Theo một báo cáo mới của công ty an ninh mạng Sophos có trụ sở tại Anh, các cuộc tấn công mã độc ransomware dưới dạng dịch vụ (ransomware-as-a-service - RaaS) đã trở nên phổ biến hơn trong 18 tháng qua. Trong số hàng trăm vụ tấn công bằng ransomware mà Sophos đã điều tra trong thời gian đó, gần 60% là do các nhóm tội phạm ransomware-as-a-service gây ra.
Với hình thức tấn công mã độc RaaS, một nhóm tội phạm sẽ xây dựng mã độc và bán nó cho một nhóm khác để sử dụng những mã độc ransomware này và xâm nhập vào một DN hoặc tổ chức dễ bị tấn công. Theo các chuyên gia bảo mật, dạng tấn công ransomware dưới dạng dịch vụ này đang ngày càng trở nên tinh vi.
Trong hai năm qua, Sophos đã quan sát thấy xu hướng tấn công này ngày càng tăng, các nhà phát triển phần mềm độc hại cho những kẻ tấn công thuê mã của họ để thực hiện hành vi phạm pháp là đột nhập vào mạng của các DN và chiếm giữ hệ thống hoặc dữ liệu của họ làm con tin, cho đến khi nạn nhân trả tiền chuộc.
Thậm chí, RaaS còn là một mô hình bán mã độc dựa trên đăng ký thuê bao, cho phép các chi nhánh trong nhóm tội phạm sử dụng các công cụ ransomware đã được phát triển để thực hiện các cuộc tấn công. RaaS tương tự như mô hình kinh doanh phần mềm như một dịch vụ (SaaS). Bởi vì, giống như các dạng dịch vụ được quản lý phổ biến nhất, RaaS có thể bao gồm dịch vụ hỗ trợ công nghệ 24/24 và các diễn đàn người dùng dành riêng để tận dụng tối đa ứng dụng.
Người mua có thể có được “giải pháp” theo một số cách, bao gồm đăng ký hàng tháng, phí giấy phép một lần hoặc chia sẻ lợi nhuận với nhà cung cấp phần mềm. Vì vậy, giống như tất cả các giải pháp SaaS, người dùng RaaS không cần phải có kỹ năng hoặc thậm chí có kinh nghiệm để sử dụng thành thạo công cụ. Do đó, các giải pháp RaaS trao quyền cho những tin tặc mới nhất thực hiện các cuộc tấn công mạng rất tinh vi.
Đối với tác giả phần mềm độc hại, mô hình kinh doanh này cho phép họ mở rộng quy mô thu nhập từ một phần mềm mã độc, đồng thời chịu rủi ro cá nhân hơn so với việc tự sử dụng phần mềm độc hại để gây ra cuộc tấn công. Cung cấp phần mềm cho người khác sẽ loại những tác giả này khỏi tội cuối cùng bằng cách nhờ người khác thực hiện hành vi đòi tiền chuộc.
Tuy nhiên, dù dưới hình thức nào, RaaS cũng có một mục tiêu chung: tấn công mạng và gây ra tình trạng hỗn loạn kỹ thuật số và thu về lợi nhuận khổng lồ trong quá trình này. Đó là lý do chính khiến doanh thu của ransomware tăng vọt lên mức ước tính 20 tỷ USD ở Mỹ vào năm ngoái, theo Cybersecurity Ventures.
Các giải pháp RaaS trả cổ tức rất cao cho các chi nhánh của họ. Nhu cầu tiền chuộc trung bình đã tăng 33% kể từ quý 3/2019, một số chi nhánh kiếm được tới 80% mỗi lần thanh toán tiền chuộc.
Báo cáo của Sophos lưu ý rằng một số nhà phát triển phần mềm độc hại thậm chí còn tạo ra hướng dẫn (playbook) riêng về các cuộc tấn công của họ và cung cấp cho các nhóm trong tổ chức. Kết quả là, các nhóm tấn công khác nhau sẽ thực hiện các cuộc tấn công rất giống nhau. Càng có nhiều lập trình viên chuyên tạo ransomware cho thuê mã độc và cơ sở hạ tầng độc hại của họ cho các chi nhánh của bên thứ ba, thì quy mô và phạm vi các phương thức phân phối và tấn công bằng ransomware sẽ càng lớn.
RaaS giúp tội phạm mạng dễ dàng xâm nhập và đòi tiền chuộc hơn
Có mặt trên trang web đen (dark web) từ khoảng năm 2016, RaaS đã nổi lên nhanh chóng kể từ đó và là một phương tiện truyền bá ransomware. Trong khi đó, chuỗi cung ứng toàn cầu, được tạo thành từ nhiều đối tác độc lập thuộc mọi quy mô và mức độ tinh vi về công nghệ, đặc biệt dễ bị tấn công.
Các nhà sản xuất, nhà phân phối và nhà bán lẻ lớn có thể nghĩ rằng mình an toàn khi đã chi hàng triệu USD cho các biện pháp an ninh chặt chẽ trong chính ngôi nhà của họ, nhưng chỉ một nhà cung cấp nhỏ nhất và vụn vặt nhất cũng có thể đóng vai trò là cánh cửa dẫn đến vô số dữ liệu nhạy cảm về khách hàng bị đánh cắp. Theo một số ước tính, 2/3 tổng số các cuộc tấn công mạng hiện đang đến qua chuỗi cung ứng.
Với việc RaaS giúp tội phạm mạng dễ dàng xâm nhập và đòi tiền chuộc hơn, người ta sẽ nghĩ rằng các công ty tư nhân và cơ quan chính phủ sẽ đặc biệt quan tâm đến việc bảo vệ dữ liệu của họ. Nhưng sự bùng nổ của các cuộc tấn công ransomware trong những năm gần đây cho thấy rằng không phải vậy. Chỉ tính riêng trong năm 2021, các nạn nhân là những tổ chức rất lớn, như một công ty đường ống dẫn dầu, nhà máy đóng gói thịt, nhà phân phối hóa chất, nhà sản xuất ô tô. Dường như không thể biết nạn nhân thuộc những đối tượng nào - chỉ là tất cả các hệ thống đều dễ bị tổn thương trước một hình thức tấn công đã trở nên dễ dàng đến mức đáng báo động.
Một ví dụ về trường hợp tấn công này chính là Conti, một “thương hiệu” của kiểu tấn công ransomware-as-a-service. Hồi tháng 5/2021, FBI cho biết Conti đã tấn công 16 mạng y tế. Đây là loại ransomware-as-a-service phổ biến nhất được triển khai trong thời gian đó. Conti đã nhắm mục tiêu vào cơ quan thực thi pháp luật, dịch vụ y tế khẩn cấp, trung tâm điều phối và các thành phố. FBI cho hay có hơn 400 tổ chức trên toàn thế giới bị "các tác nhân Conti" nhắm mục tiêu.
Lús đó, cơ quan điều hành dịch vụ Y tế của Ireland đã phải đóng cửa các mạng của họ sau một cuộc tấn công liên quan đến Conti. Cuộc tấn công đòi tiền chuộc đã làm tê liệt các dịch vụ chẩn đoán, làm gián đoạn quá trình xét nghiệm COVID-19 và buộc các bệnh viện phải hủy các cuộc hẹn. Bộ trưởng phụ trách chính phủ điện tử của Ireland, Ossian Smyth, mô tả đây có thể là tội phạm mạng quan trọng nhất tấn công Ireland.
RaaS sẽ tiếp tục là mối đe dọa đối với nền tảng an toàn thông tin
Các thiết bị di động, đã bùng nổ về số lượng và ứng dụng trong thập kỷ qua, là những vật trung gian lây nhiễm phổ biến. Padmini Ranganathan, Phó chủ tịch toàn cầu về chiến lược sản phẩm của SAP cho biết: “Giả sử một nhà thầu phụ được thuê để xây dựng một tiện ích mở rộng phần mềm dựa trên API cho khách hàng. Làm thế nào để bạn biết mã của họ an toàn? Hay họ đang bảo vệ các thiết bị mà họ sử dụng ”
Chuyên gia CNTT cho biết không nhất thiết phải đầu tư tốn kém mới được đảm bảo an toàn. Các tổ chức cần có những nhân viên có nhận thức về nguy cơ vi phạm thông qua bất kỳ hệ thống và thiết bị nào. Thường thì một cuộc tấn công thành công có thể do sự bất cẩn của con người chứ không phải do lỗ hổng trong công nghệ.
Tất nhiên, các kỹ thuật của tin tặc sẽ tiếp tục phát triển. Cuộc tấn công bằng ransomware ngày nay có thể sẽ diễn ra ở một hình thức hoàn toàn mới trong những năm tới. Công nghệ sẽ cố gắng bắt kịp với mối đe dọa luôn thay đổi, nhưng chìa khóa an toàn nằm ở sự cảnh giác thường xuyên của các nhà thiết kế hệ thống và cả những người dùng bình thường nhất.
Theo Sophos, các tổ chức ngày nay khó có thể đảm bảo rằng họ an toàn nếu chỉ dựa vào các công cụ bảo mật hoặc tin tưởng họ sẽ phát hiện ra các mã độc hại. Các nhóm CNTT của DN, tổ chức cần hiểu sự phát triển của ransomware và đặc biệt là xu hướng phát triển của dạng tấn công ransomware như một dịch vụ, để phát triển các chiến lược an ninh mạng hiệu quả nhằm bảo vệ tổ chức của họ vào năm 2022 và hơn thế nữa.
Sophos đã tổng hợp dữ liệu trong báo cáo từ một phân tích thống kê về hàng trăm cuộc tấn công bằng ransomware và hàng trăm nghìn mẫu phần mềm độc hại mà các nhà nghiên cứu và nhóm phản ứng đã điều tra trong 18 tháng qua. Sophos tin rằng, trong năm 2022 và sau này, mô hình kinh doanh RaaS sẽ tiếp tục đe dọa nền an ninh mạng, vì mô hình này cho phép tội phạm xây dựng ransomware và tiếp tục cải thiện sản phẩm, đồng thời cung cấp cho các nhóm tội phạm khác và kiếm lời./.