Ransomware thế hệ mới mối đe dọa tống tiền ba lần

Ransomware (mã độc tống tiền) là một khái niệm không còn mới, mà các chiến thuật, kỹ thuật và thủ tục của nó được tin tặc sử dụng đã đạt đến mức độ tinh vi trong vài năm qua. Cùng với sự phát triển đó, việc bảo vệ mạng lưới chống lại các cuộc tấn công gây hậu quả nghiêm trọng và ngày càng trở nên khó khăn hơn như vụ tấn công của nhóm ransomware DarkSide đối với công ty Colonial Pipeline [1] gần đây.

Trước đây, tin tặc chỉ sử dụng mã độc liên quan đến tống tiền để hạn chế quyền truy cập vào dữ liệu người dùng, bằng cách mã hóa các tệp trên thiết bị của cá nhân hoặc tổ chức. Để đổi lại khóa giải mã, nạn nhân được yêu cầu trả tiền chuộc bằng Bitcoin. Mã độc vào thời điểm đó thường lây lan qua malspam, còn được gọi là thư rác độc hại. Malspam là một phương pháp phổ biến và hiệu quả để gửi hàng loạt email có chứa liên kết độc hại hoặc tài liệu bị nhiễm độc. Khi nạn nhân đã mở tệp, một macro sẽ chạy trong nền và lây nhiễm vào thiết bị của nạn nhân bằng một mã độc được thiết kế để mã hóa tệp. Nếu người dùng không trả tiền chuộc hoặc không có bộ sao lưu thì sẽ mất tất cả dữ liệu trên thiết bị.

RANSOMWARE - MỐI ĐE DỌA TỐNG TIỀN KÉP

Để phòng chống ransomware, một số nạn nhân đã được đào tạo để từ chối thanh toán vì họ đã thực hiện các biện pháp phòng ngừa và có bản sao lưu dữ liệu. Tin tặc bắt đầu phát triển các phương thức bổ sung để gây thêm áp lực cho nạn nhân. Vào năm 2019, các nhóm ransomware DopplePaymer [3] và Maze [4] đã làm được điều đó bằng cách phân tích dữ liệu của nạn nhân. Do đó, nếu nạn nhân quyết định không trả khoản tiền chuộc ban đầu vì đã có bản sao lưu thì sẽ bị đe dọa phát tán dữ liệu tài chính, thông tin khách hàng hoặc dữ liệu cá nhân nhạy cảm. Không may, loại tống tiền kép này đã trở nên phổ biến hơn trong hai năm qua chủ yếu là do tin tặc đã thiết lập một kế hoạch dự phòng trong trường hợp nạn nhân quyết định không trả tiền cho các khóa giải mã.

Trường hợp ransomware gần đây liên quan đến cảnh sát Washington D.C (Hoa Kỳ), trong đó tin tặc tự xưng là Babuk [5] tuyên bố đã đánh cắp hơn 250 GB dữ liệu và nói rằng sẽ phát tán chúng nếu không được trả tiền. Babuk thậm chí còn đăng ảnh chụp màn hình trong ghi chú tiền chuộc, bao gồm thông tin nhạy cảm của lực lượng cảnh sát mà các nhà nghiên cứu an ninh mạng, sau đó là giới truyền thông thu thập được. Dữ liệu này đã được gỡ xuống nhưng sau đó đã được tải lên lại sau cuộc thương lượng không thành công.

Chiến lược tương tự đã được thực hiện trong cuộc tấn công Revil [6] nhằm vào nhà cung cấp Quanta Computer của Apple, khi đó tin tặc dọa sẽ làm rò rỉ các tệp dữ liệu nếu Apple không trả tiền chuộc. Sau đó, kẻ tấn công đăng sơ đồ các máy tính xách tay sắp tới của Apple và đe dọa sẽ công bố nhiều bí mật hơn nếu Apple không trả tiền. Thông tin đó cũng đã bị gỡ xuống, cho thấy một số cuộc đàm phán cũng có thể đã diễn ra để chấm dứt nguy cơ rò rỉ thêm.

Ngày nay, có khá nhiều các nhóm ransomware trên dark web làm rò rỉ các tệp nhạy cảm để chứng minh rằng dữ liệu đã bị đánh cắp. Việc rò rỉ thường được khuếch đại khi các phương tiện truyền thông quan tâm đến nó. Trong trường hợp của Apple, một nhà báo đã viết một bài báo về những thiết bị nào sắp ra mắt dựa trên nội dung bị rò rỉ, tạo ra áp lực  lớn đối với Apple trong việc bảo vệ tài sản trí tuệ của mình. Điều này đặt ra câu hỏi về việc liệu một nhà báo đưa tin tiết lộ có đang tiếp tay cho những kẻ đe dọa gây áp lực lên nạn nhân hay không.

RANSOMWARE THẾ HỆ MỚI - MỐI ĐE DỌA TỐNG TIỀN BA LẦN

Điều này được minh chứng bởi nhóm ransomware Darkside gần đây đã làm tê liệt hệ thống dẫn dầu Colonial Pipeline của Mỹ. Khi đó, dữ liệu của người dùng không chỉ bị mã hóa và lọc ra, mà nếu không thực hiện thanh toán theo yêu cầu của tin tặc thì chúng có thể khởi động một cuộc tấn công DDoS chống lại các dịch vụ của Colonial Pipeline như một cách để đưa nạn nhân trở lại bàn thương lượng.

DDoS truyền thống chỉ được liên kết với một hình thức tống tiền: Từ chối dịch vụ đòi tiền chuộc (RDoS). Trong đó, tin tặc thực hiện một cuộc tấn công DDoS chống lại mạng của nạn nhân và sau đó yêu cầu thanh toán bằng Bitcoin để dừng bị tấn công. Tuy nhiên, việc thực hiện bằng ransomware như trong trường hợp tấn công của nhóm Darkside làm tê liệt hệ thống dẫn dầu Colonial Pipeline lại tương đối mới. Nó cho thấy nền kinh tế ngầm đang phát triển, các tác nhân đe dọa giờ đây có thể thuê các dịch vụ tấn công với giá rẻ để gây thêm áp lực khi cần thiết.

Theo FBI, DarkSide là một nhóm tin tặc ở Đông Âu, đã xâm nhập vào mạng lưới Colonial Pipelinevà lấy ra khoảng 100GB dữ liệu để đe dọa công ty này. Mặc dù các đường ống không bị ảnh hưởng về mặt vật lý, nhưng các dòng nhiên liệu đã bị cắt do hệ thống thanh toán cho khách hàng của công ty bị ngắt do bị tấn công.

Tác động của việc ngừng hoạt động gây nên tình trạng thiếu nhiên liệu, giá nhiên liệu tăng và sự gián đoạn quy mô lớn đối với các doanh nghiệp và hộ gia đình. Điều này đủ nghiêm trọng để 17 bang của Hoa Kỳ phải ban bố tình trạng khẩn cấp và ban hành các điều luật cho phép các doanh nghiệp ứng phó với tình trạng tạm thời này. Mặc dù đường ống đã hoạt động trở lại vào ngày 18/5/2021, nhưng phía công ty vẫn đang phải nỗ lực khắc phục thiệt hại và sẽ mất một khoảng thời gian trước khi nguồn cung cấp nhiên liệu có thể trở lại hoạt động bình thường như trước đây.

DarkSide vận hành mô hình ransomware dưới dạng dịch vụ, cho phép các chi nhánh mua ransomware, cổng thanh toán và các dịch vụ khác của nhóm tin tặc khác để tiến hành các cuộc tấn công. Các kỹ thuật khác tạo thêm áp lực lên nạn nhân bao gồm: Khả năng khởi chạy các cuộc tấn công từ chối dịch vụ phân tán (DDoS) vào nạn nhân để báo hiệu cho thế giới bên ngoài biết rằng họ đang bị tấn công; Một trung tâm cuộc gọi để quấy rối nạn nhân (các báo cáo cho thấy rằng nạn nhân thường bắt đầu nhận được các cuộc gọi từ ba đến năm ngày sau khi lây nhiễm lần đầu); Khả năng lây nhiễm và mã hóa hệ điều hành Windows và Linux. Tất cả những khả năng này kết hợp lại để biến DarkSide trở thành một mối đe dọa nghiêm trọng và đáng sợ, từ đó dẫn đến việc tuyển dụng nhiều chi nhánh hơn, dẫn đến nhiều cuộc tấn công hơn và lợi nhuận nhiều hơn.

Vì lợi nhuận, các nhóm ransomware sẽ ngày càng tìm ra những cách thức mới để gây thêm áp lực, buộc nạn nhân của họ phải trả tiền. Ban đầu, người dùng có thể tránh thiệt hại sau một cuộc tấn công ransomware khi có các bản sao lưu. Tuy nhiên, việc lọc dữ liệu làm cho các bản sao lưu không đủ, ngay cả khi người dùng có thể chấp nhận việc dữ liệu nhạy cảm của mình bị công khai thì cũng phải có khả năng bảo vệ mạng của mình trước tấn công DDoS.

Các mối đe dọa ngày nay do ransomware gây ra đòi hỏi các giải pháp toàn diện, nhưng sẽ không có gì thay đổi được toàn cảnh mối đe dọa nếu không có hành động kiên quyết từ các chính phủ trên toàn thế giới. Không có lực lượng đặc nhiệm chống ransomware nào giải quyết được điều này trừ khi có thể giải quyết được các lỗ hổng trong luật pháp quốc tế trong việc bắt giữ tội phạm từ các khu vực không bị trừng phạt trên thế giới.

KHUYẾN NGHỊ

Khuyến nghị các tổ chức nên xem xét các bước sau để giảm thiểu nguy cơ lây nhiễm ransomware:

- Xác định hành vi của ransomware bằng cách cài đặt các công nghệ bảo vệ ransomware như Endpoint Detection & Response và NextGenAntiVirus. Ransomware có thể được truy tìm vì mẫu mã độc có thể quan sát được. Khi chúng được phát hiện, các công cụ này có khả năng giúp ngăn chặn trước khi chúng lây lan.

- Sao lưu dữ liệu cục bộ và lưu trữ trong đám mây. Nếu ransomware tấn công hệ thống các bản sao lưu sẽ cho phép khôi phục lại các hoạt động.

- Việc phân tách mạng rất quan trọng đối với việc phân quyền truy cập hạn chế vào dữ liệu. Mọi tổ chức nên đặc biệt thận trọng khi cấp các đặc quyền quản trị.

- Luôn cập nhật việc quản lý bản vá để đảm bảo tất cả các hệ thống đều được cập nhật và giảm thiểu các lỗ hổng bảo mật có thể bị khai thác.

- Sử dụng xác thực đa yếu tố trên nhiều ứng dụng nhất có thể. Điều này đặc biệt quan trọng đối với các dịch vụ đăng nhập từ xa và ứng dụng ảo, vì các nhóm ransomware có thể dễ dàng truy cập các dịch vụ này bằng thông tin đăng nhập bị đánh cắp hoặc được tìm thấy trên Darknet.

- Một số hoạt động ransomware sẽ không triển khai nếu chúng phát hiện ra rằng máy đang sử dụng mã nhận dạng ngôn ngữ Nga như bàn phím Cyrillic hoặc gói ngôn ngữ CIS (Cộng đồng các quốc gia độc lập). Cân nhắc thêm các gói này ngay cả khi chúng không được sử dụng. Điều này có thể không ngăn chặn hoàn toàn việc lây nhiễm ransomware, nhưng nó có thể mang lại thời gian quý báu để phát hiện các cuộc tấn công.