Ransomware thế hệ mới mối đe dọa tống tiền ba lần

08:00 | 01/11/2021 | HACKER / MALWARE

Ransomware (mã độc tống tiền) là một khái niệm không còn mới, mà các chiến thuật, kỹ thuật và thủ tục của nó được tin tặc sử dụng đã đạt đến mức độ tinh vi trong vài năm qua. Cùng với sự phát triển đó, việc bảo vệ mạng lưới chống lại các cuộc tấn công gây hậu quả nghiêm trọng và ngày càng trở nên khó khăn hơn như vụ tấn công của nhóm ransomware DarkSide đối với công ty Colonial Pipeline [1] gần đây.

Trước đây, tin tặc chỉ sử dụng mã độc liên quan đến tống tiền để hạn chế quyền truy cập vào dữ liệu người dùng, bằng cách mã hóa các tệp trên thiết bị của cá nhân hoặc tổ chức. Để đổi lại khóa giải mã, nạn nhân được yêu cầu trả tiền chuộc bằng Bitcoin. Mã độc vào thời điểm đó thường lây lan qua malspam, còn được gọi là thư rác độc hại. Malspam là một phương pháp phổ biến và hiệu quả để gửi hàng loạt email có chứa liên kết độc hại hoặc tài liệu bị nhiễm độc. Khi nạn nhân đã mở tệp, một macro sẽ chạy trong nền và lây nhiễm vào thiết bị của nạn nhân bằng một mã độc được thiết kế để mã hóa tệp. Nếu người dùng không trả tiền chuộc hoặc không có bộ sao lưu thì sẽ mất tất cả dữ liệu trên thiết bị.

Ngày càng có nhiều cuộc tấn công ransomware ảnh hưởng đến các tập đoàn, bệnh viện và các cơ quan chính phủ. Do một số nạn nhân từ chối thanh toán, những kẻ tấn công bắt đầu phát triển những phương thức tinh vi để lây nhiễm sang nhiều thiết bị hơn. Một ví dụ nổi tiếng là cuộc tấn công ransomware WannaCry vào năm 2017 [2], tin tặc nhắm mục tiêu vào các máy Microsoft Windows thông qua một lỗ hổng trong giao thức SMB, cho phép các tác nhân đe dọa lây nhiễm cho hơn 200.000 máy tính trên toàn thế giới.

RANSOMWARE - MỐI ĐE DỌA TỐNG TIỀN KÉP

Để phòng chống ransomware, một số nạn nhân đã được đào tạo để từ chối thanh toán vì họ đã thực hiện các biện pháp phòng ngừa và có bản sao lưu dữ liệu. Tin tặc bắt đầu phát triển các phương thức bổ sung để gây thêm áp lực cho nạn nhân. Vào năm 2019, các nhóm ransomware DopplePaymer [3] và Maze [4] đã làm được điều đó bằng cách phân tích dữ liệu của nạn nhân. Do đó, nếu nạn nhân quyết định không trả khoản tiền chuộc ban đầu vì đã có bản sao lưu thì sẽ bị đe dọa phát tán dữ liệu tài chính, thông tin khách hàng hoặc dữ liệu cá nhân nhạy cảm. Không may, loại tống tiền kép này đã trở nên phổ biến hơn trong hai năm qua chủ yếu là do tin tặc đã thiết lập một kế hoạch dự phòng trong trường hợp nạn nhân quyết định không trả tiền cho các khóa giải mã.

Trường hợp ransomware gần đây liên quan đến cảnh sát Washington D.C (Hoa Kỳ), trong đó tin tặc tự xưng là Babuk [5] tuyên bố đã đánh cắp hơn 250 GB dữ liệu và nói rằng sẽ phát tán chúng nếu không được trả tiền. Babuk thậm chí còn đăng ảnh chụp màn hình trong ghi chú tiền chuộc, bao gồm thông tin nhạy cảm của lực lượng cảnh sát mà các nhà nghiên cứu an ninh mạng, sau đó là giới truyền thông thu thập được. Dữ liệu này đã được gỡ xuống nhưng sau đó đã được tải lên lại sau cuộc thương lượng không thành công.

Chiến lược tương tự đã được thực hiện trong cuộc tấn công Revil [6] nhằm vào nhà cung cấp Quanta Computer của Apple, khi đó tin tặc dọa sẽ làm rò rỉ các tệp dữ liệu nếu Apple không trả tiền chuộc. Sau đó, kẻ tấn công đăng sơ đồ các máy tính xách tay sắp tới của Apple và đe dọa sẽ công bố nhiều bí mật hơn nếu Apple không trả tiền. Thông tin đó cũng đã bị gỡ xuống, cho thấy một số cuộc đàm phán cũng có thể đã diễn ra để chấm dứt nguy cơ rò rỉ thêm.

Ngày nay, có khá nhiều các nhóm ransomware trên dark web làm rò rỉ các tệp nhạy cảm để chứng minh rằng dữ liệu đã bị đánh cắp. Việc rò rỉ thường được khuếch đại khi các phương tiện truyền thông quan tâm đến nó. Trong trường hợp của Apple, một nhà báo đã viết một bài báo về những thiết bị nào sắp ra mắt dựa trên nội dung bị rò rỉ, tạo ra áp lực lớn đối với Apple trong việc bảo vệ tài sản trí tuệ của mình. Điều này đặt ra câu hỏi về việc liệu một nhà báo đưa tin tiết lộ có đang tiếp tay cho những kẻ đe dọa gây áp lực lên nạn nhân hay không.

RANSOMWARE THẾ HỆ MỚI - MỐI ĐE DỌA TỐNG TIỀN BA LẦN

Điều này được minh chứng bởi nhóm ransomware Darkside gần đây đã làm tê liệt hệ thống dẫn dầu Colonial Pipeline của Mỹ. Khi đó, dữ liệu của người dùng không chỉ bị mã hóa và lọc ra, mà nếu không thực hiện thanh toán theo yêu cầu của tin tặc thì chúng có thể khởi động một cuộc tấn công DDoS chống lại các dịch vụ của Colonial Pipeline như một cách để đưa nạn nhân trở lại bàn thương lượng.

DDoS truyền thống chỉ được liên kết với một hình thức tống tiền: Từ chối dịch vụ đòi tiền chuộc (RDoS). Trong đó, tin tặc thực hiện một cuộc tấn công DDoS chống lại mạng của nạn nhân và sau đó yêu cầu thanh toán bằng Bitcoin để dừng bị tấn công. Tuy nhiên, việc thực hiện bằng ransomware như trong trường hợp tấn công của nhóm Darkside làm tê liệt hệ thống dẫn dầu Colonial Pipeline lại tương đối mới. Nó cho thấy nền kinh tế ngầm đang phát triển, các tác nhân đe dọa giờ đây có thể thuê các dịch vụ tấn công với giá rẻ để gây thêm áp lực khi cần thiết.

Theo FBI, DarkSide là một nhóm tin tặc ở Đông Âu, đã xâm nhập vào mạng lưới Colonial Pipeline và lấy ra khoảng 100GB dữ liệu để đe dọa công ty này. Mặc dù các đường ống không bị ảnh hưởng về mặt vật lý, nhưng các dòng nhiên liệu đã bị cắt do hệ thống thanh toán cho khách hàng của công ty bị ngắt do bị tấn công.

Tác động của việc ngừng hoạt động gây nên tình trạng thiếu nhiên liệu, giá nhiên liệu tăng và sự gián đoạn quy mô lớn đối với các doanh nghiệp và hộ gia đình. Điều này đủ nghiêm trọng để 17 bang của Hoa Kỳ phải ban bố tình trạng khẩn cấp và ban hành các điều luật cho phép các doanh nghiệp ứng phó với tình trạng tạm thời này. Mặc dù đường ống đã hoạt động trở lại vào ngày 18/5/2021, nhưng phía công ty vẫn đang phải nỗ lực khắc phục thiệt hại và sẽ mất một khoảng thời gian trước khi nguồn cung cấp nhiên liệu có thể trở lại hoạt động bình thường như trước đây.

DarkSide vận hành mô hình ransomware dưới dạng dịch vụ, cho phép các chi nhánh mua ransomware, cổng thanh toán và các dịch vụ khác của nhóm tin tặc khác để tiến hành các cuộc tấn công. Các kỹ thuật khác tạo thêm áp lực lên nạn nhân bao gồm: Khả năng khởi chạy các cuộc tấn công từ chối dịch vụ phân tán (DDoS) vào nạn nhân để báo hiệu cho thế giới bên ngoài biết rằng họ đang bị tấn công; Một trung tâm cuộc gọi để quấy rối nạn nhân (các báo cáo cho thấy rằng nạn nhân thường bắt đầu nhận được các cuộc gọi từ ba đến năm ngày sau khi lây nhiễm lần đầu); Khả năng lây nhiễm và mã hóa hệ điều hành Windows và Linux. Tất cả những khả năng này kết hợp lại để biến DarkSide trở thành một mối đe dọa nghiêm trọng và đáng sợ, từ đó dẫn đến việc tuyển dụng nhiều chi nhánh hơn, dẫn đến nhiều cuộc tấn công hơn và lợi nhuận nhiều hơn.

Vì lợi nhuận, các nhóm ransomware sẽ ngày càng tìm ra những cách thức mới để gây thêm áp lực, buộc nạn nhân của họ phải trả tiền. Ban đầu, người dùng có thể tránh thiệt hại sau một cuộc tấn công ransomware khi có các bản sao lưu. Tuy nhiên, việc lọc dữ liệu làm cho các bản sao lưu không đủ, ngay cả khi người dùng có thể chấp nhận việc dữ liệu nhạy cảm của mình bị công khai thì cũng phải có khả năng bảo vệ mạng của mình trước tấn công DDoS.

Các mối đe dọa ngày nay do ransomware gây ra đòi hỏi các giải pháp toàn diện, nhưng sẽ không có gì thay đổi được toàn cảnh mối đe dọa nếu không có hành động kiên quyết từ các chính phủ trên toàn thế giới. Không có lực lượng đặc nhiệm chống ransomware nào giải quyết được điều này trừ khi có thể giải quyết được các lỗ hổng trong luật pháp quốc tế trong việc bắt giữ tội phạm từ các khu vực không bị trừng phạt trên thế giới.

KHUYẾN NGHỊ

Khuyến nghị các tổ chức nên xem xét các bước sau để giảm thiểu nguy cơ lây nhiễm ransomware:

- Xác định hành vi của ransomware bằng cách cài đặt các công nghệ bảo vệ ransomware như Endpoint Detection & Response và NextGenAntiVirus. Ransomware có thể được truy tìm vì mẫu mã độc có thể quan sát được. Khi chúng được phát hiện, các công cụ này có khả năng giúp ngăn chặn trước khi chúng lây lan.

- Sao lưu dữ liệu cục bộ và lưu trữ trong đám mây. Nếu ransomware tấn công hệ thống các bản sao lưu sẽ cho phép khôi phục lại các hoạt động.

- Việc phân tách mạng rất quan trọng đối với việc phân quyền truy cập hạn chế vào dữ liệu. Mọi tổ chức nên đặc biệt thận trọng khi cấp các đặc quyền quản trị.

- Luôn cập nhật việc quản lý bản vá để đảm bảo tất cả các hệ thống đều được cập nhật và giảm thiểu các lỗ hổng bảo mật có thể bị khai thác.

- Sử dụng xác thực đa yếu tố trên nhiều ứng dụng nhất có thể. Điều này đặc biệt quan trọng đối với các dịch vụ đăng nhập từ xa và ứng dụng ảo, vì các nhóm ransomware có thể dễ dàng truy cập các dịch vụ này bằng thông tin đăng nhập bị đánh cắp hoặc được tìm thấy trên Darknet.

- Một số hoạt động ransomware sẽ không triển khai nếu chúng phát hiện ra rằng máy đang sử dụng mã nhận dạng ngôn ngữ Nga như bàn phím Cyrillic hoặc gói ngôn ngữ CIS (Cộng đồng các quốc gia độc lập). Cân nhắc thêm các gói này ngay cả khi chúng không được sử dụng. Điều này có thể không ngăn chặn hoàn toàn việc lây nhiễm ransomware, nhưng nó có thể mang lại thời gian quý báu để phát hiện các cuộc tấn công.

TÀI LIỆU THAM KHẢO

1. http://antoanthongtin.vn/hacker-malware/nhom-toipham-mang-darkside-va-cuoc-nga-gia-doi-tien-chuocduoc-cong-khai-107138

2. https://www.dataprotectionreport.com/2017/05/wannacry-ransomware-attack-summary/

3. https://www.trendmicro.com/en_us/research/21/a/anoverview-of-the-doppelpaymer-ransomware.html

4. https://www.kaspersky.com/resource-center/definitions/what-is-maze-ransomware

5. https://heimdalsecurity.com/blog/babuk-ransomwareleaks-personal-data-of-metropolitan-police-officers/

6. https://www.msspalert.com/cybersecurity-breachesand-attacks/ransomware/revil-quanta-apple-extortion/

7. http://antoanthongtin.vn/hacker-malware/darkside-van-hung-anh-huong-den-viet-nam-107144

Hoàng Thu Phương (Viện Khoa học - Công nghệ mật mã)

‹ › ×

Tin liên quan

Mã độc tống tiền ransomware tăng 200% tại Việt Nam

15:00 | 18/10/2021

Theo báo cáo về mã độc tống tiền (ransomware) do VirusTotal và Google thực hiện, mã độc tống tiền tại Việt Nam đã tăng gần 200% so với thời điểm năm 2020.

Chia sẻ của Cyber Security Works về các lỗ hổng ransomware gây nguy hại đến các tổ chức

09:00 | 13/10/2021

Ngày nay, những kẻ tấn công đang tích cực khai thác vào những điểm yếu và tiến hành các chiến dịch ransomware “tàn khốc”, hiện có 266 lỗ hổng liên quan đến dạng phần mềm độc hại này. Do đó, việc xác định và khắc phục các lỗ hổng cần được đặt ra là nhiệm vụ trọng tâm hàng đầu đối với các tổ chức, để đảm bảo an toàn trước mối nguy cơ từ ransomware. Bài viết dưới đây là chia sẻ bởi Ram Movva - nhà sáng lập và Chủ tịch của Công ty An ninh mạng Cyber Security Works – CSW (có trụ sở tại Hoa Kỳ).

Lừa đảo trên Internet: tại sao người dùng vẫn liên tục mắc phải?

10:00 | 04/11/2021

Internet là môi trường tuyệt vời để cập nhật thông tin về những gì đang diễn ra hàng ngày. Tin tức, câu chuyện về người nổi tiếng, cập nhật thông tin từ bạn bè... thường có sẵn trên Internet, nhất là qua mạng xã hội. Tuy nhiên, ngoài những thông tin hữu ích thì có rất nhiều tin giả, các hình thức lừa đảo người dùng dẫn đến nhiều rủi ro đáng tiếc.

Tin tặc tấn công hệ thống đường sắt Belarus để ngăn chặn hoạt động quân sự của Nga

11:00 | 16/02/2022

Ngày 24/1/2022, tin tặc ở Belarus cho biết họ đã lây nhiễm ransomware vào mạng lưới hệ thống đường sắt nhà nước và sẽ chỉ cung cấp khóa giải mã nếu Tổng thống Belarus Alexander Lukashenko ngừng hỗ trợ quân đội Nga trước một cuộc xâm lược có thể xảy ra vào Ukraine.

Bộ Tư pháp Mỹ buộc tội các thủ lĩnh ransomware REvil với cuộc tấn công Kaseya

07:00 | 06/12/2021

Tháng 10/2021, Bộ Tư pháp Mỹ (DOJ) đã bắt giữ và buộc tội một công dân Ukraine vì liên quan đến vụ tấn công ransomware nhằm vào công ty công nghệ thông tin Kaseya vào tháng 7/2021.

Hầu hết các công ty bị tấn công ransomware lần thứ hai sau khi trả tiền chuộc

09:00 | 01/07/2021

Theo một khảo sát của công ty an ninh mạng Cybereason (Trụ sở tại Massachusetts, Mỹ), khoảng 80% doanh nghiệp phải chọn phương án chi trả tiền để lấy lại quyền truy cập vào hệ thống của họ, sau khi bị tấn công bằng phần mềm tống tiền lần tiếp theo.

Tin cùng chuyên mục

Cảnh báo 7 hình thức lừa đảo phổ biến

12:00 | 12/04/2024

Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.

Giải mã biến thể mới của Trojan ngân hàng Mispadu khai thác lỗ hổng Windows SmartScreen

11:00 | 29/02/2024

Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.

Phần mềm độc hại NKAbuse: Mối đe dọa mới với công nghệ Blockchain

08:00 | 12/01/2024

Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.

Khám phá các kỹ thuật chống phân tích mới của phần mềm độc hại GuLoader

09:00 | 25/12/2023

Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.