10 cách những kẻ tấn công ransomware thường làm để ép doanh nghiệp trả tiền chuộc

Trước đây, ransomware là một vấn đề tương đối đơn giản. Kẻ tấn công sẽ xâm phạm vào mạng lưới tổ chức và mã hóa dữ liệu quan trọng. Nếu không có một bản sao lưu đáng tin cậy hoặc cập nhật, tổ chức đó sẽ có một số lựa chọn ngoài việc trả tiền chuộc với hy vọng rằng dữ liệu sẽ được giải mã.

Tuy nhiên, giờ đây, các tổ chức đã chăm chỉ hơn trong việc sao lưu dữ liệu quan trọng, có nghĩa là họ có thể ít phải trả tiền chuộc hơn. Do đó, tội phạm mạng đã chuyển sang các thủ đoạn hung hãn và mạnh mẽ hơn để yêu cầu trả tiền chuộc. Và sau đây là những thủ đoạn đó của tội phạm mạng.

Tuyên bố sẽ công khai dữ liệu

Một chiến thuật phổ biến được những kẻ tấn công sử dụng là âm mưu tống tiền kép. Trong trường hợp này, tên tội phạm thề sẽ công bố hoặc thậm chí bán đấu giá dữ liệu trực tuyến trừ khi doanh nghiệp trả tiền chuộc. Như vậy, ngay cả khi nạn nhân có các bản sao lưu dữ liệu đáng tin cậy, họ vẫn có thể cảm thấy áp lực phải trả tiền chuộc, nếu không sẽ rất bối rối và có thể phải chịu hậu quả pháp lý nếu dữ liệu bị rò rỉ.

Liên hệ trực tiếp với nhân viên

Để gây áp lực hơn nữa cho một tổ chức, những kẻ tấn công sẽ liên hệ với các giám đốc điều hành cấp cao và các nhân viên khác để cảnh báo rằng dữ liệu cá nhân của chính họ sẽ bị rò rỉ nếu tiền chuộc không được trả.

Liên lạc với đối tác, khách hàng và giới truyền thông. Trong những trường hợp khác, những kẻ tấn công sẽ tiếp cận với các đối tác kinh doanh, khách hàng và thậm chí cả giới truyền thông và yêu cầu họ thúc giục tổ chức bị hại thanh toán.

Cảnh báo nạn nhân không liên hệ với cơ quan thực thi pháp luật

Nhiều tổ chức sẽ liên hệ với các quan chức thực thi pháp luật hoặc các bên khác để tìm kiếm sự hỗ trợ sau khi bị tấn công. Một động thái như vậy có thể giúp nạn nhân khôi phục dữ liệu của họ mà không cần trả tiền chuộc hoặc đưa kẻ tấn công vào vòng lao lý của cơ quan thực thi pháp luật. Lo sợ những kết quả này, nhiều tên tội phạm sẽ cảnh báo nạn nhân phải “giữ im lặng”.

Tranh thủ người trong cuộc

Một số tên tội phạm sẽ cố gắng thuyết phục nhân viên hoặc người trong cuộc giúp chúng thâm nhập vào mạng lưới tổ chức để thực hiện một cuộc tấn công ransomware. Đổi lại, những kẻ tấn công hứa với “nội gián” sẽ được hưởng một phần tiền chuộc. Hy vọng là họ sẽ tìm thấy một số nhân viên bất mãn hoặc không trung thực, những người sẵn sàng bóc lột chủ nhân của họ.

Thay đổi mật khẩu

Sau cuộc tấn công ban đầu, nhiều hoạt động ransomware sẽ thiết lập một tài khoản quản trị tên miền mới, qua đó chúng thay đổi mật khẩu tất cả các tài khoản quản trị khác. Làm như vậy ngăn các quản trị viên khác đăng nhập vào mạng để giải quyết sự cố hoặc khôi phục các tệp được mã hóa từ các bản sao lưu.

Khởi động các chiến dịch lừa đảo

Trong một sự cố được Sophos ghi nhận, những kẻ tấn công đã gửi email lừa đảo đến nhân viên để lừa họ chạy phần mềm độc hại cung cấp toàn quyền truy cập vào email của họ. Sau đó, những kẻ tấn công sử dụng các tài khoản bị xâm nhập đó để liên hệ với đội CNTT, pháp lý và bảo mật để cảnh báo về các cuộc tấn công khác nếu tiền chuộc không được trả.

Xóa các bản sao lưu

Khi những kẻ tấn công ransomware săn lùng trong mạng lưới của nạn nhân, chúng sẽ tìm kiếm mọi bản sao lưu dữ liệu nhạy cảm. Sau đó, chúng sẽ xóa các bản sao lưu đó hoặc gỡ cài đặt phần mềm sao lưu. Trong một trường hợp được Sophos mô tả, những kẻ tấn công đã sử dụng tài khoản quản trị bị xâm phạm để liên hệ với máy chủ lưu trữ các bản sao lưu trực tuyến của nạn nhân và yêu cầu họ xóa các bản sao lưu ngoại vi.

Gửi bản sao vật lý thông báo tiền chuộc

Một số tội phạm sẽ gửi hàng loạt bản sao thông báo tiền chuộc đến các văn phòng và nhân viên của nạn nhân qua các máy in được kết nối và thiết bị đầu cuối của điểm bán hàng.

Khởi động các cuộc tấn công từ chối dịch vụ phân tán

Một số băng đảng ransomware đã chuyển sang tấn công DDoS để cố gắng thuyết phục những nạn nhân ngoan cố trả tiền chuộc. Các cuộc tấn công như vậy không chỉ làm tràn ngập các máy chủ web của tổ chức mà còn khiến các nhân viên CNTT và an ninh bị phân tâm bởi một vấn đề khác.

Để giúp bảo vệ tổ chức của bạn trước các cuộc tấn công ransomware, Sophos đưa ra một số mẹo.

Thiết lập một chương trình đào tạo cho nhân viên để giúp họ nhận ra loại email mà những kẻ tấn công sử dụng và các yêu cầu mà chúng có thể thực hiện như một phần của cuộc tấn công bằng ransomware.

Thiết lập đầu mối liên lạc 24/7 để nhân viên báo cáo bất kỳ hoạt động đáng ngờ nào về phía kẻ tấn công tiềm năng.

Triển khai quy trình để quét tìm hoạt động nội gián độc hại có thể xảy ra, chẳng hạn như một nhân viên nào đó cố gắng truy cập vào tài khoản hoặc tài sản trái phép.

Liên tục theo dõi tình hình an ninh mạng của doanh nghiệp và lưu ý các dấu hiệu ban về kẻ tấn công để ngăn chặn các cuộc tấn công ransomware trước khi chúng gây thiệt hại.

Tắt bất kỳ phiên bản nào của giao thức máy tính từ xa có kết nối internet (RDP) để ngăn những kẻ tấn công truy cập vào mạng của bạn. Nếu nhân viên cần truy cập từ xa vào hệ thống nội bộ, hãy đặt nó sau VPN hoặc kết nối zero trust và đảm bảo đang sử dụng xác thực đa yếu tố.

Thường xuyên sao lưu dữ liệu quan trọng và giữ ít nhất một bản sao lưu ngoại tuyến. Áp dụng phương pháp 3-2-1 để sao lưu. Điều đó có nghĩa là sao lưu ba bản dữ liệu bằng hai hệ thống khác nhau, một trong số đó là ngoại tuyến.

Ngoài ra, hãy thiết lập một kế hoạch ứng phó sự cố hiệu quả và cập nhật khi cần thiết./.