Ransomware là mối đe dọa trên thực tế mà các tổ chức phải đối mặt trong vài năm qua. Những kẻ đe dọa đang kiếm tiền dễ dàng bằng cách khai thác giá trị tiền điện tử cao và nạn nhân của họ thiếu sự chuẩn bị đầy đủ.
Hãy nghĩ về các chính sách bảo mật không tốt, các bản sao lưu chưa được kiểm tra, các phương pháp quản lý bản vá không cập nhật, v.v. Nó dẫn đến sự phát triển dễ dàng cho tống tiền ransomware, một tội ác mà nhiều kẻ đe dọa trên khắp thế giới gây ra.
Tuy nhiên, có gì đó đã thay đổi. Định giá tiền điện tử đã giảm, làm giảm sự hấp dẫn về tiền của các cuộc tấn công bằng ransomware do các tổ chức đang thiết lập một biện pháp phòng thủ đáng kể chống lại ransomware.
Những kẻ đe dọa đã tìm kiếm một cơ hội khác – và đã tìm thấy một cơ hội. Nó được gọi là lọc dữ liệu, hay exfil, một loại gián điệp đang gây đau đầu cho các tổ chức trên toàn thế giới. Chúng ta hãy xem xét.
Mối đe dọa tiết lộ thông tin bí mật
Việc lọc thông tin đang nhanh chóng trở nên phổ biến hơn. Đầu năm nay, các sự cố tại Nvidia, Microsoft và một số công ty khác đã làm nổi bật mức độ lớn của vấn đề mà nó trở thành – và đối với một số tổ chức, nó có thể là một mối đe dọa thậm chí còn lớn hơn cả ransomware.
Ví dụ, Nvidia đã vướng vào một cuộc trao đổi ăn miếng trả miếng phức tạp với nhóm hacker Lapsus $. Một trong những nhà sản xuất chip lớn nhất thế giới đã phải đối mặt với việc công khai mã nguồn cho công nghệ vô giá, khi Lapsus $ làm rò rỉ mã nguồn cho nghiên cứu Deep Learning Super Sampling (DLSS) của công ty.
Khi nói đến mã độc tống tiền exfil, những kẻ tấn công không vào với mục đích chính là mã hóa hệ thống và gây ra sự gián đoạn theo cách mà kẻ tấn công ransomware làm. Mặc dù vậy, có, những kẻ tấn công vẫn có thể sử dụng mã hóa để che dấu vết của chúng.
Thay vào đó, những kẻ tấn công trong một nhiệm vụ xâm nhập thông tin sẽ di chuyển một lượng lớn dữ liệu độc quyền đến các hệ thống mà chúng kiểm soát. Và đây là trò chơi: những kẻ tấn công sẽ tiến hành tống tiền nạn nhân, đe dọa tiết lộ thông tin bí mật đó vào tự nhiên hoặc bán nó cho các bên thứ ba vô đạo đức.
Exfil có thể gây hại hơn nhiều so với ransomware
Dù bằng cách nào – việc công khai thông tin có thể là một mối đe dọa lớn hơn ransomware vì nhu cầu ransomware có thể được giải quyết bằng cách trả tiền (hoặc bằng cách truy xuất các bản sao lưu). Thông tin bị rò rỉ – tốt – đó là thứ có thể không sửa được. Thật dễ dàng để hiểu tại sao các kẻ đe dọa có thể tìm thấy mã độc tống tiền dựa trên sự rò rỉ thông tin để trở thành một mục tiêu hấp dẫn hơn cả ransomware.
Cần lưu ý rằng một phần nguyên nhân dẫn đến kiểu tấn công này cũng nằm ở tình hình hiện tại của các vấn đề thế giới đã tạo ra nhu cầu chuyển giao quyền sở hữu trí tuệ mạnh mẽ qua các đường địa chính trị đối lập. Cũng có thể cho là có sự khoan hồng lớn hơn đối với những kẻ tấn công “phía bên kia”, ngay cả khi hệ thống tư pháp địa phương coi vụ tấn công là một tội ác.
Trong một chặng đường dài
Có một chủ đề khác đang nổi lên trong không gian exfil. Thật thú vị khi lưu ý một điều mà các nhóm an ninh mạng đã biết từ lâu: đối với các tác nhân độc hại, việc kẻ tấn công không bị phát hiện trong một thời gian dài sẽ có lợi.
Giữ im lặng, thay vì nhấp nháy thông báo “bạn đã bị tấn công” trên màn hình máy tính, cho phép kẻ tấn công “nhìn thấy” nhiều luồng thông tin hơn trong mạng và thực hiện trinh sát sâu hơn các hệ thống sau khi xâm nhập.
Nhiều thời gian hơn trong mạng có nghĩa là những kẻ tấn công có thể xác định nhiều mục tiêu mong muốn hơn là chỉ triển khai ransomware đơn giản. Các tác nhân đe dọa bệnh nhân có thể gây hại nhiều hơn; nếu chúng vẫn không bị phát hiện.
Các biện pháp bảo vệ vẫn hoạt động
Các tổ chức có thể làm gì để bảo vệ chống lại mã độc tống tiền? Chà, các nguyên tắc an ninh mạng tương tự vẫn tiếp tục được tính đến, thậm chí còn nhiều hơn do rủi ro lớn hơn.
Sau nhiều năm báo động về tiêu đề, hầu hết các tổ chức đã triển khai bảo vệ ransomware dưới dạng chiến lược sao lưu tốt hơn, truy cập dữ liệu chi tiết và tinh chỉnh hơn, cũng như các quy tắc và giám sát tốt hơn để phát hiện các thay đổi tệp không mong muốn.
Nó làm cho các cuộc tấn công ransomware trở nên khó khăn hơn, thường hoạt động như một biện pháp ngăn chặn những kẻ tấn công chỉ đơn giản là tìm kiếm các mục tiêu dễ dàng. Bảo vệ chống lại sự lây nhiễm phần mềm độc hại hoặc sự xâm nhập thông tin bắt đầu bằng việc duy trì cơ sở hạ tầng đúng cách.
Bản vá liền mạch vẫn là cốt lõi
Điều đó bao gồm việc giữ cho hệ thống luôn cập nhật các bản vá mới nhất. Tất nhiên, nó không chỉ là một biện pháp bảo vệ chống lại ransomware: các hệ thống được vá lỗi còn đóng các đường dẫn dễ dàng đến thông tin kinh doanh quan trọng để các tác nhân đe dọa không có khả năng bòn rút thông tin kinh doanh quan trọng.
Giả sử tổ chức của bạn vẫn đang dựa vào các hoạt động vá lỗi liên quan đến các cửa sổ bảo trì. Trong trường hợp đó, bạn nên xem xét liệu bản vá có diễn ra đủ nhanh để bảo vệ tổ chức của bạn trước các mối đe dọa xâm nhập thông tin hay không.
Không thể vá đủ nhanh? Hãy xem bản vá trực tiếp. KernelCare Enterprise của TuxCare giúp bạn luôn được bảo vệ trước các mối đe dọa mới xuất hiện ngay lập tức, với sự chậm trễ giữa việc xuất hiện và giảm thiểu mối đe dọa. Với một bổ sung đơn giản, giá cả phải chăng cho kho vũ khí an ninh mạng của mình, bạn có thể đặt ra tuyến phòng thủ đơn giản nhất và quan trọng nhất chống lại những kẻ tấn công tìm cách giữ bạn để đòi tiền chuộc.
.
