Ransomware là một loại phần mềm độc hại được tội phạm mạng sử dụng để ngăn người dùng truy cập vào hệ thống hoặc tệp của họ; sau đó tội phạm mạng đe dọa làm rò rỉ, phá hủy hoặc giữ lại thông tin nhạy cảm trừ khi trả tiền chuộc.
Các cuộc tấn công ransomware có thể nhắm mục tiêu vào dữ liệu được lưu trữ trên hệ thống máy tính (được gọi là ransomware khóa) hoặc thiết bị (crypto-ransomware). Trong cả hai trường hợp, sau khi trả tiền chuộc, các tác nhân đe dọa thường cung cấp cho nạn nhân khóa giải mã hoặc công cụ để mở khóa dữ liệu hoặc thiết bị của họ, mặc dù điều này không được đảm bảo.
Oliver Pinson-Roxburgh, Giám đốc điều hành của Defense.com, nền tảng an ninh mạng tất cả trong một, chia sẻ kiến thức và lời khuyên trong bài viết này về cách thức hoạt động của ransomware, mức độ gây hại của nó và cách doanh nghiệp của bạn có thể giảm thiểu các cuộc tấn công ransomware xảy ra.
Một cuộc tấn công ransomware bao gồm những gì?
Có ba yếu tố chính dẫn đến một cuộc tấn công bằng ransomware:
Truy cập
Để triển khai phần mềm độc hại mã hóa tệp và giành quyền kiểm soát, tội phạm mạng cần có quyền truy cập ban đầu vào hệ thống của tổ chức.
Kích hoạt
Những kẻ tấn công có quyền kiểm soát dữ liệu ngay sau khi phần mềm độc hại được kích hoạt. Dữ liệu được mã hóa và không còn được truy cập bởi tổ chức được nhắm mục tiêu.
Yêu cầu
Các nạn nhân sẽ nhận được cảnh báo rằng dữ liệu của họ đã được mã hóa và không thể truy cập được cho đến khi trả tiền chuộc.
Doanh nghiệp lớn cho tội phạm mạng
Động cơ của tội phạm mạng triển khai phần mềm độc hại có thể khác nhau nhưng mục tiêu cuối cùng thường là thu lợi tài chính.
Chi phí để được nhắm mục tiêu bởi ransomware là gì?
Mức chi trả trung bình từ các cuộc tấn công bằng ransomware đã tăng từ 312.000 đô la / 260.000 bảng Anh vào năm 2020 lên 570.000 đô la / 476.000 bảng Anh vào năm 2021 – tăng 83%. Một báo cáo cũng chỉ ra rằng 66% các tổ chức được khảo sát là nạn nhân của các cuộc tấn công ransomware vào năm 2021, gần gấp đôi so với năm 2020 (37%). Điều này cho thấy sự cần thiết của các doanh nghiệp phải hiểu các rủi ro và thực hiện các biện pháp phòng thủ mạnh mẽ hơn để chống lại các mối đe dọa.
Ransomware tiếp tục được xếp hạng trong số các cuộc tấn công mạng phổ biến nhất vào năm 2022, do tính chất sinh lợi của nó và mức độ nỗ lực khá thấp của thủ phạm. Cuộc tấn công làm suy yếu này gây ra thời gian ngừng hoạt động trung bình là 3 tuần và có thể gây ra những hậu quả lớn đối với một tổ chức, đối với tài chính, hoạt động và danh tiếng của tổ chức đó.
Bởi vì không có gì đảm bảo rằng tội phạm mạng sẽ phát hành dữ liệu sau khi trả tiền chuộc, điều quan trọng là phải bảo vệ dữ liệu của bạn và giữ các bản sao lưu ngoại tuyến cho các tệp của bạn. Việc chủ động theo dõi và bảo vệ các điểm xâm nhập mà hacker có thể khai thác cũng rất quan trọng để giảm khả năng bị nhắm mục tiêu ngay từ đầu.
Ai có nguy cơ trở thành mục tiêu của ransomware?
Trong quá khứ, tội phạm mạng thường nhắm mục tiêu vào các tổ chức nổi tiếng, các tập đoàn lớn và các cơ quan chính phủ bằng ransomware. Đây được gọi là ‘săn lùng trò chơi lớn' và hoạt động dựa trên tiền đề rằng các công ty này có nhiều khả năng trả tiền chuộc cao hơn và tránh sự giám sát không mong muốn từ giới truyền thông và công chúng. Một số tổ chức nhất định, chẳng hạn như bệnh viện, là mục tiêu có giá trị cao hơn vì họ có nhiều khả năng trả tiền chuộc hơn và làm như vậy nhanh chóng vì họ cần truy cập khẩn cấp vào dữ liệu quan trọng.
Tuy nhiên, các nhóm ransomware hiện đang chuyển trọng tâm sang các doanh nghiệp nhỏ hơn, để đối phó với áp lực gia tăng từ cơ quan thực thi pháp luật, những người đang đàn áp các nhóm ransomware nổi tiếng như REvil và Conti. Các công ty nhỏ hơn được coi là mục tiêu dễ dàng có thể thiếu các biện pháp bảo vệ an ninh mạng hiệu quả để ngăn chặn cuộc tấn công bằng ransomware, khiến việc xâm nhập và khai thác chúng dễ dàng hơn.
Cuối cùng, các tác nhân đe dọa là những kẻ cơ hội và sẽ coi hầu hết các tổ chức là mục tiêu, bất kể quy mô của họ. Nếu tội phạm mạng nhận thấy một lỗ hổng, công ty là một trò chơi công bằng.
Ransomware được triển khai như thế nào?
Tấn công lừa đảo
Phương thức phân phối phổ biến nhất của ransomware là thông qua các cuộc tấn công lừa đảo. Lừa đảo là một dạng kỹ thuật xã hội và là một phương pháp tấn công hiệu quả vì nó dựa vào sự lừa dối và tạo ra cảm giác cấp bách. Các tác nhân đe dọa lừa nhân viên mở các tệp đính kèm đáng ngờ trong email và điều này thường đạt được bằng cách bắt chước nhân viên cấp cao hoặc các nhân vật đáng tin cậy khác của cơ quan quyền lực.
Quảng cáo độc hại
Quảng cáo độc hại là một chiến thuật khác được tội phạm mạng sử dụng để triển khai ransomware, trong đó không gian quảng cáo được mua và bị nhiễm phần mềm độc hại, sau đó được hiển thị trên các trang web hợp pháp và đáng tin cậy. Khi quảng cáo được nhấp hoặc thậm chí trong một số trường hợp khi người dùng truy cập vào trang web lưu trữ phần mềm độc hại, thiết bị đó sẽ bị nhiễm phần mềm độc hại quét thiết bị để tìm lỗ hổng để khai thác.
Khai thác các hệ thống dễ bị tấn công
Ransomware cũng có thể được triển khai bằng cách khai thác các hệ thống chưa được vá lỗi và đã lỗi thời, như trường hợp của năm 2017, khi một lỗ hổng bảo mật trong Microsoft Windows, EternalBlue (MS17-010), dẫn đến cuộc tấn công ransomware WannaCry toàn cầu lan rộng đến hơn 150 quốc gia.
Đây là cuộc tấn công mạng lớn nhất tấn công NHS: thiệt hại gây thiệt hại lên tới 92 triệu bảng Anh cộng với chi phí hỗ trợ CNTT bổ sung để khôi phục dữ liệu và hệ thống bị ảnh hưởng bởi cuộc tấn công và nó ảnh hưởng trực tiếp đến việc chăm sóc bệnh nhân thông qua các cuộc hẹn bị hủy.
Bốn phương pháp chính để bảo vệ doanh nghiệp của bạn chống lại phần mềm tống tiền
Điều quan trọng là các doanh nghiệp phải nhận thức được cách thức một cuộc tấn công bằng ransomware có thể ảnh hưởng đến tổ chức của họ và cách họ có thể ngăn chặn tội phạm mạng xâm phạm hệ thống của họ và giữ dữ liệu nhạy cảm để đòi tiền chuộc. Có tới 61% các tổ chức có đội bảo mật bao gồm 11–25 nhân viên được cho là lo ngại nhất về các cuộc tấn công ransomware.
NHS có thể tránh bị ảnh hưởng bởi cuộc tấn công mã độc tống tiền WannaCry vào năm 2017 bằng cách lưu ý các cảnh báo và di chuyển khỏi phần mềm lỗi thời, đảm bảo có các chiến lược để củng cố vị thế bảo mật của họ.
Điều cần thiết là doanh nghiệp của bạn phải có cách tiếp cận chủ động đối với an ninh mạng bằng cách triển khai các công cụ chính xác để giúp theo dõi, phát hiện và giảm thiểu hoạt động đáng ngờ trên mạng và cơ sở hạ tầng của bạn. Điều này sẽ làm giảm số lượng và tác động của các vụ vi phạm dữ liệu và tấn công mạng.
Defense.com khuyến nghị bốn chiến thuật cơ bản sau để giúp ngăn chặn các cuộc tấn công bằng ransomware và luôn đi trước tin tặc một bước:
1 – Đào tạo
Đào tạo nâng cao nhận thức về an ninh mạng là quan trọng đối với các doanh nghiệp thuộc mọi quy mô vì nó giúp nhân viên phát hiện các email hoặc hoạt động độc hại tiềm ẩn.
Các chiến thuật kỹ thuật xã hội, chẳng hạn như lừa đảo và điều chỉnh, là phổ biến và thành công do lỗi của con người và nhân viên không phát hiện ra rủi ro. Điều quan trọng là nhân viên phải cảnh giác với các email chứa các liên kết đáng ngờ hoặc chứa các yêu cầu bất thường để chia sẻ dữ liệu cá nhân, thường được gửi bởi ai đó giả danh là nhân viên cấp cao.
Đào tạo bảo mật cũng khuyến khích nhân viên truy vấn khách đến văn phòng của bạn để ngăn chặn các cuộc tấn công bằng ransomware thông qua xâm nhập vật lý.
Việc thực hiện đào tạo nâng cao nhận thức về an ninh mạng sẽ giúp doanh nghiệp của bạn thường xuyên giáo dục và đánh giá nhân viên của bạn về các phương pháp bảo mật cơ bản, cuối cùng tạo ra văn hóa bảo mật để giảm nguy cơ vi phạm dữ liệu và sự cố bảo mật.
2 – Trình mô phỏng lừa đảo
Các công cụ mô phỏng này hỗ trợ đào tạo nhận thức về bảo mật của bạn bằng cách gửi email lừa đảo giả nhưng thực tế cho nhân viên. Hiểu được nhân viên của bạn có xu hướng rơi vào chiến thuật của tội phạm mạng thực sự như thế nào cho phép bạn lấp đầy những lỗ hổng trong quá trình đào tạo của họ.
Khi bạn kết hợp trình mô phỏng lừa đảo với đào tạo bảo mật, tổ chức của bạn có thể giảm nguy cơ trở thành nạn nhân của một cuộc tấn công ransomware. Sự kết hợp giữa đào tạo và kiểm tra đưa bạn vào vị trí tốt hơn để ngăn chặn những nỗ lực xảo quyệt của tội phạm mạng nhằm xâm nhập vào hệ thống CNTT của bạn và tạo ra phần mềm độc hại.
3 – Giám sát mối đe dọa
Bạn có thể làm cho doanh nghiệp của mình ít trở thành mục tiêu của tội phạm mạng bằng cách chủ động theo dõi các mối đe dọa tiềm ẩn. Threat Intelligence là một công cụ giám sát mối đe dọa đối chiếu dữ liệu từ nhiều nguồn khác nhau, chẳng hạn như kiểm tra thâm nhập và quét lỗ hổng bảo mật, đồng thời sử dụng thông tin này để giúp bạn phòng thủ trước các cuộc tấn công phần mềm độc hại và ransomware tiềm ẩn. Tổng quan về bối cảnh mối đe dọa của bạn cho thấy những khu vực nào có nguy cơ bị tấn công mạng hoặc vi phạm dữ liệu cao nhất.
Chủ động đảm bảo bạn luôn đi trước tin tặc một bước và bằng cách giới thiệu các công cụ giám sát mối đe dọa cho tổ chức của mình, bạn đảm bảo phát hiện sớm mọi hành vi đáng ngờ để khắc phục.
4 – Bảo vệ điểm cuối
Bảo vệ điểm cuối là chìa khóa để hiểu nội dung nào của bạn dễ bị tấn công, giúp bảo vệ chúng và đẩy lùi các cuộc tấn công bằng phần mềm độc hại như ransomware. Không chỉ là phần mềm chống vi-rút thông thường của bạn, bảo vệ điểm cuối cung cấp các tính năng bảo mật nâng cao giúp bảo vệ mạng của bạn và các thiết bị trên đó, chống lại các mối đe dọa như phần mềm độc hại và các chiến dịch lừa đảo.
Khả năng chống ransomware nên được bao gồm trong bảo vệ điểm cuối để nó có thể ngăn chặn hiệu quả các cuộc tấn công bằng cách theo dõi các hành vi đáng ngờ như thay đổi tệp và mã hóa tệp. Khả năng cô lập hoặc cách ly bất kỳ thiết bị nào bị ảnh hưởng cũng có thể là một tính năng rất hữu ích để ngăn chặn sự lây lan của phần mềm độc hại.
Tóm tắt
Với việc các nhóm ransomware liên tục tìm kiếm các lỗ hổng để khai thác, điều quan trọng là các doanh nghiệp phải phát triển các chiến lược mạnh mẽ để ngăn chặn các mối đe dọa ransomware: đảm bảo nhân viên của bạn được đào tạo nhận thức về bảo mật thường xuyên, thiết lập các công cụ giám sát mối đe dọa để phát hiện và cảnh báo bạn về các lỗ hổng và triển khai bảo vệ điểm cuối để bảo vệ thiết bị của bạn trên mạng của bạn.
Thực hiện theo các hướng dẫn trên sẽ tăng cơ hội bảo vệ doanh nghiệp của bạn chống lại các cuộc tấn công bằng ransomware có thể khiến tổ chức của bạn thiệt hại đáng kể về tiền bạc và uy tín.
Defense.com tin rằng tính năng bảo vệ mạng đẳng cấp thế giới nên có thể truy cập được đối với tất cả các công ty, bất kể quy mô. Để biết thêm thông tin, hãy truy cập Defense.com.
Lưu ý – Bài viết này được viết và đóng góp bởi Oliver Pinson-Roxburgh, Giám đốc điều hành tại Defense.com.
.
