Mã độc tống tiền Ransomware và những điều cần biết

Ngày đăng: 2022-07-01 09:16:34 - Ngày cập nhật: 2022-07-01 09:17:26 - Số lần xem: 317
Điểm: 0/5 (0 phiếu)

Trong những năm gần đây, không phải virus mà chính Ransomware mới là mối đe dọa lớn đối với các tổ chức, doanh nghiệp. Bởi khi bị tấn công, người dùng ngoài việc mất quyền truy cập ra còn phải trả một khoản tiền lớn để lấy lại dữ liệu. 

Hãy cùng tìm hiểu xem Ransomware là gì mà đáng sợ đến thế.

Ransomware là gì?

Ransomware hay Mã độc tống tiền là phần mềm độc hại sử dụng mã hóa đánh cắp thông tin của nạn nhân để đòi tiền chuộc. Khi Ransomware nhiễm vào máy tính, dữ liệu quan trọng của người dùng hoặc tổ chức sẽ bị mã hóa để họ không thể truy cập tệp, cơ sở dữ liệu hoặc ứng dụng. Để khôi phục quyền truy cập, nạn nhân phải trả một khoản tiền chuộc theo yêu cầu. Tùy vào mức độ quan trọng của dữ liệu và quy mô của doanh nghiệp mà mức tiền chuộc có thể dao động từ vài nghìn đô đến vài triệu đô.

Ransomware được xem là mối đe dọa ngày càng lớn, cung cấp hàng tỷ đô la tiền chuộc cho tội phạm mạng và gây ra thiệt hại đáng kể về chi phí cho các doanh nghiệp, tổ chức chính phủ.

So sánh Virus và Ransomware

Virus máy tính từ lâu đã là một khái niệm quen thuộc. Có thể vì thế mà nhiều người gọi chung tất cả các phần mềm độc hại là virus, bao gồm cả Ransomware. Tuy nhiên, đây là 2 khái niệm khác nhau.

Điểm chung của cả 2 đều là mã độc hoặc phần mềm độc hại (malware). Virus là thuật ngữ chỉ những "malware” có khả năng phát tán, lây lan nhanh, không thể kiểm soát được. Đối với Ransomware - các phần mềm được thiết kế chỉ với mục đích tống tiền nạn nhân. Để phát tán Ransomware, kẻ xấu sử dụng các phương thức lừa đảo Phishing (tấn công giả mạo) để dụ dỗ nạn nhân.

Thuật ngữ Virus Ransomware được dùng để chỉ những phần mềm độc hại có tốc độ lây lan ở mức "đặc biệt khủng khiếp". Nổi bật trong đó có WannaCry.

Ransomware đã xâm nhập vào máy tính như thế nào?

Tương tự như các phần mềm độc hại khác, Ransomware ẩn nấp trong các phần mềm, đường liên kết (link), tập tin khi người dùng thực hiện các thao tác:

  • Sử dụng các phần mềm crack.
  • Bấm vào các quảng cáo.
  • Truy cập vào các trang web giả mạo hoặc web đen.
  • Bấm vào các file đính kèm qua email spam.
  • Tải về các phần mềm lạ, không rõ nguồn gốc.
  • Các lỗ hổng của hệ thống mạng hoặc máy tính bị cài Ransomware tự động thông qua USB.

Phân loại và cách thức hoạt động của Ransomware

Hai loại Ransomware phổ biến nhất là mã hóa và khóa màn hình. 

Mã hóa còn có tên tiếng Anh là Ransomware Crypto hay Encrypting Ransomware. Đây là dạng tấn công Ransomware phổ biến. Chúng mã hóa bất cứ tài liệu nào mà nó tìm được bằng cách kết nối bí mật với server của hacker, đổi tên đuôi file và tạo một mã khóa. Các tài liệu bị tấn công thường là file office. Những file này sẽ bị đổi đuôi thành những định dạng nhất định nào đó kèm mật khẩu: *.Doc, *.Docx -> *.docm; *xls, *.skype -> *cerber, *.doc.ccc, !RecOveR!-tkxaf++.Png, !RecOveR!-tkxaf++.Txt,... Nạn nhân sẽ không thực hiện bất kỳ thao tác nào như copy, paste, đổi tên, xóa. Đặc biệt, mỗi thời điểm sẽ có đuôi mã khác nhau. Nếu không trả tiền chuộc đúng thời hạn quy định, file có thể bị nâng cấp mã hóa, ảnh hưởng xấu đến dữ liệu.

Màn hình thông báo lừa tải phần mềm độc hại về máy

Nguồn: https://www.proofpoint.com/

Mặc khác, khóa màn hình (Locker Ransomware hoặc Non-encrypting Ransomware) chỉ đơn giản là chặn quyền truy cập vào hệ thống bằng màn hình "khóa", xác nhận rằng hệ thống đã được mã hóa. Nạn nhân không thực hiện bất kỳ thao tác nào trên máy tính, trừ việc bật - tắt màn hình. Trên màn hình sẽ xuất hiện hướng dẫn chi tiết và cụ thể về việc chuyển khoản tiền để lấy khóa giải mã. Tiền chuộc có thể là tiền điện tử như Bitcoin.

Ban đầu, các cuộc tấn công Ransomware tập trung tấn công máy tính cá nhân. Tuy nhiên, ngày càng nhiều cuộc tấn công nhắm đến doanh nghiệp, vì các doanh nghiệp thường sẽ trả nhiều tiền hơn để mở khóa các hệ thống quan trọng. Các trường hợp tấn công Ransomware của doanh nghiệp thường bắt đầu bằng một email độc hại.

Đôi khi có trường hợp nạn nhân sẽ không bao giờ nhận lại được khóa mật mã để giải mã dữ liệu. Hoặc ngay sau khi trả tiền chuộc và dữ liệu được giải phóng, máy tính vẫn có thể sẽ tiếp tục bị tấn công bởi các phần mềm độc hại.

Cơ chế hoạt động của Ransomware

Các cuộc tấn công Ransomware phổ biến

Locky

Locky lần đầu tiên được sử dụng cho một cuộc tấn công vào năm 2016 bởi một tổ chức tin tặc. Tổ chức này đã mã hóa hơn 160 loại tệp và phát tán vi-rút của mình bằng các email giả mạo có tệp đính kèm bị nhiễm. Người dùng bị lừa bởi các cuộc tấn công phishing (tấn công giả mạo). Locky Ransomware nhắm mục tiêu các loại tệp thường được sử dụng bởi các nhà thiết kế, nhà phát triển và kỹ sư.

WannaCry

WannaCry hẳn đã không còn là cái tên xa lạ với những người quan tâm đến công nghệ và bảo mật. Năm 2017, mã độc này đã hoành hành với quy mô cực lớn, trong đó có Việt Nam. Đây là cuộc tấn công lớn nhất mà thế giới từng chứng kiến ​​và dẫn đến dư chấn lớn trong thế giới kinh doanh, chính trị, hacker và ngành công nghiệp an ninh mạng.

Giao diện mã độc tống tiền WannaCry, yêu cầu 300 USD để mở khóa

Mã độc này lợi dụng một lỗ hổng trong giao thức SMB của hệ điều hành Microsoft Windows để tự động lan rộng ra các máy tính khác trong cùng mạng lưới. WannaCry tấn công hơn 300 tổ chức trải rộng trên 150 quốc gia. Nó lớn đến nỗi ngay cả sau khi tìm tiêu diệt, virus vẫn tiếp tục khủng bố tất cả các hệ thống và dữ liệu mà nó tiếp xúc cho đến nay. Ước tính tổng chi phí lên tới hơn 4 tỷ đô. Tại châu Âu, những tổ chức chính phủ, doanh nghiệp lớn như FedEx, Hệ thống Dịch vụ Y tế Quốc gia Anh và Bộ Nội vụ Nga đều đã gánh chịu hậu quả không nhỏ từ loại Ransomware này.

Bad Rabbit

Bad Rabbit là một cuộc tấn công Ransomware vào năm 2017, lây lan qua các cuộc tấn công bằng ổ đĩa. Trong một cuộc tấn công bằng mã độc tống tiền, người dùng truy cập vào một trang web mà không biết rằng trang web đó đã bị tin tặc chiếm đoạt. Ransomware này tấn công nhiều quốc gia ở Đông Âu, tấn công cả các đơn vị chính phủ và doanh nghiệp với tốc độ lan truyền nhanh. Bad Rabbit phát tán thông qua việc gửi yêu cầu người dùng cài đặt Adobe Flash giả mạo, từ đó lây nhiễm phần mềm độc hại vào máy tính.

NotPetya

Phát hiện vào năm 2017 ở Ukraine, sau đó lan rộng khắp Châu Âu, nhắm mục tiêu đến các ngân hàng, sân bay và các công ty năng lượng. NotPetya cũng lợi dụng lỗ hổng của Microsoft tương tự như WannaCry. Chỉ cần 1 máy tính bị nhiễm thì NotPetya sẽ quét mạng cục bộ và lây nhiễm cho các máy khác không cần qua thao tác người dùng. Đặc biệt, chúng không chỉ mã hóa file, còn phá hủy ổ cứng của nạn nhân đến mức không thể khôi phục được dù cho có trả tiền chuộc hay không.

Ryuk

Ryuk Ransomware là một Trojan mã hóa (là một loại mã hoặc phần mềm độc hại nhưng được ẩn dưới lớp vỏ của các phần mềm hợp pháp) lây lan vào mùa hè năm 2018. Ryuk khiến cho các chức năng khôi phục trên hệ điều hành Windows bị đóng băng và không thể khôi phục dữ liệu mã hóa mà không có bản sao lưu bên ngoài. Nó cũng mã hóa cả đĩa cứng mạng. Tổng thiệt hại ước tính hơn 650.000 USD.

Ngoài những Ransomware kể trên, còn có một số vụ tấn công tống tiền bằng phần mềm khác cũng nổi tiếng như Sodinokibi (2019), CryptoLocker (2013), Petya (2016), GoldenEye (2017), SamSam (2015). Các cuộc tấn công này cũng gây ra thiệt hại tới hàng triệu USD trên toàn cầu.

Các mối đe dọa Ransomware mới

Những kẻ xấu liên tục thay đổi mã độc thành các biến thể mới để tránh bị phát hiện. Các quản trị viên và nhà phát triển chống phần mềm độc hại thường xuyên cập nhật các phương pháp mới để phát hiện các mối đe dọa diễn ra nhanh chóng trước khi có thể lan truyền rộng trên không gian mạng. Một số mối đe dọa mới phổ biến:

Tải file DLL (Dynamic Link Library). Phần mềm độc hại cố gắng che giấu để không thể bị phát hiện bằng cách ẩn mình trong các file hợp pháp có chứa tập tin DLL để tấn công hệ thống.

Máy chủ web làm mục tiêu. Phần mềm độc hại trên môi trường lưu trữ được chia sẻ có thể ảnh hưởng đến tất cả các trang web được lưu trữ trên máy chủ. Nó giống như tấn công Ryuk, nhắm mục tiêu vào các trang web được lưu trữ, chủ yếu sử dụng email lừa đảo.

Phishing Spear. Đây là hình thức tấn công cao hơn so với phương thức Phishing thông thường. Thay vì gửi phần mềm độc hại đến hàng nghìn mục tiêu, những kẻ tấn công sẽ nhắm vào các công ty lớn hoặc nhân viên cao cấp có nhiều quyền truy cập để lấy những thông tin giá trị cao hơn.

Ransomware-as-a-Service (RaaS). Là một mô hình kinh doanh trong đó Ransomware được cho thuê, bất kì ai cũng có thể sử dụng, hoàn toàn không cần đến kiến thức lập trình. So với các Ransomware khác đã được phát hiện, công cụ mới này yêu cầu kỹ năng rất thấp. Sự ra đời của RaaS đã dẫn đến việc gia tăng các cuộc tấn công bằng Ransomware.

Cách bảo vệ khỏi các cuộc tấn công Ransomware

  • Luôn sao lưu dữ liệu.
  • Cài đặt phần mềm bảo vệ Ransomware đáng tin cậy.
  • Liên tục cập nhật hệ điều hành, chương trình và phần mềm bảo mật. Việc này giúp bảo vệ bạn khỏi các phần mềm độc hại mới nhất với các bản vá bảo mật được cập nhật.
  • Không bao giờ nhấp vào các tệp đính kèm email hay thư rác không rõ nguồn gốc.
  • Thận trọng khi truy cập vào các trang web độc hại và các quảng cáo trên trang web.
  • Hạn chế lướt web khi truy cập vào wifi miễn phí.
  • Không sử dụng USB từ các nguồn gốc không xác định.

Các bước để đối phó với một cuộc tấn công

Khi đã xâm nhập vào được máy tính, phần mềm độc hại sẽ hiển thị thông báo cho nạn nhân gồm có hướng dẫn thanh toán và thông tin về những gì đã xảy ra với dữ liệu của nạn nhân. Trường hợp này, quản trị viên phải phản ứng nhanh để Ransomware không lây lan đến những vị trí khác trên mạng và tìm thấy các dữ liệu quan trọng. Để đối phó với Ransomware có thể thực hiện một số bước cơ bản để phản ứng kịp thời. Tuy nhiên, cần có sự can thiệp của các chuyên gia để phân tích và xử lý.

Xác định hệ thống đang bị ảnh hưởng. Cần nhanh chóng cách ly hệ thống đang bị tấn công Ransomware để chúng không ảnh hưởng đến phần còn lại. Bước này là một phần của quá trình ngăn chặn, giúp giảm thiệt hại.

Ngắt kết nối hệ thống và tắt nguồn nếu cần thiết. Ransomware lây lan nhanh chóng trên mạng, do đó, bất kỳ hệ thống nào cũng phải được ngắt kết nối bằng cách vô hiệu hóa quyền truy cập mạng hoặc tắt nguồn.

Ưu tiên khôi phục những hệ thống quan trọng nhất để có thể hoạt động trở lại bình thường và nhanh hơn. Thông thường, mức độ ưu tiên dựa trên tác động của năng suất làm việc và doanh thu.

Loại bỏ các mối đe dọa từ không gian mạng. Những kẻ tấn công có thể sử dụng backdoor (là một cổng không được thông báo rộng rãi, cho phép người quản trị xâm nhập hệ thống để tìm nguyên nhân gây lỗi hoặc bảo trì). Vì thế, việc loại bỏ Ransomware phải được thực hiện bởi chuyên gia đáng tin cậy. Chuyên gia cần truy cập vào nhật ký để phân tích nguyên nhân, xác định lỗ hổng bảo mật và tất cả các hệ thống bị ảnh hưởng.

Giám sát máy chủ, mạng và hệ thống sao lưu. Các công cụ giám sát có thể phát hiện các hoạt động truy cập bất thường, virus, lưu lượng mạng C&C và tải CPU nên có thể kịp thời chặn kích hoạt Ransomware. Giữ một bản sao hình ảnh đầy đủ của các hệ thống quan trọng có thể làm giảm nguy cơ máy bị rơi hoặc bị mã hóa gây ra tắc nghẽn hoạt động quan trọng.

Câu hỏi liên quan đến Ransomware

DarkSide Ransomware là gì?

Một nhóm kẻ xấu được gọi là DarkSide đã tạo ra phần mềm độc hại DarkSide hoạt động dưới dạng Ransomware-as-a-service (RaaS). Phần mềm độc hại này tống tiền gấp đôi bằng cách yêu cầu nạn nhân thanh toán hai khoản tiền chuộc để giải mã tệp và lấy lại dữ liệu nhạy cảm bị đánh cắp. Nó nhắm mục tiêu các máy chủ lưu trữ Giao thức Máy tính Từ xa (RDP) và brute buộc mật khẩu để có quyền truy cập vào các tệp cục bộ của máy.

Mất bao lâu để khôi phục hệ thống từ Ransomware?

Thời gian khôi phục hệ thống rất khác nhau tùy thuộc vào mức độ thiệt hại, hiệu quả của kế hoạch khắc phục thảm họa của tổ chức, thời gian ứng phó cũng như khung thời gian ngăn chặn và tiêu diệt. Nếu không có các bản sao lưu tốt và kế hoạch khôi phục sau thảm họa, các tổ chức có thể ở chế độ ngoại tuyến trong nhiều ngày, đây là một sự kiện ảnh hưởng nghiêm trọng đến doanh thu.

Nguồn tham khảo

1. Proofpoint.com: What is Ransomware?

2. Antivirus.com: Famous Ransomware Attacks

3. Norton: What is ransomware and how to help prevent ransomware attacks

Tags: ,

Bài liên quan