Cuộc tấn công vào VNDirect không phải là duy nhất. Ransomware, một loại phần mềm độc hại mã hóa dữ liệu trên hệ thống của nạn nhân và yêu cầu tiền chuộc để giải mã, đã trở thành một trong những mối đe dọa an ninh mạng nguy hiểm nhất thế giới hiện nay.
Sự cố VNDirect và Điều gì khiến Ransomware trở nên nguy hiểm?
Ngày 24/3/2024, Công ty Chứng khoán VNDirect của Việt Nam trở thành điểm nóng mới nhất về các vụ tấn công ransomware quốc tế. Cuộc tấn công này không phải là trường hợp cá biệt.
Ransomware, một loại phần mềm độc hại được thiết kế để mã hóa dữ liệu trên hệ thống của nạn nhân và yêu cầu tiền chuộc để giải mã, đã trở thành một trong những mối đe dọa an ninh mạng phổ biến và nguy hiểm nhất trên thế giới hiện nay. Sự phụ thuộc ngày càng nhiều vào dữ liệu số và công nghệ thông tin trong mọi lĩnh vực của đời sống xã hội khiến các tổ chức, cá nhân dễ bị tổn thương trước những cuộc tấn công này.
Sự nguy hiểm của ransomware không chỉ nằm ở khả năng mã hóa dữ liệu mà còn ở cách nó lây lan và đòi tiền chuộc, tạo ra các giao dịch tài chính mà qua đó tin tặc có thể kiếm lợi bất chính. Sự tinh vi và khó lường của các cuộc tấn công ransomware khiến nó trở thành một trong những thách thức lớn nhất đối với an ninh mạng hiện nay.
Cuộc tấn công vào VNDirect là lời nhắc nhở mạnh mẽ về tầm quan trọng của việc hiểu biết và ngăn chặn ransomware. Chỉ khi hiểu rõ cách thức hoạt động của ransomware và các mối đe dọa mà nó gây ra, chúng ta mới có thể phát triển các biện pháp bảo vệ hiệu quả, từ giáo dục người dùng đến áp dụng các giải pháp kỹ thuật cho đến thiết lập chiến lược phòng ngừa toàn diện để bảo vệ các hệ thống thông tin và dữ liệu quan trọng.
Cách thức hoạt động của phần mềm tống tiền
Ransomware là mối đe dọa khủng khiếp trong lĩnh vực an ninh mạng, quy trình hoạt động của nó rất phức tạp và đa dạng, gây hậu quả nghiêm trọng cho nạn nhân. Để hiểu rõ hơn về cách thức hoạt động của ransomware, chúng ta cần xem xét sâu hơn từng bước của quá trình tấn công.
Lây nhiễm
Cuộc tấn công bắt đầu khi ransomware lây nhiễm vào hệ thống. Ransomware có nhiều cách phổ biến để xâm nhập vào hệ thống của nạn nhân, bao gồm:
Email lừa đảo: Email giả mạo chứa tập tin độc hại hoặc liên kết đến các trang web chứa mã độc; Khai thác lỗ hổng bảo mật: Khai thác lỗ hổng trong phần mềm chưa được vá để tự động cài đặt ransomware mà không cần sự tương tác của người dùng: Khai thác quảng cáo trên Internet để phát tán mã độc; phần mềm hoặc nội dung từ các trang web không đáng tin cậy.
mã hóa
Sau khi bị nhiễm, ransomware bắt đầu mã hóa dữ liệu trên hệ thống của nạn nhân. Mã hóa là quá trình chuyển đổi dữ liệu sang định dạng không thể đọc được nếu không có khóa giải mã. Ransomware thường sử dụng các thuật toán mã hóa mạnh để đảm bảo rằng dữ liệu bị mã hóa không thể phục hồi được nếu không có khóa cụ thể.
đòi tiền chuộc
Sau khi mã hóa dữ liệu, ransomware hiển thị thông báo trên màn hình nạn nhân yêu cầu tiền chuộc để giải mã dữ liệu. Thông báo thường chứa hướng dẫn về cách thanh toán (thường thông qua Bitcoin hoặc các loại tiền điện tử khác để che giấu danh tính của tội phạm) và thời hạn thanh toán. Một số phiên bản ransomware còn đe dọa xóa dữ liệu hoặc xuất bản dữ liệu nếu không nhận được tiền chuộc.
Giao dịch và giải mã (hoặc không)
Nạn nhân sau đó phải đối mặt với một quyết định khó khăn: trả tiền chuộc và hy vọng lấy lại được dữ liệu, hoặc từ chối và mất dữ liệu mãi mãi. Tuy nhiên, việc trả tiền không đảm bảo rằng dữ liệu sẽ được giải mã. Trên thực tế, nó thậm chí có thể khuyến khích tội phạm tiếp tục phạm tội.
Cách thức hoạt động của ransomware không chỉ cho thấy sự tinh vi trong công nghệ của nó mà còn phản ánh một thực tế đáng buồn: nó sẵn sàng khai thác sự cả tin và thiếu hiểu biết của người dùng. Điều này nhấn mạnh tầm quan trọng của việc nâng cao nhận thức và kiến thức về an ninh mạng, từ việc xác định email lừa đảo đến duy trì phần mềm bảo mật cập nhật. Trước các mối đe dọa ngày càng gia tăng như ransomware, việc giáo dục và phòng ngừa trở nên quan trọng hơn bao giờ hết.
Các biến thể phổ biến của ransomware
Trong thế giới đầy rẫy mối đe dọa của ransomware, một số biến thể nhất định nổi bật về độ tinh vi, khả năng lây lan nhanh chóng và tác động nghiêm trọng mà chúng có thể gây ra đối với các tổ chức trên toàn thế giới. Dưới đây là mô tả về bảy biến thể phổ biến và cách chúng hoạt động.
REvil (còn được gọi là Sodinokibi)
Đặc điểm: REvil là một biến thể của ransomware-as-a-service (RaaS) cho phép tội phạm mạng “thuê” nó để thực hiện các cuộc tấn công của riêng chúng. Điều này làm tăng đáng kể phạm vi tiếp cận và số lượng nạn nhân của ransomware này.
Phương thức lây truyền: lây lan qua các lỗ hổng bảo mật, email lừa đảo, công cụ tấn công từ xa, v.v. REvil còn sử dụng các phương thức tấn công để tự động mã hóa hoặc đánh cắp dữ liệu.
Ryuk
Đặc điểm: Ryuk chủ yếu nhắm vào các tổ chức lớn để tối đa hóa khoản thanh toán tiền chuộc. Nó có khả năng tự tùy chỉnh cho từng cuộc tấn công, khiến việc phát hiện và loại bỏ trở nên khó khăn.
Cách thức lây lan: Ryuk phát tán và mã hóa dữ liệu mạng thông qua email lừa đảo và các mạng bị nhiễm phần mềm độc hại khác như Trickbot và Emotet.
Robin Hood
Tính năng: Robinhood được biết đến với khả năng tấn công các hệ thống chính phủ và các tổ chức lớn, sử dụng các chiến lược mã hóa phức tạp để khóa các tập tin và yêu cầu số tiền chuộc khổng lồ.
Cách thức lây lan: Thông qua các chiến dịch lừa đảo và khai thác lỗ hổng bảo mật trong phần mềm.
người trả tiền gấp đôi
Đặc điểm: DoppelPaymer là một biến thể ransomware độc lập có khả năng gây thiệt hại nghiêm trọng bằng cách mã hóa dữ liệu và đe dọa tiết lộ thông tin nếu không nhận được tiền chuộc.
Phương thức phân phối: Phát tán thông qua các công cụ tấn công từ xa và email lừa đảo, đặc biệt nhắm vào các lỗ hổng trong phần mềm chưa được vá.
Rắn (còn gọi là EKANS)
Tính năng: SNAKE được thiết kế để tấn công các hệ thống điều khiển công nghiệp (ICS). Nó không chỉ có thể mã hóa dữ liệu mà còn có thể phá vỡ các quy trình công nghiệp.
Phương thức phân phối: Thông qua các chiến dịch lừa đảo và khai thác tập trung vào các hệ thống công nghiệp cụ thể.
phobos
Đặc điểm: Phobos có nhiều điểm tương đồng với Dharma, một biến thể ransomware khác thường được sử dụng để tấn công các doanh nghiệp nhỏ thông qua RDP (Giao thức máy tính từ xa).
Phương thức lây lan: Chủ yếu thông qua RDP bị lộ hoặc yếu, cho phép kẻ tấn công truy cập và triển khai ransomware từ xa.
vị trí khóa
LockBit là một biến thể ransomware phổ biến khác hoạt động theo mô hình ransomware-as-a-service (RaaS) và được biết đến với mục tiêu nhắm mục tiêu là các tổ chức doanh nghiệp và chính phủ. LockBit tấn công qua ba giai đoạn chính: khai thác lỗ hổng, xâm nhập vào hệ thống và triển khai tải trọng được mã hóa.
Giai đoạn 1 – Khai thác: LockBit sử dụng các kỹ thuật như kỹ thuật xã hội để khai thác các lỗ hổng trong mạng, chẳng hạn như email lừa đảo hoặc các cuộc tấn công vũ phu vào máy chủ mạng nội bộ và hệ thống mạng.
Giai đoạn 2 – Lọc: Sau khi lọc, LockBit sử dụng các công cụ “hậu khai thác” để tăng cấp độ truy cập và chuẩn bị hệ thống cho các cuộc tấn công mật mã.
Giai đoạn 3 – Triển khai: LockBit triển khai tải trọng được mã hóa trên mọi thiết bị có thể truy cập trong mạng, mã hóa tất cả các tệp hệ thống và để lại thông báo đòi tiền chuộc.
LockBit cũng sử dụng một số công cụ nguồn mở và miễn phí trong quá trình xâm nhập, từ công cụ quét mạng đến phần mềm quản lý từ xa, để thực hiện thăm dò mạng, truy cập từ xa cũng như đánh cắp thông tin và lấy cắp dữ liệu. Trong một số trường hợp, LockBit còn đe dọa sẽ tiết lộ dữ liệu cá nhân của nạn nhân nếu yêu cầu tiền chuộc không được đáp ứng.
Do tính phức tạp và khả năng lây lan rộng rãi, LockBit là một trong những mối đe dọa lớn nhất trong thế giới ransomware hiện đại. Các tổ chức cần thực hiện các biện pháp bảo mật toàn diện để tự bảo vệ mình trước loại ransomware này và các biến thể khác.
Đạo Trung Thanh
Bài 2: Từ các cuộc tấn công trực tiếp của VNDirect đến chiến lược chống ransomware
Biên tập lại từ VNN
