Công nghệ phát hiện ransomware là một tập hợp các kỹ thuật và cơ chế được sử dụng để xác định và nhận biết sự hiện diện của ransomware trong hệ thống hoặc thiết bị. Mục tiêu của công nghệ này là phát hiện và ngăn chặn ransomware trước khi nó có thể gây hại và mã hóa dữ liệu của người dùng.
1. Lịch sử phát triển của Ransomware.
Thập kỷ 1990: Ransomware đầu tiên xuất hiện vào những năm 1990 với loại ransomware có tên là AIDS (cũng được gọi là PC Cyborg). Ransomware này đã mã hóa các tệp trong hệ thống của nạn nhân và yêu cầu họ gửi tiền qua thư bưu điện để nhận được khóa giải mã. Tuy nhiên, việc trả tiền không đảm bảo nạn nhân sẽ nhận được khóa giải mã.
Năm 2005: Ransomware đã tiến hành mã hóa thông tin cá nhân của người dùng và đòi tiền chuộc thông qua các dịch vụ trực tuyến như Western Union hoặc PayPal. Một ví dụ nổi tiếng là Gpcode ransomware.
Năm 2010: Sự gia tăng đáng kể về số lượng và sự phức tạp của các mẫu ransomware đã được ghi nhận vào những năm này. Một số loại ransomware đã bắt đầu sử dụng mã hóa chìa khóa công khai để làm cho việc giải mã trở nên khó khăn hơn. Trong năm 2010, loại ransomware WinLock xuất hiện, khóa máy tính của nạn nhân và yêu cầu họ trả tiền để mở khóa.
Năm 2013: Ransomware CryptoLocker xuất hiện và nhanh chóng trở nên rất phổ biến. CryptoLocker đã sử dụng mã hóa chìa khóa công khai và yêu cầu nạn nhân trả tiền chuộc bằng Bitcoin. Ransomware này đã gây ra thiệt hại nghiêm trọng và thu lời hàng triệu đô la từ các nạn nhân. Mặc dù cơ quan chức năng đã tiêu diệt CryptoLocker, nó đã mở đường cho những biến thể ransomware khác.
Năm 2016: Sự gia tăng đáng kể về số lượng các loại ransomware mới đã được ghi nhận trong năm 2016. Ransomware WannaCry đã xuất hiện và tấn công hàng loạt hệ thống toàn cầu thông qua các lỗ hổng bảo mật trong hệ điều hành Windows. Nó đã yêu cầu các nạn nhân trả tiền chuộc bằng Bitcoin để giải mã dữ liệu của họ. WannaCry gây ra hậu quả nghiêm trọng và thu được hàng trăm triệu đô la từ các nạn nhân.
Năm 2020: Ransomware tiếp tục phát triển và đa dạng hóa. Xuất hiện các biến thể ransomware mới như Ryuk, Maze, Sodinokibi, và Conti với các kỹ thuật phát tán, mã hóa và yêu cầu tiền chuộc ngày càng tinh vi hơn. Ransomware cũng bắt đầu sử dụng các phương thức trao đổi khóa bí mật (ECDH) để mã hóa khóa giải mã, làm cho việc giải mã trở nên khó khăn hơn.
Hiện tại: Ransomware tiếp tục là một trong những mối đe dọa nghiêm trọng nhất đối với cá nhân và doanh nghiệp trên toàn thế giới. Các hacker liên tục cải tiến ransomware của họ và tìm kiếm các cách mới để lây nhiễm và tấn công nạn nhân. Các phần mềm chống ransomware cũng tiếp tục được cập nhật và cải tiến để đối phó với những mối đe dọa mới và tiến hóa của ransomware.
2. Tổng quan các công nghệ được sử dụng để phát hiện Ransomware.
Lịch sử phát triển của các công nghệ phát hiện ransomware là một quá trình liên tục của sự tiến bộ và cải tiến để đối phó với sự phát triển ngày càng phức tạp và tinh vi của ransomware.
2.1 Chữ ký và Hash (Signature and Hash-Based Detection).
Cách hoạt động: Các công nghệ này sử dụng các chữ ký hoặc mã hash của các biến thể ransomware đã biết để so khớp và nhận diện các tệp hoặc quy trình bị nhiễm. Các chữ ký hoặc hash được lưu trữ trong cơ sở dữ liệu của giải pháp bảo mật và được so sánh với các tệp và quy trình trên hệ thống để xác định xem có bất kỳ sự khớp nào hay không.
Ưu điểm: Hiệu quả và nhanh chóng đối với các biến thể ransomware đã biết.
Hạn chế: Không hiệu quả đối với ransomware mới và chưa biết, vì chưa có chữ ký hoặc hash cho các biến thể này trong cơ sở dữ liệu.
Ví dụ: Một công ty triển khai một phần mềm bảo mật trên máy tính và máy chủ trong mạng nội bộ của họ. Phần mềm này có tích hợp tính năng phát hiện ransomware dựa trên Signature and Hash-Based Detection.
- Xây dựng cơ sở dữ liệu chữ ký và hash: Trước khi triển khai, nhà cung cấp phần mềm bảo mật sẽ xây dựng cơ sở dữ liệu chữ ký và hash của các biến thể ransomware đã biết. Cơ sở dữ liệu này bao gồm các chữ ký và mã hash của các tệp và quy trình ransomware đã biết từ quá khứ.
- Cập nhật cơ sở dữ liệu định kỳ: Nhà cung cấp sẽ cập nhật cơ sở dữ liệu chữ ký và hash định kỳ để đảm bảo rằng nó luôn chứa thông tin về các biến thể ransomware mới và phổ biến nhất.
- Kiểm tra tệp mới: Khi một tệp mới được tải xuống hoặc tạo ra trên máy tính hoặc máy chủ, phần mềm bảo mật sẽ tiến hành kiểm tra chữ ký và mã hash của tệp này với cơ sở dữ liệu chữ ký và hash đã xây dựng. Nếu tệp này có chữ ký hoặc mã hash khớp với một biến thể ransomware đã biết, phần mềm sẽ xác định nó là đáng ngờ.
- Cảnh báo và hành động: Khi phần mềm phát hiện một tệp có chữ ký hoặc hash khớp với ransomware đã biết, nó sẽ cảnh báo người quản trị hệ thống hoặc thực hiện các biện pháp ngăn chặn như cách ly tệp, xóa nó hoặc cảnh báo người dùng về nguy cơ.
- Tình huống thực tế: Một nhân viên của công ty tải xuống một tệp từ một email đáng ngờ. Khi tệp này được lưu trữ trên máy tính cá nhân, phần mềm bảo mật sẽ tự động quét và so sánh chữ ký và hash của tệp này với cơ sở dữ liệu chữ ký và hash ransomware. Nếu tệp này trùng khớp với một biến thể ransomware đã biết, phần mềm sẽ cảnh báo người dùng và yêu cầu xóa tệp để ngăn chặn nhiễm ransomware vào hệ thống.
2.2 Heuristics (Behavioral Detection).
Cách hoạt động: Các kỹ thuật heuristics đánh giá các tính năng đặc trưng của ransomware, chẳng hạn như cách mã hóa dữ liệu, hoạt động mạng bất thường hoặc các tác vụ đáng ngờ khác. Nó phân tích các hành vi của các tệp và quy trình trên hệ thống để xác định các hoạt động không bình thường và nghi ngờ.
Ưu điểm: Phát hiện các biến thể ransomware mới và chưa biết dựa trên hành vi đáng ngờ.
Hạn chế: Có thể dẫn đến việc xác định sai (false positive) khi một phần mềm hợp pháp thực hiện các hành vi tương tự như ransomware.
Ví dụ: Một doanh nghiệp triển khai một giải pháp bảo mật mạng có tích hợp chức năng phát hiện ransomware dựa trên Behavioral Detection.
- Xây dựng cơ sở dữ liệu hành vi ransomware: Trước khi triển khai, giải pháp bảo mật sẽ xây dựng cơ sở dữ liệu chứa các hành vi đáng ngờ của ransomware đã biết. Cơ sở dữ liệu này bao gồm các hành vi như mã hóa tệp, tạo ra các quy trình đáng ngờ, thay đổi quyền truy cập vào tệp, và tạo kết nối mạng không bình thường.
- Phân tích hành vi mới: Khi một quy trình hoặc tệp mới được thực thi trên mạng, giải pháp bảo mật sẽ phân tích hành vi của nó. Nó sẽ quan sát các hoạt động như các yêu cầu mạng đáng ngờ, sự thay đổi lớn đến các tệp quan trọng, hoặc việc thực hiện mã hóa trên nhiều tệp trong thời gian ngắn.
- So sánh với cơ sở dữ liệu hành vi ransomware đã biết: Giải pháp sẽ so sánh hành vi của quy trình hoặc tệp mới với các hành vi đã biết trong cơ sở dữ liệu. Nếu tìm thấy các hành vi đáng ngờ hoặc trùng khớp với ransomware đã biết, giải pháp sẽ xác định nó là đáng ngờ.
- Cảnh báo và biện pháp ngăn chặn: Khi giải pháp phát hiện một hành vi ransomware đáng ngờ, nó sẽ cảnh báo người quản trị hệ thống và thực hiện các biện pháp ngăn chặn để ngăn chặn ransomware trước khi gây hại cho hệ thống. Các biện pháp này có thể bao gồm cách ly quy trình, chặn quy trình hoặc tệp, và cảnh báo người dùng liên quan.
- Tình huống thực tế: Một quy trình mới bắt đầu thực thi trên máy chủ trong mạng nội bộ. Giải pháp bảo mật theo dõi hành vi của nó và nhận thấy rằng quy trình này đang tiến hành mã hóa nhiều tệp trên máy chủ và gửi các yêu cầu mạng đáng ngờ đến các địa chỉ IP không rõ. Dựa trên hành vi này, giải pháp cảnh báo người quản trị hệ thống và cách ly quy trình này ngay lập tức để ngăn chặn ransomware khỏi việc gây hại và lây lan trong mạng.
2.3 Machine Learning và AI (Artificial Intelligence).
Cách hoạt động: Sử dụng học máy và trí tuệ nhân tạo để xây dựng mô hình dự đoán và phát hiện ransomware dựa trên học từ các mẫu dữ liệu đã biết. Mô hình sẽ học từ các đặc trưng và mẫu hành vi của ransomware đã biết để nhận diện các biến thể mới và không rõ.
Ưu điểm: Phát hiện hiệu quả các biến thể ransomware mới và chưa biết.
Hạn chế: Cần một lượng lớn dữ liệu huấn luyện đáng tin cậy và có thể đòi hỏi tài nguyên tính toán cao.
Ví dụ: Giả sử một tổ chức đã triển khai một giải pháp bảo mật có sử dụng Machine Learning để phát hiện ransomware trên các máy tính trong mạng nội bộ. Giải pháp này đã được huấn luyện trên một lượng lớn dữ liệu đã biết về các biến thể ransomware từ quá khứ.
- Huấn luyện mô hình: Đầu tiên, giải pháp này đã được huấn luyện trên một tập dữ liệu mẫu bao gồm các mẫu dữ liệu đã biết về ransomware và các mẫu dữ liệu không liên quan đến ransomware. Dữ liệu đã biết bao gồm các tệp ransomware đã biết với các tính năng đặc trưng như các hành vi mã hóa dữ liệu, tạo quy trình đáng ngờ, và hoạt động mạng bất thường.
- Xác định tính năng (Feature Engineering): Trước khi huấn luyện, các tính năng quan trọng của dữ liệu đã được xác định và trích xuất. Các tính năng này có thể bao gồm thời gian mã hóa tệp, số lượng tệp bị mã hóa, tần suất gửi yêu cầu mạng, v.v.
- Huấn luyện mô hình ML: Sau khi đã xác định tính năng, mô hình Machine Learning (ví dụ: mạng nơ-ron nhân tạo, máy học có giám sát) được huấn luyện trên tập dữ liệu đã biết. Mô hình học cách nhận biết các tính năng của ransomware và phân loại chúng là “ransomware” hoặc “không phải ransomware”.
- Kiểm tra và đánh giá: Sau khi huấn luyện, giải pháp này được kiểm tra và đánh giá trên các tập dữ liệu thử nghiệm hoặc thực tế. Nó tiến hành phân loại các tệp và quy trình mới dựa trên các tính năng đã học từ mô hình.
- Phát hiện ransomware: Khi một tệp hoặc quy trình mới được thực thi, giải pháp Machine Learning này so sánh các tính năng của nó với mô hình đã huấn luyện trước đó. Nếu các tính năng trùng khớp với ransomware, mô hình sẽ đưa ra dự đoán là “ransomware” và kích hoạt biện pháp ngăn chặn để ngăn chặn ransomware trước khi gây hại cho hệ thống.
2.4 Phân tích hành vi (Behavior Analysis).
Cách hoạt động: Theo dõi hành vi của các chương trình và quy trình trên hệ thống để phát hiện các hoạt động không bình thường hoặc đáng ngờ. Ví dụ, phân tích hành vi mã hóa dữ liệu hoặc tạo ra các kết nối mạng không bình thường có thể là dấu hiệu của ransomware.
Ưu điểm: Phát hiện các hoạt động không rõ hoặc không bình thường của ransomware.
Hạn chế: Có thể dẫn đến việc xác định sai khi một ứng dụng hợp pháp thực hiện các hoạt động tương tự.
Ví dụ: Giả sử một doanh nghiệp triển khai một giải pháp bảo mật mạng mà sử dụng kỹ thuật Behavior Analysis để phát hiện ransomware trong mạng nội bộ.
- Học từ mẫu hành vi ransomware đã biết: Trước khi triển khai, giải pháp này đã được huấn luyện trên một tập dữ liệu mẫu bao gồm các mẫu dữ liệu đã biết về hành vi của ransomware. Các mẫu này bao gồm các hành vi như mã hóa dữ liệu, tạo quy trình đáng ngờ, yêu cầu mã hóa thông qua mạng, v.v.
- Xác định các tính năng hành vi đáng ngờ: Trong quá trình huấn luyện, giải pháp đã học từ các tính năng đặc trưng của ransomware, như tần suất yêu cầu mạng lớn, sự thay đổi tệp đột ngột, sử dụng mã hóa không phổ biến, v.v. Các tính năng này giúp xác định các hành vi đáng ngờ trong tương lai.
- Theo dõi hành vi mới: Khi một máy tính trong mạng thực hiện một hành động mới, giải pháp bảo mật sẽ theo dõi và phân tích hành vi của nó. Nó sẽ quan sát các hoạt động như thay đổi tệp quan trọng, thực hiện mã hóa đối với nhiều tệp, tạo quy trình bất thường, v.v.
- Xác định hành vi ransomware đáng ngờ: Dựa trên các tính năng hành vi đã học, giải pháp sẽ xác định xem hành vi hiện tại có khớp với các biểu hiện của ransomware đã biết hay không. Nếu giải pháp nhận ra một hành vi đáng ngờ, nó sẽ cảnh báo người quản trị hệ thống hoặc thực hiện các biện pháp ngăn chặn để kiểm tra và xử lý sự cố.
- Phản ứng và biện pháp ngăn chặn: Nếu giải pháp phát hiện một hành vi ransomware đáng ngờ, nó sẽ cảnh báo người quản trị và thực hiện các biện pháp ngăn chặn, chẳng hạn như cách ly máy tính, chặn kết nối mạng, v.v. Nếu hành vi xác định là ransomware, giải pháp sẽ ngăn chặn nó trước khi gây hại cho hệ thống.
- Tình huống thực tế: Một máy tính trong mạng bất thường thực hiện mã hóa nhiều tệp quan trọng và gửi lượng lớn yêu cầu mạng đến các địa chỉ IP không phổ biến. Giải pháp bảo mật đã học từ mẫu hành vi ransomware đã biết và xác định rằng hành vi này đáng ngờ. Nó cảnh báo người quản trị hệ thống và chặn kết nối mạng của máy tính này để ngăn chặn ransomware khỏi việc lây lan và mã hóa thêm tệp trong mạng.
2.5 Sandboxing.
Cách hoạt động: Các hệ thống sandboxing cho phép chạy các tệp và quy trình không rõ trong môi trường cô lập để xem chúng có hành vi của ransomware hay không. Nếu được xác định là ransomware, nó sẽ bị ngăn chặn trước khi có thể tấn công vào hệ thống.
Ưu điểm: Phát hiện chính xác các hoạt động ransomware bằng cách chạy chúng trong môi trường cô lập.
Hạn chế: Đòi hỏi tài nguyên và thời gian để chạy các tệp trong môi trường sandboxing.
Ví dụ: Một doanh nghiệp triển khai một giải pháp bảo mật mạng có tích hợp công nghệ Sandboxing để phát hiện ransomware và các mối đe dọa khác.
- Thực thi tệp trong môi trường sandbox cô lập: Khi một tệp mới được tải xuống từ mạng hoặc gửi đến qua email, giải pháp bảo mật sẽ xác định rằng tệp này không được xác định hoặc đã được xếp vào danh sách nguy hiểm. Để xác định liệu tệp có phải là ransomware hay không, giải pháp sẽ thực thi tệp trong môi trường sandbox cô lập, tức là một không gian ảo và riêng biệt hoạt động độc lập với hệ thống chính.
- Quan sát hành vi trong môi trường cô lập: Khi tệp được thực thi trong môi trường sandbox, giải pháp sẽ quan sát các hành vi của nó, chẳng hạn như các hoạt động tạo, mã hóa hoặc xóa tệp, các yêu cầu mạng đáng ngờ, tạo quy trình đáng ngờ, v.v.
- Phân tích kết quả: Sau khi tệp được thực thi và hành vi của nó được quan sát, giải pháp bảo mật sẽ phân tích kết quả. Nếu hành vi của tệp được xác định là ransomware, giải pháp sẽ đưa ra cảnh báo và thực hiện các biện pháp ngăn chặn.
- Biện pháp ngăn chặn và xử lý: Nếu giải pháp phát hiện tệp là ransomware sau khi thực thi trong môi trường sandbox, nó sẽ thực hiện các biện pháp ngăn chặn để chặn tệp này và ngăn chặn ransomware lây lan trong mạng. Các biện pháp này có thể bao gồm cách ly tệp, chặn kết nối mạng, thông báo cho người quản trị v.v.
- Tình huống thực tế: Một nhân viên trong doanh nghiệp nhận được một email đáng ngờ với một tệp đính kèm không rõ nguồn gốc. Hệ thống bảo mật của doanh nghiệp nhận diện email này là nguy hiểm và quyết định thực thi tệp đính kèm trong môi trường sandbox cô lập. Khi tệp được thực thi, hệ thống quan sát rằng nó đang thực hiện mã hóa trên nhiều tệp trong môi trường sandbox. Dựa trên hành vi này, hệ thống kết luận rằng tệp này có khả năng là ransomware và ngăn chặn tệp này thoát ra khỏi môi trường sandbox và lây lan trong hệ thống chính.