Tổng quan :
Trong bối cảnh không ngừng tiến xa của thế giới kỹ thuật số, mối đe dọa từ ransomware tiếp tục gia tăng và tiến hóa một cách đáng lo ngại. Năm 2023 dự kiến sẽ chứng kiến sự xuất hiện của nhiều xu hướng mới và phát triển đáng chú ý trong lĩnh vực này. Những tên tội phạm công nghệ thông tin ngày càng tinh vi và táo bạo hơn trong việc tấn công các tổ chức, cá nhân và ngay cả hạ tầng quốc gia. Trong bối cảnh này, chúng ta sẽ điểm qua 6 xu hướng và phát triển quan trọng của ransomware dự kiến xảy ra trong năm 2023.
Nội dung bài viết :
I. Sơ lược ransomware
Ransomware là một loại phần mềm độc hại được thiết kế để tấn công và mã hóa dữ liệu trên máy tính hoặc hệ thống, sau đó yêu cầu một khoản tiền chuộc (ransom) từ người dùng để giải mã dữ liệu bị mã hóa. Điều này có nghĩa là nạn nhân không thể truy cập dữ liệu của họ cho đến khi họ trả tiền chuộc cho các tội phạm điều hành ransomware.
II. 6 xu hướng và phát triển của ransomware cho năm 2023
1. Ransomware nhắm mục tiêu các ngành công nghiệp ,dịch vụ đặc thù
Trong quá khứ, các nhóm tấn công ransomware đã tập trung vào việc tấn công vào các doanh nghiệp trong các ngành nghề mà việc duy trì thời gian hoạt động liên tục là rất quan trọng. Thậm chí, việc mất chỉ một giờ do việc mã hóa các tệp hoặc tạm ngừng quá trình sản xuất có thể gây ra những chi phí cản trở đáng kể. Tuy nhiên, có một số nhóm đối thủ đang đạt được thành công mà không cần phải triển khai tải trọng độc hại.
Nhóm LAPSU$, được cho là đã nhắm vào các tên tuổi lớn như Microsoft, Nvidia, Uber và Rockstar Games, đã nổi tiếng thông qua việc tống tiền nạn nhân của họ và đăng tải dữ liệu bị đánh cắp lên internet khi họ không thể đáp ứng được các yêu cầu của nhóm. Khi các đối thủ tìm thấy nhiều cách tiếp cận khác nhau để tạo lợi từ mục tiêu của họ, các nhà lãnh đạo về an ninh mạng sẽ cần xem xét kỹ càng tất cả các điểm yếu mà tổ chức của họ có thể mắc phải.
2. Tận dụng Lợi ích từ việc thương mại hóa dữ liệu
Trong thời đại hiện nay, việc ăn cắp hoặc mã hóa dữ liệu để tống tiền nạn nhân đã trở thành một thực tế thông thường đối với các nhóm tấn công ransomware. Tuy nhiên, dữ liệu bị đánh cắp không chỉ mang giá trị cho người sở hữu hợp pháp của nó. Một máy tính bị xâm nhập có thể cung cấp cho kẻ địch một kho tàng các bí mật của công ty và tài liệu nhạy cảm, sẵn sàng để bán cho người trả giá cao nhất.
Mặc dù các nhóm tấn công ransomware chưa nổi danh với việc khai thác dữ liệu một cách rộng rãi, nhưng đây là một ngành công nghiệp ngầm đã được xây dựng sẵn sàng cho các nhóm này gia nhập, họ trở thành các môi giới cho những tội phạm mạng khác – tối đa hóa lợi nhuận đồng thời giảm thiểu rủi ro tiết lộ thông tin. Tuy nhiên, ngược lại, ngay cả một việc xâm nhập duy nhất cũng có thể gây hậu quả nghiêm trọng, khi dữ liệu nhạy cảm có thể rơi vào tay những thủ phạm xấu, hoặc bị đăng tải trực tuyến tạo thêm sự phản ứng tiêu cực đối với tổ chức của bạn.
3. Hướng tới các điểm endpoint trong môi trường đám mây
Trong bối cảnh ngày càng nhiều tổ chức chuyển sang sử dụng các dịch vụ đám mây, cảnh quan liên quan đến những điểm endpoint cũng đang thay đổi tương ứng. Các đội an ninh mạng đã phải thích nghi với sự phân tán trong môi trường đám mây, tuy nhiên, việc cài đặt không đúng cấu hình và các lỗ hổng chưa được khắc phục vẫn là mục tiêu chính của những nhóm tấn công ransomware, mà đang tìm kiếm cơ hội xâm nhập.
Mặc dù tính phân tán của các tài nguyên đám mây tạo ra những thách thức đối với kẻ thù, họ đang phát triển các chiến lược mới để khai thác những tài nguyên không được sử dụng. Một nghiên cứu từ Nhóm Hành Động An Ninh Mạng của Google đã chỉ ra rằng 86% trong số các vụ xâm nhập vào môi trường đám mây đã được sử dụng để khai thác tiền điện tử. Các đối thủ đã tham gia vào hoạt động “đào tiền điện tử” có thể dễ dàng triển khai ransomware trên các hệ thống bị xâm nhập, hoặc bán quyền truy cập cho những nhóm ransomware đã có kinh nghiệm hơn.
Ví dụ như đã được chứng minh bởi nhóm TeamTNT, một điểm kết thúc bị xâm nhập có thể mang lại cho đối thủ quyền truy cập vào các dữ liệu nhạy cảm trong môi trường đám mây để tiến hành các hoạt động tội phạm đa dạng.
4. Chọn mục tiêu trên các nền tảng không phổ biến
Các chuyên gia về an ninh mạng thấu hiểu rằng không có mối đe dọa nào quá nhỏ để bỏ qua, vì bất kỳ cuộc xâm nhập nào cũng có thể gây ra hậu quả nghiêm trọng. Các nền tảng không phổ biến thực tế có thể tạo ra nguy cơ lớn nhất cho tổ chức của bạn, bởi vì các nhóm tấn công ransomware hiểu rõ giá trị của những thiết bị quan trọng đối với doanh nghiệp, đặc biệt khi không có sao lưu dữ liệu sẵn có.
Hacker không chỉ sử dụng những lỗ hổng đã được kiểm nghiệm, mà còn tìm cách tạo ra những chiến thuật mới để khai thác. Vào năm 2017, các nhà nghiên cứu tại Viện Công nghệ Georgia đã phát triển một bằng chứng thực nghiệm để triển khai ransomware lên một bộ điều khiển logic chương trình (PLC). Việc xây dựng lại hoặc thay thế một thiết bị như vậy có thể tốn kém đáng kể, và chính điều này là điểm mà các nhóm tấn công ransomware tìm kiếm khi lựa chọn mục tiêu.
Những lỗ hổng nghiêm trọng như vậy thường phổ biến hơn những gì bạn tưởng. Vào năm 2017, các nhà nghiên cứu của Trend Micro đã phát hiện rằng các máy chủ trung tâm cũ hơn, cần thiết cho nhiều hệ thống quan trọng trong doanh nghiệp, có thể bị kẻ thù bắt giữ khi chúng được kết nối với internet. Các hành động độc hại mà các nhóm tấn công ransomware có thể thực hiện bao gồm việc thay đổi mật khẩu quản trị và làm cho việc khởi động lại mạng hoặc thiết bị trở nên khó khăn hơn.
5. Mở rộng quy mô thông qua cơ chế tự động hóa
Ngày nay, thậm chí hacker cũng tận dụng sự tự động hóa để tiết kiệm thời gian và giảm thiểu chi phí. Tương tự như các tổ chức chuyên nghiệp, nhóm tấn công ransomware đang mở rộng quy mô để tối đa hóa doanh thu bằng cách tự động hóa nhiệm vụ và hạn chế lỗi con người.
Giai đoạn xâm nhập vào hệ thống, giai đoạn tốn kém nhất trong cuộc tấn công ransomware về cả thời gian và nỗ lực, hiện nay có thể được tối ưu hóa – tạo điều kiện thuận lợi cho các nhóm hacker ít thành viên hoặc nguồn tài nguyên hơn. Đối với những nhà chuyên gia về an ninh mạng, điều này mang ý nghĩa phải đối mặt với nhiều cuộc tấn công hơn trong lúc họ đang di chuyển ngang qua các môi trường bị ảnh hưởng, điều mà đáng lạ thay, chính là lúc đe dọa trở nên tốn kém nhất.
Các tác nhân ransomware hoạt động với số lượng cuộc vi phạm cao, như Cerber chẳng hạn, đã sử dụng công nghệ blockchain để thực hiện cuộc tấn công của họ một cách hiệu quả hơn. Các nhóm thành công sẽ đối đầu với nguy cơ bằng cách sử dụng các giải pháp tận dụng trí tuệ nhân tạo và học máy để xác định và phản ứng nhanh chóng hơn trước các cuộc tấn công.
6. Khai thác lỗ hổng zero-day
Có nhiều cách mà những hacker tinh quái có thể sử dụng để xâm nhập vào các mạng mục tiêu của họ. Chứng chỉ người dùng – bị đánh cắp, rò rỉ, hoặc được mua từ các thị trường trực tuyến – là con đường trực tiếp và phổ biến nhất, trong khi phần mềm cũng dễ bị khai thác thông qua các lỗ hổng. Tuy nhiên, đối với những nhóm tấn công ransomware chuyên nghiệp đang phát triển, việc tận dụng các lỗ hổng zero-day không phải là điều không khả thi.
Với sự giúp đỡ của một nhà phát triển khai thác được thuê để tìm lỗ hổng cho họ, các nhóm tấn công ransomware có thể khai thác cùng một lỗ hổng chưa được biết đến nhiều lần trước khi điểm yếu được phát hiện và vá. Chưa có nhóm nào được xác định sử dụng phương pháp này cho đến nay, nhưng điều này không phải là điều không khả thi, đặc biệt khi xem xét giá trị mà một lỗ hổng khai thác như vậy có thể mang lại cho một nhóm tác nhân độc hại. Thậm chí nhóm tấn công ransomware LockBit còn đã đưa ra một phần thưởng trị giá 50,000 đô la để tìm ra các lỗ hổng trong thuật toán mã hóa của họ.
III. Biện pháp sơ lược phòng chống rasomware 2023
- Cập Nhật Hệ Thống và Phần Mềm: Đảm bảo rằng tất cả hệ thống và phần mềm trong tổ chức của bạn được cập nhật đầy đủ, bao gồm cả các bản vá bảo mật mới nhất. Các lỗ hổng trong hệ thống là mục tiêu chính cho ransomware, và cập nhật thường có chứa các sửa lỗi cho các lỗ hổng này.
- Sao Lưu Thường Xuyên: Thực hiện sao lưu định kỳ và lưu trữ sao lưu ngoại tuyến để tránh mất dữ liệu trong trường hợp bị tấn công ransomware. Sao lưu là một cách hiệu quả để khôi phục dữ liệu mà không phải trả tiền chuộc.
- Phân Quyền: Hạn chế quyền truy cập của người dùng chỉ đến những thông tin và tài nguyên cần thiết. Điều này giảm nguy cơ lan truyền của ransomware trong trường hợp một tài khoản bị nhiễm.
- Chuyên Môn Hóa: Sử dụng các giải pháp bảo mật chuyên môn, chẳng hạn như phần mềm chống malware và firewall, để ngăn chặn sự xâm nhập và lan truyền của ransomware.
- Khảo Sát Email Độc Hại: Ransomware thường được phân phối qua email độc hại hoặc các tệp đính kèm. Điều này đòi hỏi việc tăng cường khảo sát email để phát hiện các tấn công dựa trên email.
- Đào Tạo Nhân Viên: Giáo dục nhân viên về cách nhận biết và tránh các tình huống rủi ro như mở các tệp đính kèm hoặc nhấp vào các liên kết đáng ngờ.
- Phòng Thủ 24/7: Triển khai giải pháp theo dõi và phát hiện sự tấn công liên tục để nhanh chóng phát hiện và ứng phó với ransomware.
- Thiết Lập Kế Hoạch Phục Hồi: Đảm bảo rằng bạn có kế hoạch phục hồi dữ liệu sau một cuộc tấn công ransomware, bao gồm cả việc đánh giá khả năng tái tạo dữ liệu từ sao lưu.
- Sử Dụng Công Nghệ Hiện Đại: Thiết bị firewall , phần mềm Sophos endpoint ,kaspersky,AVG.
- Liên Tục Cập Nhật Kiến Thức: Theo dõi các xu hướng mới về ransomware và phát triển các biện pháp phòng chống phù hợp để bảo vệ khỏi các mối đe dọa tiềm ẩn.