Xin chào. Bạn đã đến trang lưu trữ. Nội dung và liên kết trên trang này không còn được cập nhật. Bạn đang tìm kiếm dịch vụ? Vui lòng quay lại trang chủ của chúng tôi.
Tháng 11 2020 - Những điều bạn cần biết về ransomware
Phần mềm tống tiền là gì?
Phần mềm tống tiền là một loại phần mềm độc hại hoặc phần mềm độc hại có chức năng chặn quyền truy cập vào hệ thống, thiết bị hoặc tệp cho đến khi tiền chuộc được trả. Đây là một chương trình kiếm tiền bất hợp pháp có thể được cài đặt thông qua các liên kết lừa đảo trong email, tin nhắn tức thời hoặc trang web.
Phần mềm tống tiền hoạt động bằng cách mã hóa các tập tin trên hệ thống bị nhiễm (crypto ransomware), đe dọa xóa các tập tin (wiper ransomware) hoặc chặn quyền truy cập hệ thống (locker ransomware) của nạn nhân. Số tiền chuộc và thông tin liên lạc của tác nhân đe dọa mạng (CTA) thường được đưa vào thông báo đòi tiền chuộc hiển thị trên màn hình của nạn nhân sau khi tệp của họ bị khóa hoặc mã hóa.
Đôi khi CTA chỉ ghi thông tin liên lạc trong ghi chú và có thể sẽ cố gắng thương lượng số tiền chuộc khi họ được liên lạc. Yêu cầu tiền chuộc thường ở dạng tiền điện tử, chẳng hạn như Bitcoin, và có thể dao động từ vài trăm đô la cho đến hơn một triệu đô la. Không phải là điều bất thường khi chứng kiến những yêu cầu tiền chuộc lên tới hàng triệu đô la trong bối cảnh đe dọa hiện nay.
Phần mềm tống tiền chủ yếu được phát tán thông qua các phương tiện sau:
- Tệp đính kèm/liên kết độc hại được gửi trong email.
- Xâm nhập mạng thông qua các cổng và dịch vụ bảo mật kém, chẳng hạn như Giao thức máy tính từ xa (RDP) (ví dụ: Biến thể ransomware Phobos).
- Bị loại bỏ bởi các phần mềm độc hại khác (ví dụ: nhiễm TrickBot ban đầu dẫn đến cuộc tấn công ransomware Ryuk).
- Wormable và các dạng ransomware khác khai thác lỗ hổng mạng (ví dụ: biến thể ransomware WannaCry).
Tại sao nhận thức về ransomware lại quan trọng?
Phần mềm tống tiền là một vấn đề ngày càng gia tăng và tốn kém. Vào 2019, Trung tâm Phân tích và Chia sẻ Thông tin Đa tiểu bang (MS-ISAC) đã quan sát thấy mức tăng 153% về số vụ tấn công bằng phần mềm tống tiền của chính quyền tiểu bang, địa phương, bộ lạc và lãnh thổ (SLTT) được báo cáo so với năm trước. Nhiều sự cố trong số này gây ra tình trạng mạng ngừng hoạt động đáng kể, dịch vụ cung cấp cho người dân bị chậm trễ và chi phí khắc phục tốn kém.
Nạn nhân của phần mềm tống tiền không chỉ có nguy cơ mất quyền truy cập vào hệ thống và tệp của mình. Trong nhiều trường hợp, họ cũng có thể bị mất mát tài chính do chi phí pháp lý, mua dịch vụ giám sát tín dụng cho nhân viên/khách hàng hoặc cuối cùng là quyết định trả tiền chuộc. Hậu quả của cuộc tấn công bằng phần mềm tống tiền đặc biệt có hại khi nó tác động đến các dịch vụ khẩn cấp và cơ sở hạ tầng quan trọng, chẳng hạn như 911 trung tâm cuộc gọi và bệnh viện.
Ngoài ra, CTA còn nhắm mục tiêu đến các nhà cung cấp dịch vụ được quản lý (MSP), một công ty quản lý cơ sở hạ tầng Công nghệ thông tin (IT) của khách hàng, để phát tán phần mềm tống tiền đến nhiều thực thể. Điều này xảy ra khi CTA xâm phạm MSP và sử dụng cơ sở hạ tầng hiện có của họ để phát tán phần mềm tống tiền cho khách hàng của MSP. Điều này khai thác mối quan hệ tin cậy giữa khách hàng và MSP của họ.
Trong vài năm qua, MS-ISAC đã quan sát thấy sự gia tăng các phương tiện cho phép CTA trốn tránh việc phát hiện và tối đa hóa tác động của các cuộc tấn công. Một trong những phương tiện đó bao gồm cái gọi là "sống dựa vào đất đai" (LOTL): triển khai các bộ công cụ hoặc bộ kiểm tra xâm nhập có sẵn công khai (ví dụ: Cobalt Strike, Metasploit hoặc Mimikatz) để nhắm mục tiêu cụ thể vào bộ điều khiển miền và Active Directory để có quyền truy cập trên toàn mạng và triển khai phần mềm tống tiền không có tệp để tránh bất kỳ phần mềm diệt vi-rút dựa trên chữ ký nào.
Bạn có thể làm gì với phần mềm tống tiền?
Việc phòng thủ chống lại phần mềm tống tiền đòi hỏi một giải pháp toàn diện, có sự chung tay của toàn bộ tổ chức. Mặc dù không thể ngăn ngừa hoàn toàn tình trạng nhiễm ransomware do hiệu quả của các email lừa đảo được thiết kế khéo léo và việc tải xuống từ các trang web hợp pháp, các tổ chức có thể giảm đáng kể rủi ro do ransomware gây ra bằng cách triển khai các chính sách và quy trình an ninh mạng cũng như nâng cao nhận thức và thực hành an ninh mạng của toàn thể nhân viên.
Mỗi chúng ta đều có trách nhiệm chung tay ngăn chặn phần mềm tống tiền lây nhiễm vào hệ thống của mình. Để tăng khả năng ngăn ngừa nhiễm phần mềm tống tiền, các tổ chức phải triển khai chương trình đào tạo và nâng cao nhận thức cho người dùng về an ninh mạng, bao gồm hướng dẫn về cách xác định và báo cáo hoạt động đáng ngờ (ví dụ: lừa đảo) hoặc sự cố. Chương trình này nên bao gồm các cuộc kiểm tra lừa đảo trên toàn tổ chức để đánh giá nhận thức của người dùng và nhấn mạnh tầm quan trọng của việc xác định các email có khả năng gây hại. Khi nhân viên có thể phát hiện và tránh các email độc hại, mọi người đều có vai trò trong việc bảo vệ tổ chức.
Nếu tổ chức của bạn bị nhiễm phần mềm tống tiền, bạn có thể thực hiện một số biện pháp để ứng phó. Chiến lược hiệu quả nhất để giảm thiểu rủi ro mất dữ liệu do tấn công ransomware thành công là áp dụng quy trình sao lưu dữ liệu toàn diện; tuy nhiên, các bản sao lưu phải được lưu trữ ngoài mạng và được kiểm tra thường xuyên để đảm bảo tính toàn vẹn.
Báo cáo Ransomware
Nếu tổ chức của bạn là nạn nhân của phần mềm tống tiền, hãy làm theo quy trình ứng phó sự cố của tổ chức để báo cáo. Ngoài ra, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) cung cấp phương tiện an toàn cho các thành phần và đối tác để báo cáo các sự cố, nỗ lực lừa đảo, phần mềm độc hại và lỗ hổng bảo mật. Để gửi báo cáo, hãy truy cập https://us-cert.cisa.gov/report.
Thông tin bản quyền
Những mẹo này được Cơ quan Công nghệ Thông tin Commonwealth of Virginia Virginia phối hợp với:
