😈 Ransomware là gì ?

Ransomware là phần mềm độc hại sử dụng mã hóa để giữ thông tin của nạn nhân để đòi tiền chuộc. Dữ liệu quan trọng của người dùng hoặc tổ chức được mã hóa để họ không thể truy cập các tệp, cơ sở dữ liệu hoặc ứng dụng. Một khoản tiền chuộc sau đó được yêu cầu để cung cấp quyền truy cập. Ransomware thường được thiết kế để lây lan trên mạng và nhắm mục tiêu vào cơ sở dữ liệu cũng như máy chủ tệp, do đó có thể nhanh chóng làm tê liệt toàn bộ tổ chức. Đây là một mối đe dọa ngày càng tăng, tạo ra khoản thanh toán hàng tỷ đô la cho tội phạm mạng và gây thiệt hại cũng như chi phí đáng kể cho các doanh nghiệp và tổ chức chính phủ. 

Các cuộc tấn công ransomware và các biến thể của chúng đang nhanh chóng phát triển để chống lại các công nghệ phòng ngừa vì một số lý do:

• Dễ dàng có sẵn bộ công cụ phần mềm độc hại có thể được sử dụng để tạo mẫu phần mềm độc hại mới theo yêu cầu

• Sử dụng các trình thông dịch chung tốt đã biết để tạo phần mềm ransomware đa nền tảng (ví dụ: Ransom32 sử dụng Node.js với tải trọng JavaScript)

• Sử dụng các kỹ thuật mới, chẳng hạn như mã hóa toàn bộ đĩa thay vì các tệp đã chọn.

Những tên trộm ngày nay thậm chí không cần phải am hiểu về công nghệ. Các thị trường phần mềm tống tiền đã mọc lên trực tuyến, cung cấp các chủng phần mềm độc hại cho bất kỳ kẻ gian nào có thể là tội phạm mạng và tạo thêm lợi nhuận cho những kẻ tạo ra phần mềm độc hại, những người thường yêu cầu cắt giảm số tiền chuộc.

Ransomware-as-a-service là một mô hình kinh tế tội phạm mạng cho phép các nhà phát triển phần mềm độc hại kiếm tiền từ những sáng tạo của họ mà không cần phải phân phối các mối đe dọa của họ. Những tội phạm phi kỹ thuật mua sản phẩm của họ và phát tán sự lây nhiễm, đồng thời trả cho các nhà phát triển một phần trăm số tiền họ kiếm được. Các nhà phát triển gặp tương đối ít rủi ro và khách hàng của họ thực hiện hầu hết công việc. Một số trường hợp ransomware dưới dạng dịch vụ sử dụng đăng ký trong khi những trường hợp khác yêu cầu đăng ký để có quyền truy cập vào ransomware. 

Để tránh ransomware và giảm thiểu thiệt hại nếu bạn bị tấn công, hãy làm theo các mẹo sau:

• Sao lưu dữ liệu của bạn . Cách tốt nhất để tránh nguy cơ bị khóa các tệp quan trọng của bạn là đảm bảo rằng bạn luôn có bản sao lưu của chúng, tốt nhất là trên đám mây và trên ổ cứng ngoài. Bằng cách này, nếu bị nhiễm ransomware, bạn có thể xóa sạch máy tính hoặc thiết bị của mình và cài đặt lại các tệp của mình từ bản sao lưu. Điều này bảo vệ dữ liệu của bạn và bạn sẽ không muốn thưởng cho tác giả phần mềm độc hại bằng cách trả tiền chuộc. Việc sao lưu sẽ không ngăn chặn được phần mềm tống tiền nhưng có thể giảm thiểu rủi ro.

• Bảo mật các bản sao lưu của bạn. Đảm bảo rằng dữ liệu sao lưu của bạn không thể truy cập được để sửa đổi hoặc xóa khỏi hệ thống chứa dữ liệu. Ransomware sẽ tìm kiếm các bản sao lưu dữ liệu và mã hóa hoặc xóa chúng để không thể khôi phục được, vì vậy hãy sử dụng các hệ thống sao lưu không cho phép truy cập trực tiếp vào các tệp sao lưu.

• Sử dụng phần mềm bảo mật và cập nhật nó. Đảm bảo tất cả máy tính và thiết bị của bạn đều được bảo vệ bằng phần mềm bảo mật toàn diện và luôn cập nhật tất cả phần mềm của bạn. Đảm bảo bạn cập nhật phần mềm thiết bị của mình sớm và thường xuyên vì các bản vá lỗi thường được đưa vào mỗi bản cập nhật.

• Thực hành lướt sóng an toàn. Hãy cẩn thận nơi bạn nhấp vào. Không trả lời email và tin nhắn văn bản từ những người bạn không biết và chỉ tải xuống ứng dụng từ các nguồn đáng tin cậy. Điều này rất quan trọng vì tác giả phần mềm độc hại thường sử dụng kỹ thuật xã hội để cố gắng khiến bạn cài đặt các tệp nguy hiểm.

• Chỉ sử dụng mạng an toàn. Tránh sử dụng mạng Wi-Fi công cộng vì nhiều mạng trong số đó không an toàn và tội phạm mạng có thể rình mò việc sử dụng Internet của bạn. Thay vào đó, hãy cân nhắc việc cài đặt VPN để cung cấp cho bạn kết nối Internet an toàn bất kể bạn đi đâu.

• Thông báo lưu trú . Cập nhật các mối đe dọa ransomware mới nhất để bạn biết những gì cần chú ý. Trong trường hợp bạn bị nhiễm ransomware và chưa sao lưu tất cả các tệp của mình, hãy biết rằng một số công cụ giải mã được các công ty công nghệ cung cấp để giúp đỡ nạn nhân.

• Thực hiện một chương trình nâng cao nhận thức về an ninh . Cung cấp chương trình đào tạo nâng cao nhận thức bảo mật thường xuyên cho mọi thành viên trong tổ chức của bạn để họ có thể tránh lừa đảo và các cuộc tấn công kỹ thuật xã hội khác. Tiến hành các cuộc tập trận và kiểm tra thường xuyên để đảm bảo rằng việc đào tạo đang được tuân thủ.

Các xu hướng sau đây thường được các chuyên gia ứng phó sự cố tuyến đầu của chúng tôi nhận thấy khi điều tra và khắc phục phần mềm tống tiền. 

Thời gian tồn tại trung bình cho các cuộc tấn công ransomware (tính theo ngày)

Những ngày phổ biến trong tuần để triển khai Ransomware

Giảm thiểu rủi ro và giảm thời gian lưu giữ của ransomware

Nếu bạn nghi ngờ mình đã bị tấn công bằng ransomware, điều quan trọng là phải hành động nhanh chóng . May mắn thay, có một số bước bạn có thể thực hiện để có cơ hội tốt nhất có thể giảm thiểu thiệt hại và nhanh chóng quay lại hoạt động kinh doanh như bình thường.

1. Cách ly thiết bị bị nhiễm : Ransomware ảnh hưởng đến một thiết bị là một sự bất tiện vừa phải. Phần mềm tống tiền được phép lây nhiễm vào tất cả các thiết bị trong doanh nghiệp của bạn là một thảm họa lớn và có thể khiến bạn ngừng kinh doanh vĩnh viễn. Sự khác biệt giữa hai điều này thường phụ thuộc vào thời gian phản ứng. Để đảm bảo an toàn cho mạng, ổ đĩa chia sẻ và các thiết bị khác của bạn, điều cần thiết là bạn phải ngắt kết nối thiết bị bị ảnh hưởng khỏi mạng, internet và các thiết bị khác càng nhanh càng tốt. Bạn làm điều này càng sớm thì khả năng các thiết bị khác bị lây nhiễm càng ít.

2. Ngăn chặn sự lây lan:  Vì ransomware di chuyển nhanh chóng—và thiết bị có ransomware không nhất thiết phải là Bệnh nhân số 0—việc cách ly ngay lập tức thiết bị bị nhiễm sẽ không đảm bảo rằng ransomware không tồn tại ở nơi nào khác trên mạng của bạn. Để giới hạn phạm vi của nó một cách hiệu quả, bạn cần phải ngắt kết nối khỏi mạng tất cả các thiết bị đang hoạt động đáng ngờ, bao gồm cả những thiết bị hoạt động bên ngoài cơ sở—nếu được kết nối với mạng, chúng sẽ gây ra rủi ro cho dù chúng ở đâu. Tắt kết nối không dây (Wi-Fi, Bluetooth, v.v.) vào thời điểm này cũng là một ý tưởng hay.

3. Đánh giá thiệt hại:  Để xác định thiết bị nào đã bị lây nhiễm, hãy kiểm tra các tệp được mã hóa gần đây có tên đuôi tệp lạ và tìm kiếm các báo cáo về tên tệp kỳ lạ hoặc người dùng gặp sự cố khi mở tệp. Nếu bạn phát hiện bất kỳ thiết bị nào chưa được mã hóa hoàn toàn, chúng nên được cách ly và tắt để giúp ngăn chặn cuộc tấn công cũng như ngăn chặn thiệt hại và mất dữ liệu thêm. Mục tiêu của bạn là tạo danh sách đầy đủ tất cả các hệ thống bị ảnh hưởng, bao gồm thiết bị lưu trữ mạng, bộ lưu trữ đám mây, bộ lưu trữ ổ cứng ngoài (bao gồm cả ổ USB), máy tính xách tay, điện thoại thông minh và bất kỳ vectơ nào khác có thể có. Tại thời điểm này, việc khóa cổ phiếu là điều khôn ngoan. Tất cả chúng nên được hạn chế nếu có thể; nếu không, hãy hạn chế càng nhiều càng tốt. Làm như vậy sẽ tạm dừng mọi quá trình mã hóa đang diễn ra và cũng sẽ giữ cho các chia sẻ bổ sung không bị lây nhiễm trong khi quá trình khắc phục diễn ra. Nhưng trước khi làm điều đó, bạn cần xem xét các chia sẻ được mã hóa. Làm như vậy có thể cung cấp một thông tin hữu ích: Nếu một thiết bị có số lượng tệp đang mở cao hơn nhiều so với bình thường, bạn có thể vừa tìm thấy Bệnh nhân số 0 của mình. Nếu không thì…

4. Xác định vị trí bệnh nhân số 0 : Việc theo dõi sự lây nhiễm trở nên dễ dàng hơn đáng kể khi bạn đã xác định được nguồn. Để làm như vậy, hãy kiểm tra mọi cảnh báo có thể đến từ phần mềm chống vi-rút/phần mềm chống phần mềm độc hại, EDR hoặc bất kỳ nền tảng giám sát đang hoạt động nào của bạn. Và bởi vì hầu hết các ransomware xâm nhập vào mạng thông qua các liên kết và tệp đính kèm email độc hại, yêu cầu hành động của người dùng cuối, việc hỏi mọi người về hoạt động của họ (chẳng hạn như mở các email đáng ngờ) và những gì họ nhận thấy cũng có thể hữu ích. Cuối cùng, việc xem xét các thuộc tính của tệp cũng có thể cung cấp manh mối—người được liệt kê là chủ sở hữu có thể là điểm vào. (Tuy nhiên, hãy nhớ rằng có thể có nhiều hơn một Bệnh nhân số 0!)

5. Xác định phần mềm tống tiền : Trước khi tiến xa hơn, điều quan trọng là phải khám phá xem bạn đang xử lý biến thể nào của phần mềm tống tiền. Một cách là đến thăm No More Ransom, một sáng kiến ​​toàn cầu mà Trellix tham gia. Trang web có một bộ công cụ giúp bạn giải phóng dữ liệu của mình, bao gồm cả công cụ Crypto Sheriff: Chỉ cần tải lên một trong các tệp được mã hóa của bạn và nó sẽ quét để tìm kết quả trùng khớp. Bạn cũng có thể sử dụng thông tin có trong thông báo đòi tiền chuộc: Nếu thông báo không ghi trực tiếp biến thể của ransomware thì việc sử dụng công cụ tìm kiếm để truy vấn địa chỉ email hoặc chính ghi chú đó có thể hữu ích. Sau khi xác định được phần mềm tống tiền và thực hiện một số nghiên cứu nhanh về hành vi của nó, bạn nên cảnh báo cho tất cả nhân viên không bị ảnh hưởng càng sớm càng tốt để họ biết cách phát hiện các dấu hiệu cho thấy họ đã bị nhiễm.

6. Báo cáo phần mềm ransomware cho cơ quan chức năng : Ngay sau khi phần mềm ransomware được ngăn chặn, bạn sẽ muốn liên hệ với cơ quan thực thi pháp luật vì một số lý do. Trước hết, ransomware là vi phạm pháp luật—và giống như bất kỳ tội phạm nào khác, nó phải được báo cáo cho cơ quan có thẩm quyền. Thứ hai, theo Cục Điều tra Liên bang Hoa Kỳ, “Cơ quan thực thi pháp luật có thể sử dụng các cơ quan và công cụ pháp lý mà hầu hết các tổ chức đều không có”. Quan hệ đối tác với cơ quan thực thi pháp luật quốc tế có thể được tận dụng để giúp tìm ra dữ liệu bị đánh cắp hoặc mã hóa và đưa thủ phạm ra trước công lý. Cuối cùng, cuộc tấn công có thể có ý nghĩa tuân thủ: Theo các điều khoản của GDPR, nếu bạn không thông báo cho ICO trong vòng 72 giờ về hành vi vi phạm liên quan đến dữ liệu công dân EU, doanh nghiệp của bạn có thể phải chịu khoản tiền phạt nặng.

7. Đánh giá các bản sao lưu của bạn:  Bây giờ là lúc bắt đầu quá trình phản hồi. Cách nhanh nhất và dễ dàng nhất để làm điều này là khôi phục hệ thống của bạn từ bản sao lưu. Lý tưởng nhất là bạn có một bản sao lưu hoàn chỉnh và không bị nhiễm virus được tạo gần đây đủ để mang lại lợi ích. Nếu vậy, bước tiếp theo là sử dụng giải pháp chống vi rút/chống phần mềm độc hại để đảm bảo tất cả các hệ thống và thiết bị bị nhiễm đều bị xóa sạch ransomware—nếu không nó sẽ tiếp tục khóa hệ thống và mã hóa các tệp của bạn, có khả năng làm hỏng bản sao lưu của bạn. Sau khi loại bỏ tất cả dấu vết của phần mềm độc hại, bạn sẽ có thể khôi phục hệ thống của mình từ bản sao lưu này và—sau khi bạn xác nhận rằng tất cả dữ liệu đã được khôi phục cũng như tất cả các ứng dụng và quy trình đều được sao lưu và chạy bình thường—hãy quay lại công việc bình thường . Thật không may, nhiều tổ chức không nhận ra tầm quan trọng của việc tạo và duy trì các bản sao lưu cho đến khi họ cần nhưng chúng lại không có ở đó. Vì phần mềm tống tiền hiện đại ngày càng tinh vi và linh hoạt, nên một số người tạo bản sao lưu sẽ sớm phát hiện ra rằng phần mềm tống tiền cũng đã làm hỏng hoặc mã hóa chúng, khiến chúng hoàn toàn vô dụng.

8. Nghiên cứu các tùy chọn giải mã của bạn: Nếu bạn thấy mình không có bản sao lưu khả thi, bạn vẫn có cơ hội lấy lại được dữ liệu của mình. Ngày càng có nhiều khóa giải mã miễn phí có thể được tìm thấy tại No More Ransom . Nếu có sẵn phiên bản ransomware mà bạn đang xử lý (và giả sử hiện tại bạn đã xóa sạch mọi dấu vết của phần mềm độc hại khỏi hệ thống của mình), bạn sẽ có thể sử dụng khóa giải mã để mở khóa dữ liệu của mình. Tuy nhiên, ngay cả khi bạn may mắn tìm được bộ giải mã thì bạn vẫn chưa hoàn thành—bạn vẫn có thể phải ngừng hoạt động hàng giờ hoặc hàng ngày khi tiến hành khắc phục.

9. Tiếp tục: Thật không may, nếu bạn không có bản sao lưu khả thi và không thể tìm thấy khóa giải mã, lựa chọn duy nhất của bạn có thể là cắt lỗ và bắt đầu lại từ đầu. Xây dựng lại sẽ không phải là một quá trình nhanh chóng hoặc không tốn kém, nhưng khi bạn đã sử dụng hết các lựa chọn khác, đó là điều tốt nhất bạn có thể làm.

 Khi phải đối mặt với khả năng phục hồi trong vài tuần hoặc vài tháng, việc nhượng bộ trước yêu cầu tiền chuộc có thể rất hấp dẫn. Nhưng có một số lý do khiến đây là một ý tưởng tồi:

• Bạn có thể không bao giờ nhận được khóa giải mã. Khi bạn trả tiền cho nhu cầu ransomware, đổi lại bạn phải nhận được khóa giải mã. Nhưng khi bạn thực hiện một giao dịch ransomware, bạn phải phụ thuộc vào tính chính trực của bọn tội phạm. Nhiều người và tổ chức đã trả tiền chuộc nhưng không nhận được gì, sau đó họ mất hàng chục, hàng trăm hoặc hàng nghìn đô la và họ vẫn phải xây dựng lại hệ thống của mình từ đầu.

• Bạn có thể nhận được yêu cầu tiền chuộc nhiều lần. Sau khi bạn trả tiền chuộc, tội phạm mạng đã triển khai ransomware sẽ biết bạn đang bị chúng phó mặc. Họ có thể cung cấp cho bạn một chìa khóa hoạt động nếu bạn sẵn sàng trả nhiều hơn một chút (hoặc nhiều hơn nữa).

• Bạn có thể nhận được một khóa giải mã hoạt động được, đại loại vậy. Những người tạo ra ransomware không tham gia vào lĩnh vực khôi phục tập tin; họ đang kinh doanh kiếm tiền. Nói cách khác, bộ giải mã mà bạn nhận được có thể đủ tốt để bọn tội phạm nói rằng chúng đã từ chối thỏa thuận. Hơn nữa, không có gì lạ khi chính quá trình mã hóa làm hỏng một số tệp không thể sửa chữa được. Nếu điều này xảy ra, ngay cả một khóa giải mã tốt cũng không thể mở khóa các tập tin của bạn, chúng sẽ biến mất vĩnh viễn.

• Bạn có thể đang vẽ một mục tiêu trên lưng.  Khi bạn trả tiền chuộc, bọn tội phạm sẽ biết bạn là một khoản đầu tư tốt. Một tổ chức có lịch sử trả tiền chuộc đã được chứng minh là mục tiêu hấp dẫn hơn so với mục tiêu mới có thể trả hoặc không trả tiền. Điều gì sẽ ngăn chặn cùng một nhóm tội phạm tấn công lại sau một hoặc hai năm hoặc đăng nhập vào một diễn đàn và thông báo cho những tội phạm mạng khác rằng bạn là mục tiêu dễ dàng?

• Ngay cả khi mọi thứ bằng cách nào đó đều ổn, bạn vẫn đang tài trợ cho hoạt động tội phạm. Giả sử bạn trả tiền chuộc, nhận khóa giải mã tốt và đưa mọi thứ trở lại hoạt động. Đây chỉ đơn thuần là trường hợp xấu nhất trong các giải pháp (và không chỉ vì bạn rất nhiều tiền). Khi bạn trả tiền chuộc, bạn đang tài trợ cho các hoạt động tội phạm. Bỏ qua những hàm ý đạo đức thì rõ ràng, bạn đang củng cố ý tưởng rằng ransomware là một mô hình kinh doanh hoạt động. (Hãy nghĩ về điều đó, nếu không có ai trả tiền chuộc, bạn có nghĩ họ sẽ tiếp tục tung ra ransomware không ?) Được củng cố bởi thành công và thu nhập quá lớn của mình, những tên tội phạm này sẽ tiếp tục tàn phá các doanh nghiệp không nghi ngờ và sẽ tiếp tục dành thời gian và công sức, tiền bất chính thu được để phát triển các chủng ransomware mới hơn và thậm chí nguy hiểm hơn, một trong số đó có thể xâm nhập vào thiết bị của bạn trong tương lai.

Cập nhật 18.02.24 - Sưu tầm và tổng hợp các nguồn trên Internet bởi TUNGTEK Tùng 😉 

#NoRansomwareVN #TUNGTEK #Ransomware #Encrypt #Decrypt #CuuDuLieu #KhoiPhucDuLieu #TEKCyber #Hacker