Trong những năm gần đây, không phải virus mà là ransomware mới là mối đe dọa lớn đối với các tổ chức và doanh nghiệp. bởi khi bị tấn công, người dùng ngoài việc mất quyền truy cập còn phải trả một số tiền lớn để lấy lại dữ liệu của mình.
Hãy xem ransomware là gì mà đáng sợ đến vậy.
ransomware là gì?
Ransomware hoặc ransomware là phần mềm độc hại sử dụng mã hóa để lấy cắp thông tin của nạn nhân để đổi lấy tiền chuộc. Khi ransomware lây nhiễm vào máy tính, dữ liệu quan trọng của người dùng hoặc tổ chức sẽ được mã hóa để không thể truy cập các tệp, cơ sở dữ liệu hoặc ứng dụng. để khôi phục quyền truy cập, nạn nhân phải trả một khoản tiền chuộc bắt buộc. Tùy thuộc vào tầm quan trọng của dữ liệu và quy mô của công ty, tiền chuộc có thể từ vài nghìn đô la đến vài triệu đô la.
Ransomware được coi là một mối đe dọa ngày càng tăng, cung cấp hàng tỷ đô la tiền chuộc cho tội phạm mạng và tạo ra chi phí đáng kể cho các doanh nghiệp và tổ chức chính phủ.
so sánh vi-rút và ransomware
Virus máy tính từ lâu đã trở thành một khái niệm quen thuộc. có lẽ đó là lý do tại sao nhiều người gọi tất cả phần mềm độc hại là vi rút, bao gồm cả ransomware. tuy nhiên, đây là 2 khái niệm khác nhau.
điểm chung của cả hai là mã độc hại hoặc phần mềm độc hại (malware). virus là thuật ngữ chỉ “phần mềm độc hại” có khả năng phát tán, lây lan nhanh chóng và không thể kiểm soát được. cho ransomware: phần mềm được thiết kế chỉ nhằm mục đích tống tiền nạn nhân. kẻ xấu sử dụng các phương thức lừa đảo để dụ nạn nhân.
Thuật ngữ vi rút ransomware được sử dụng để chỉ phần mềm độc hại lây lan với tốc độ “đặc biệt khủng khiếp”. nổi bật bao gồm tôi muốn khóc.
Có ransomware xâm nhập vào máy tính của bạn không?
Giống như các phần mềm độc hại khác, ransomware ẩn trong phần mềm, liên kết và tệp khi người dùng thực hiện các thao tác sau:
- Sử dụng phần mềm đã bẻ khóa.
- Nhấp vào quảng cáo.
- Truy cập các trang web giả mạo hoặc đen tối.
- Nhấp vào các tệp đính kèm email không mong muốn.
- tải xuống phần mềm lạ và không xác định.
- lỗ hổng mạng hoặc phần mềm tống tiền tự động được cài đặt trên máy tính qua usb.
Phân loại và hoạt động của ransomware
Hai loại ransomware phổ biến nhất là mã hóa và khóa màn hình.
encode còn được gọi bằng tiếng Anh là crypto ransomware hoặc mã hóa ransomware . đây là một hình thức tấn công phổ biến của ransomware. họ mã hóa bất kỳ tài liệu nào họ tìm thấy bằng cách bí mật kết nối với máy chủ của tin tặc, đổi tên phần mở rộng tệp và tạo khóa. các tài liệu vi phạm bản quyền thường là các tập tin văn phòng. các tệp này sẽ được đổi tên thành các định dạng nhất định với mật khẩu: * .doc, * .docx – & gt; * .docm; * xls, * .skype – & gt; * cerber, * .doc.ccc,! recovery! -tkxaf ++. png,! recovery! -tkxaf ++. txt, … nạn nhân sẽ không thực hiện bất kỳ thao tác nào như sao chép, dán, đổi tên, xóa. cụ thể là mỗi lần bạn sẽ có một phần mở rộng mã khác nhau. Nếu tiền chuộc không được trả đúng hạn, tệp có thể bị mã hóa, điều này sẽ ảnh hưởng tiêu cực đến dữ liệu.
màn hình thông báo bạn tải xuống phần mềm độc hại
nguồn: https://www.proofpoint.com/
Nếu không, màn hình khóa (ransomware khóa hoặc ransomware không có mã hóa) chỉ chặn quyền truy cập vào hệ thống bằng màn hình “khóa”, xác nhận rằng hệ thống đã được mã hóa. nạn nhân không thực hiện bất kỳ thao tác nào trên máy tính, ngoại trừ bật – tắt màn hình. Trên màn hình sẽ xuất hiện hướng dẫn chi tiết và cụ thể về cách chuyển tiền để lấy mã khóa giải mã. tiền chuộc có thể là tiền điện tử như bitcoin.
Ban đầu, các cuộc tấn công ransomware tập trung vào các máy tính cá nhân. tuy nhiên, ngày càng có nhiều cuộc tấn công nhắm vào các doanh nghiệp, vì các công ty thường trả nhiều tiền hơn để mở khóa các hệ thống quan trọng. Các cuộc tấn công ransomware kinh doanh thường bắt đầu bằng một email độc hại.
đôi khi nạn nhân sẽ không bao giờ nhận được khóa mật mã để giải mã dữ liệu. hoặc thậm chí sau khi trả tiền chuộc và dữ liệu được giải phóng, máy tính vẫn có thể bị phần mềm độc hại tấn công.
cách thức hoạt động của ransomware
Các cuộc tấn công ransomware phổ biến
khóa
locky lần đầu tiên được sử dụng cho một cuộc tấn công vào năm 2016 bởi một tổ chức tin tặc. tổ chức đã mã hóa hơn 160 loại tệp và phát tán vi-rút của nó bằng các email giả mạo có tệp đính kèm bị nhiễm. người dùng bị đánh lừa bởi các cuộc tấn công lừa đảo. Locky ransomware nhắm mục tiêu vào các loại tệp thường được các nhà thiết kế, nhà phát triển và kỹ sư sử dụng.
Tôi muốn khóc
wannacry hẳn không còn là một cái tên xa lạ đối với những ai quan tâm đến công nghệ và bảo mật. Năm 2017, mã độc này lây lan trên diện rộng, trong đó có Việt Nam. đây là cuộc tấn công lớn nhất mà thế giới từng chứng kiến và gây ra dư chấn lớn trong thế giới kinh doanh, chính trị, tin tặc và ngành công nghiệp an ninh mạng.
giao diện wannacry ransomware yêu cầu $ 300 để mở khóa
Mã độc này lợi dụng lỗ hổng trong giao thức smb của hệ điều hành microsoft windows để tự động lây lan sang các máy tính khác trong cùng mạng. wannacry tấn công hơn 300 tổ chức trải dài trên 150 quốc gia. nó lớn đến mức ngay cả khi đã cố gắng tiêu diệt nó, virus vẫn tiếp tục khủng bố tất cả các hệ thống và dữ liệu mà nó đã tiếp xúc cho đến nay. tổng chi phí ước tính hơn 4 tỷ đô la. Ở châu Âu, các tổ chức chính phủ, các công ty lớn như FedEx, NHS của Vương quốc Anh và Bộ Nội vụ Nga đều phải hứng chịu hậu quả nặng nề từ loại ransomware này.
con thỏ xấu số
bad Rabbit là một cuộc tấn công ransomware năm 2017, lây lan qua các cuộc tấn công đĩa. Trong một cuộc tấn công bằng ransomware, người dùng truy cập vào một trang web mà không biết rằng nó đã bị hacker chiếm đoạt. Phần mềm tống tiền này đã ảnh hưởng đến nhiều quốc gia Đông Âu và tấn công cả các tổ chức chính phủ và doanh nghiệp với tốc độ lây lan nhanh chóng. thỏ xấu lây lan bằng cách gửi cho người dùng yêu cầu giả để cài đặt adobe flash, lây nhiễm phần mềm độc hại cho máy tính.
không phải petya
Được phát hiện vào năm 2017 tại Ukraine, sau đó lan rộng khắp Châu Âu, nhắm mục tiêu đến các ngân hàng, sân bay và công ty năng lượng. notpetya cũng khai thác lỗ hổng microsoft tương tự như wannacry. chỉ cần 1 máy tính bị nhiễm, notpetya sẽ quét mạng nội bộ và lây nhiễm sang các máy khác mà người dùng không cần thao tác. Đặc biệt, chúng không chỉ mã hóa tập tin mà còn phá hủy ổ cứng của nạn nhân đến mức không thể khôi phục được, dù có trả tiền chuộc hay không.
ryuk
ryuk ransomware là một trojan mật mã (một loại mã hoặc phần mềm độc hại nhưng ẩn dưới vỏ bọc là phần mềm hợp pháp) phát tán vào mùa hè năm 2018. ryuk khiến các chức năng khôi phục trong hệ điều hành windows bị đóng băng và không thể khôi phục dữ liệu đã mã hóa nếu không sao lưu. nó cũng mã hóa ổ cứng mạng. tổng thiệt hại ước tính hơn 650.000 usd.
Ngoài ransomware ở trên, còn có các cuộc tấn công ransomware khác được biết đến như sodinokibi (2019), cryptolocker (2013), petya (2016), goldeneye (2017), samam (2015). các cuộc tấn công này cũng gây ra thiệt hại hàng triệu đô la trên toàn cầu.
mối đe dọa ransomware mới
Kẻ xấu liên tục thay đổi mã độc thành các biến thể mới để tránh bị phát hiện. Các quản trị viên và nhà phát triển phần mềm chống phần mềm độc hại thường xuyên được cập nhật các phương pháp mới để phát hiện các mối đe dọa một cách nhanh chóng trước khi chúng có thể phát tán rộng rãi trong không gian mạng. một số mối đe dọa phổ biến mới:
tải xuống tệp dll (thư viện liên kết động) . phần mềm độc hại cố gắng không bị phát hiện bằng cách ẩn trong các tệp hợp pháp có chứa tệp dll để tấn công hệ thống.
Máy chủ web mục tiêu. Phần mềm độc hại trên máy chủ lưu trữ được chia sẻ có thể ảnh hưởng đến tất cả các trang web được lưu trữ trên máy chủ. nó giống như một cuộc tấn công ryuk, nhắm mục tiêu vào các trang web được lưu trữ, chủ yếu qua email lừa đảo.
thương hiệu lừa đảo. Đây là một hình thức tấn công lớn hơn so với phương pháp lừa đảo thông thường. Thay vì gửi phần mềm độc hại đến hàng nghìn mục tiêu, những kẻ tấn công sẽ nhắm mục tiêu vào các công ty lớn hoặc nhân viên cấp cao có nhiều quyền truy cập vào thông tin có giá trị hơn.
ransomware-as-a-service (raas). là hình thức kinh doanh ransomware cho thuê, ai cũng có thể sử dụng, hoàn toàn không cần kiến thức. So với các ransomware khác đã được phát hiện, công cụ mới này đòi hỏi rất ít kỹ năng. sự ra đời của raas đã dẫn đến sự gia tăng các cuộc tấn công bằng ransomware.
cách bảo vệ bạn khỏi các cuộc tấn công bằng ransomware
- Luôn sao lưu dữ liệu của bạn.
- Cài đặt tính năng bảo vệ chống ransomware đáng tin cậy.
- Luôn cập nhật hệ điều hành, chương trình và phần mềm của bạn. điều này giúp bảo vệ bạn khỏi phần mềm độc hại mới nhất với các bản vá bảo mật cập nhật.
- không bao giờ nhấp vào spam hoặc tệp đính kèm email từ các nguồn không xác định.
- cẩn thận khi truy cập các trang web độc hại và quảng cáo của họ.
- hạn chế duyệt Internet khi truy cập Wi-Fi miễn phí.
- không sử dụng usb từ các nguồn không xác định.
các bước để ứng phó với một cuộc tấn công
khi xâm nhập vào máy tính, phần mềm độc hại sẽ hiển thị thông báo cho nạn nhân bao gồm hướng dẫn thanh toán và thông tin về những gì đã xảy ra với dữ liệu của nạn nhân. trong trường hợp này, quản trị viên phải phản ứng nhanh chóng để ransomware không lây lan đến các vị trí khác trên mạng và tìm thấy dữ liệu quan trọng. phản hồi với ransomware có thể yêu cầu một vài bước cơ bản để phản hồi nhanh chóng. tuy nhiên, cần có sự can thiệp của chuyên gia để phân tích và xử lý.
xác định hệ thống bị ảnh hưởng . cần nhanh chóng cách ly hệ thống đang bị tấn công bởi ransomware để không ảnh hưởng đến các phần còn lại. bước này là một phần của quy trình ngăn chặn, giúp giảm thiệt hại.
Rút phích cắm của hệ thống và tắt nó nếu cần . Ransomware lây lan nhanh chóng trên mạng, do đó, bất kỳ hệ thống nào cũng phải được chuyển sang chế độ ngoại tuyến bằng cách tắt hoặc tắt quyền truy cập mạng.
ưu tiên khôi phục các hệ thống quan trọng nhất để trở về trạng thái bình thường và nhanh hơn. Thông thường, mức độ ưu tiên dựa trên năng suất và tác động đến doanh thu.
loại bỏ các mối đe dọa mạng . kẻ tấn công có thể sử dụng một cửa hậu (một cổng không được tiết lộ cho phép quản trị viên xâm nhập vào hệ thống để tìm nguyên nhân gây ra lỗi hoặc bảo trì). do đó, việc loại bỏ ransomware nên được thực hiện bởi một chuyên gia đáng tin cậy. các chuyên gia cần truy cập vào nhật ký để phân tích nguyên nhân, xác định các lỗ hổng bảo mật và tất cả các hệ thống bị ảnh hưởng.
giám sát máy chủ, mạng và hệ thống sao lưu . các công cụ giám sát có thể phát hiện các hoạt động truy cập bất thường, vi-rút, lưu lượng mạng và tải cpu, do đó có thể kịp thời chặn kích hoạt ransomware. duy trì bản sao hình ảnh đầy đủ của các hệ thống quan trọng có thể giảm nguy cơ máy bị trục trặc hoặc bị mã hóa, gây tắc nghẽn hoạt động nghiêm trọng.
Các câu hỏi liên quan đến ransomware
ransomware darkside là gì?
Một nhóm tội phạm được gọi là darkside đã tạo ra phần mềm độc hại darkside hoạt động dưới dạng ransomware-as-a-service (raas). Phần mềm độc hại này tăng gấp đôi việc tống tiền bằng cách yêu cầu nạn nhân trả hai khoản tiền chuộc để giải mã các tệp và lấy lại dữ liệu bí mật bị đánh cắp. nhắm mục tiêu các máy chủ lưu trữ giao thức máy tính để bàn từ xa (rdp) và tạo mật khẩu để có quyền truy cập vào các tệp cục bộ trên máy.
Mất bao lâu để khôi phục từ ransomware?
Thời gian khôi phục hệ thống rất khác nhau tùy thuộc vào mức độ thiệt hại, hiệu quả của kế hoạch khôi phục sau thảm họa của tổ chức, thời gian ứng phó và các mốc thời gian ngăn chặn và phá hủy. Nếu không có bản sao lưu tốt và kế hoạch khắc phục thảm họa, các tổ chức có thể ngoại tuyến trong nhiều ngày, ảnh hưởng nghiêm trọng đến doanh thu.
tài nguyên
1. Proofpoint.com: ransomware là gì?
2. antivirus.com: các cuộc tấn công ransomware nổi tiếng
3. Norton: ransomware là gì và cách giúp ngăn chặn các cuộc tấn công ransomware
