc tấn công mã độc tống tiền trong tương lai. Các khuyến nghị bao gồm:
Tắt mật khẩu cục bộ Sử dụng mật khẩu an toàn Buộc kết thúc phiên quản trị Cấu hình chính sách nhóm Kiểm tra quyền truy cập của người dùng đặc quyền Đảm bảo chỉ những ứng dụng cần thiết mới chạy Hạn chế sự phụ thuộc của phần mềm chống vi-rút Cài đặt EDR Quản trị viên hệ thống 24 giờ Bảo vệ các cổng dễ bị tấn công Theo dõi tường lửa bị định cấu hình sai Và hơn thế nữa
Etay Maor của Cato Networks nhấn mạnh “Không có gì mới trong những điều mà một số nhóm Ransomware nói rằng các tổ chức cần làm. Những phương pháp hay nhất này đã được thảo luận trong nhiều năm. Lý do chúng vẫn hoạt động là chúng tôi cố gắng áp dụng chúng bằng cách sử dụng các giải pháp điểm, rời rạc. Điều đó không ‘không hoạt động và sẽ không hoạt động. Kiến trúc SASE, có nguồn gốc từ đám mây, trong đó tất cả các giải pháp bảo mật chia sẻ bối cảnh và có khả năng xem mọi luồng mạng cũng như có được cái nhìn tổng thể về vòng đời tấn công có thể tạo sân chơi bình đẳng trước các cuộc tấn công mạng”.
Ngăn chặn ransomware: Một hoạt động đang diễn ra
Cũng giống như đánh răng hay tập thể dục, vệ sinh an toàn là một việc làm liên tục và có phương pháp. Những kẻ tấn công ransomware đã được biết là quay lại hiện trường vụ án và yêu cầu khoản tiền chuộc thứ hai, nếu vấn đề chưa được giải quyết. Bằng cách sử dụng các biện pháp kiểm soát bảo mật có thể giảm thiểu hiệu quả các mối đe dọa bảo mật và có kế hoạch ứng phó sự cố phù hợp, rủi ro có thể được giảm thiểu cũng như ngày phải trả của những kẻ tấn công. FBI ở đây để giúp đỡ và cung cấp thông tin có thể hỗ trợ, chúng ta hãy hy vọng rằng sự trợ giúp sẽ không cần thiết.
Để tìm hiểu thêm về các cuộc tấn công bằng mã độc tống tiền và cách ngăn chặn chúng, bạn có thể xem loạt bài Lớp học nâng cao về an ninh mạng của Cato Networks.
