Là tập đoàn khổng lồ trong lĩnh vực phần mềm và phần cứng, Microsoft có được cái nhìn sâu sắc về các hành vi mới nhất của những kẻ tấn công. Theo Microsoft, dữ liệu trong báo cáo của họ được thu thập từ 8.000 tỷ tín hiệu qua PC, máy chủ, nhật ký mạng và đám mây, ứng dụng, thiết bị IoT cũng như các thiết bị Android, Linux, Mac và iOS.
Các cuộc tấn công ransomware ngày càng năng động hơn
Thứ ba, 06/10/2020 09:36
Ransomware đã trở thành mối đe dọa toàn cầu, nhưng các tổ chức cũng nên lưu ý rằng chính con người - không chỉ mã độc - đang tấn công họ, Microsoft cho biết trong báo cáo mang tên Digital Defense.
Ransomware là nguyên nhân phổ biến nhất sau các hoạt động ứng phó sự cố của nhóm Phát hiện và Ứng phó của Microsoft trong năm qua, nhưng theo báo cáo, nhiều tổ chức vẫn tiếp tục coi vấn đề này là mối đe dọa đơn giản và sẽ tự động bị tiêu diệt.
Theo Microsoft, cách tiếp cận này "thường không giải quyết được vấn đề gốc rễ vì đã bỏ qua các tác nhân con người đứng đằng sau các mối đe dọa, tính cụ thể của các mục tiêu và quyền truy cập vào mạng của họ có thể đã bị xâm phạm".
Trong nhiều trường hợp, thực tế việc phát tán ransomware là một trong những bước cuối cùng trong chuỗi các "thỏa hiệp" của con người. Theo quan sát của Microsoft ở thời điểm hiện tại, tùy thuộc vào công cụ bảo mật nào đang có, hệ thống mạng có sẵn các hoạt động cơ bản về an ninh tốt hay không và dữ liệu nào mà tội phạm mạng muốn lấy mà mức độ xâm phạm sẽ khác nhau.
Các tổ chức nên tập trung nhiều hơn vào các bước phòng ngừa rủi ro trước đó - như đối với khai thác lỗ hổng trong VPN và sử dụng phần mềm độc hại hoặc các công cụ nguồn mở - thường được sử dụng để giành quyền truy cập ban đầu hoặc vô hiệu hóa các tính năng bảo mật có thể phát hiện hoặc chặn hoạt động độc hại.
"Việc hiểu và khắc phục các vấn đề bảo mật cơ bản có thể dẫn đến xâm phạm ban đầu nên là ưu tiên hàng đầu của các nạn nhân ransomware", báo cáo khuyến nghị.
Dữ liệu có được từ eSentire sau một cuộc tấn công ransomware kéo dài 8 giờ vào một tổ chức giáo dục trực tuyến là một dẫn chứng điển hình. Kẻ tấn công có được thông tin đăng nhập ở cấp thấp và sử dụng VPN của tổ chức làm điểm truy cập ban đầu trước khi triển khai Mimikatz để thu thập thông tin đăng nhập bổ sung và nâng cao đặc quyền của chúng trên toàn mạng. Chúng cũng đã cố gắng gỡ cài đặt một chương trình chống virus đang ngăn chúng triển khai ransomware.