Bùng nổ các cuộc tấn công ransomware mới nhất đang gây rúng động và tạo ra những đợt cảnh báo trầm trọng về mối đe dọa an ninh mạng. Ransomware – loại phần mềm độc hại , tấn công bằng cách mã hóa dữ liệu quan trọng của các tổ chức và cá nhân, sau đó đòi tiền chuộc đang ngày càng trở nên nguy hiểm và phổ biến hơn bao giờ hết. Trong bối cảnh các cuộc tấn công này đã gây thiệt hại kinh tế hàng tỷ đô la và làm mất đi dữ liệu quan trọng của hàng triệu người, càng ngày càng rõ ràng rằng chúng ta đang đối diện với một mối đe dọa đáng sợ trên không chỉ mạng lưới doanh nghiệp mà còn cả cuộc sống hàng ngày của chúng ta. Trong bài viết này, chúng ta sẽ đi sâu vào các cuộc tấn công ransomware gần đây và nhìn vào những hậu quả nghiêm trọng mà chúng đã gây ra, đồng thời tìm hiểu về các biện pháp bảo vệ và ứng phó hiệu quả để đối phó với tình trạng khẩn cấp này.

Mục lục :

I. Một số cuộc tấn công Ransomware các năm gần đây

II. Top Ransomware tiêu biểu qua từng năm

Nội dung bài viết :

I. Tình hình tổng quan các cuộc tấn công Ransomware các năm gần đây

Một trong những xu hướng đáng chú ý là sự gia tăng về sự chuyên nghiệp của các nhóm tấn công ransomware. Ngày nay, không chỉ có các hacker cá nhân hoạt động một mình mà còn có những nhóm tội phạm tổ chức với cơ cấu rõ ràng và mục tiêu chi tiết. Những nhóm này thường sử dụng các kỹ thuật tinh vi để xâm nhập vào hệ thống, khai thác các lỗ hổng không được vá và phân phối mã độc một cách rộng rãi.

1. Tấn công Ransomware vào năm 2021-2022

Theo nhiều tổ chức hoạt động trong lĩnh vực security đã công bố rằng số lượng tổ chức bị ảnh hưởng bởi ransomware trên toàn cầu đã tăng gấp đôi trong nửa đầu năm 2021 so với năm 2020. Đáng chú ý, các ngành y tế và tiện ích là những ngành bị nhắm đến nhiều nhất kể từ đầu tháng 4 năm 2021.

Sự thành công của hình thức tống tiền kép vào năm 2020 đã rõ ràng, đặc biệt từ khi bùng phát đại dịch Covid-19. Mặc dù không phải tất cả các trường hợp và kết quả đều được báo cáo và công bố, các thống kê thu thập từ năm 2020 đến 2021 minh họa tính quan trọng của phương thức tấn công này. Trong khoảng thời gian này, giá tiền chuộc trung bình đã tăng lên 171%, đạt mức gần 310.000 đô la Mỹ.

Các cuộc tấn công ransomware diễn ra vào cuối năm 2020 và đầu năm 2021 đã chỉ ra một chuỗi tấn công mới – một cách tiếp cận mở rộng đến hình thức tống tiền kép, bao gồm một mối đe dọa bổ sung và độc đáo trong quy trình – một cuộc tấn công tống tiền ba lần (Triple Extortion attack).

Năm 2021 đã chứng kiến một số cuộc tấn công ransomware nổi tiếng bao gồm tấn công vào Microsoft Exchange, mạng lưới của Colonial Pipeline, Thành phố Tulsa, Công ty thịt JBS Meat và Fujifilm.

Nhìn chung, sự phát triển và tăng cường của các cuộc tấn công ransomware trong năm 2020 và nửa đầu năm 2021 đã tạo ra một thách thức đáng kể trong việc bảo vệ an ninh mạng và đòi hỏi sự tập trung cao đối với việc nâng cao khả năng phòng ngừa và ứng phó của tổ chức và cá nhân trước mối đe dọa ngày càng phức tạp này.

2. Tấn công Ransomware vào năm 2020

Vào cuối năm 2019 và đầu năm 2020, đã xuất hiện một xu hướng mới trong các cuộc tấn công ransomware. Thay vì chỉ giới hạn việc mã hóa các tập tin của nạn nhân, các tác giả ransomware bắt đầu lấy cắp dữ liệu nhạy cảm từ các mục tiêu của họ. Các biến thể ransomware có tính năng lấy cắp dữ liệu người dùng bao gồm Ako, CL0P, DoppelPaymer, Maze, Pysa, Nefilim, Nemty, Netwalker, Ragnarlocker, REvil, Sekhmet và Snatch.

Điều này đã xuất hiện như một phản ứng khi các tổ chức từ chối thanh toán tiền chuộc sau khi bị nhiễm ransomware. Mặc dù chi phí khắc phục hậu quả của một cuộc tấn công ransomware thường cao hơn số tiền tiền chuộc được yêu cầu, nhưng thực tế tốt nhất là không nên trả tiền chuộc, vì điều này sẽ giúp cho các tội phạm mạng tiếp tục hoạt động và tiến hành thêm các cuộc tấn công.

Bằng cách lấy cắp dữ liệu từ các máy tính bị nhiễm trước khi mã hóa, các tác nhân ransomware có thể đe dọa tiết lộ dữ liệu này nếu nạn nhân không đồng ý trả tiền chuộc. Tùy thuộc vào loại dữ liệu được thu thập và tiết lộ, điều này có thể làm cho một tổ chức mất đi lợi thế cạnh tranh trên thị trường hoặc vi phạm các quy định về bảo vệ dữ liệu, chẳng hạn như Quy chế bảo vệ dữ liệu chung (GDPR).

3. Tấn công Ransomware vào năm 2019

Năm 2019 trở nên nổi tiếng với việc các tác nhân ransomware tập trung vào các tổ chức quan trọng. Trong ba quý đầu năm 2019, hơn 621 bệnh viện, trường học và thành phố tại Hoa Kỳ đã trở thành nạn nhân của các cuộc tấn công ransomware do Ryuk và các biến thể ransomware khác gây ra. Những cuộc tấn công này được ước tính có giá trị hàng trăm triệu đô la và dẫn đến tình trạng các thành phố không thể cung cấp dịch vụ cho cư dân, và các bệnh viện phải hủy bỏ các ca phẫu thuật không cần thiết để cung cấp chăm sóc cấp cứu cho bệnh nhân.

Phương pháp mới này của ransomware đã khai thác sự quan trọng của các dịch vụ mà những tổ chức này cung cấp. Khác với một số doanh nghiệp có thể chịu đựng hoạt động suy giảm trong quá trình phục hồi sau một cuộc tấn công, các thành phố, trường học và bệnh viện cần phục hồi hoạt động nhanh chóng và thường có truy cập vào quỹ khẩn cấp. Kết quả là, các cuộc tấn công ransomware nhắm vào những tổ chức này thường thành công và vẫn tiếp diễn cho đến ngày nay.

II. Top Ransomware tiêu biểu qua từng năm

1. GandCrab – năm 2018

Vào năm 2018, một trong những ransomware hoạt động mạnh nhất và tạo ra những cuộc tấn công rộng lớn là GandCrab. GandCrab xuất hiện vào đầu năm 2018 và nhanh chóng trở thành một trong những mối đe dọa chính trong cộng đồng an ninh mạng.

Phạm vi tấn công: GandCrab nhắm vào cả người dùng cá nhân và tổ chức doanh nghiệp. Nó lây nhiễm thông qua các tập tin đính kèm email, các trang web bị nhiễm mã độc hoặc các lỗ hổng bảo mật trên hệ thống.

Tiêu chuẩn chuộc tiền: GandCrab sử dụng mã hóa RSA và AES mạnh mẽ để mã hóa dữ liệu của nạn nhân. Sau khi mã hóa, nó đòi tiền chuộc theo định dạng tiền điện tử, chẳng hạn như Bitcoin, để cung cấp khóa giải mã.

Phiên bản và cập nhật: Các phiên bản và biến thể của GandCrab liên tục xuất hiện, cho thấy những nỗ lực không ngừng của tác giả để thay đổi và cải tiến mã độc này, từ đó làm cho việc phát hiện và chống lại nó trở nên khó khăn hơn.

Mô hình kinh doanh RaaS: GandCrab sử dụng mô hình kinh doanh Ransomware-as-a-Service (RaaS), cho phép các tên tội phạm mua mã độc và sử dụng nó trong các cuộc tấn công. Điều này đã giúp lan rộng phạm vi tấn công và làm tăng nguy cơ của nó.

2. Ryuk – năm 2019

Trái ngược với hầu hết các cuộc tấn công ransomware nhằm vào các cá nhân và doanh nghiệp ngẫu nhiên, ransomware Ryuk đã hướng tới các mục tiêu cao hơn và có mục đích cụ thể. Những kẻ tội phạm mạng đứng sau cuộc tấn công này đã nhắm đến các nạn nhân có hoạt động kinh doanh quan trọng, khi gặp ngay cả một thời gian gián đoạn nhỏ cũng có thể gây ảnh hưởng nghiêm trọng.

Ryuk được thiết kế để mã hóa máy chủ của các công ty và làm gián đoạn hoạt động kinh doanh cho đến khi tiền chuộc được thanh toán, thay vì đánh cắp hoặc phá hoại dữ liệu cá nhân của một cá nhân.

Các đối tượng bị nhắm đến bao gồm các tờ báo, trong đó có tất cả các tờ báo của hãng Tribune, và một công ty cung cấp dịch vụ nước ở Bắc Carolina. Các tờ báo bị ảnh hưởng đã phải giảm bản tin hàng ngày mà không bao gồm quảng cáo phân loại đã thanh toán.

Ryuk đã xâm nhập vào hệ thống thông qua phần mềm độc hại được gọi là TrickBot và phần mềm desktop từ xa. Sau khi chặn truy cập vào máy chủ, Ryuk yêu cầu một khoản tiền chuộc nhất định.

Ngoài việc vô hiệu hóa máy chủ, lây nhiễm các điểm cuối và mã hóa các bản sao lưu, Ryuk còn tắt tùy chọn khôi phục hệ thống Windows OS để ngăn nạn nhân phục hồi từ cuộc tấn công.

Mặc dù các bản vá đã được tạo ra để đối phó với cuộc tấn công khi malware này được phát hiện, chúng không hiệu quả. Ngay khi máy chủ trở lại hoạt động, Ryuk bắt đầu lây nhiễm lại toàn bộ mạng máy chủ.

Các hãng bảo mật hàng đầu như Sophos, Kaspersky, McAfee, AVG : Ryuk là một mã độc ransomware nổi tiếng và rất nguy hiểm. Nó đã gây ra nhiều cuộc tấn công chính vào các tổ chức và doanh nghiệp trên toàn thế giới.

3. REvil/ Sodinokibi – năm 2019

Ransomware REvil, cũng được biết đến với tên gọi Sodinokibi, là một loại mã độc ransomware nổi tiếng và nguy hiểm. Đây là một trong những ransomware hàng đầu được phát triển và sử dụng bởi các tên tội phạm mạng chuyên nghiệp để tấn công các tổ chức và doanh nghiệp trên toàn thế giới. Dưới đây là một số thông tin quan trọng về ransomware REvil:

Phương thức tấn công: REvil thường lây nhiễm thông qua các lỗ hổng bảo mật trong hệ thống, email lừa đảo, hoặc sử dụng các phương thức tấn công khác như phản hồi kiểu trò chuyện (chat-based exploitation). Một khi xâm nhập thành công vào hệ thống mục tiêu, REvil sẽ mã hóa các tập tin và dữ liệu quan trọng của nạn nhân.

Tiêu chuẩn chuộc tiền: Sau khi mã hóa dữ liệu, REvil sẽ yêu cầu một khoản tiền chuộc lớn để cung cấp chìa khóa giải mã. Số tiền chuộc thường được yêu cầu thông qua tiền điện tử như Bitcoin, Monero hoặc các hình thức thanh toán khó theo dõi.

Hậu quả của tấn công: REvil đã gây ra nhiều cuộc tấn công lớn và ảnh hưởng đến nhiều tổ chức và doanh nghiệp trên khắp thế giới. Một số cuộc tấn công nổi tiếng của REvil bao gồm việc tấn công các cơ quan chính phủ, các công ty lớn, trường học, và cả bệnh viện.

Xuất hiện trong các vụ tấn công nổi tiếng: REvil đã tham gia vào nhiều cuộc tấn công nổi tiếng và tạo ra những vụ việc lớn, gây tổn hại kinh tế và tạo ra rủi ro lớn đối với các doanh nghiệp và cá nhân.

Các cuộc tấn công của ransomware REvil đã đẩy các chuyên gia an ninh mạng và tổ chức bảo mật phải nỗ lực để ngăn chặn và chống lại mối đe dọa ngày càng phức tạp này. Việc tăng cường các biện pháp bảo mật, cập nhật thường xuyên và hệ thống sao lưu đều là cách để giảm thiểu nguy cơ bị tấn công bởi ransomware như REvil.

4. PureLocker – năm 2020

PureLocker là một loại mã độc ransomware được thiết kế để mã hóa toàn bộ máy chủ và yêu cầu tiền chuộc để khôi phục quyền truy cập. Mã độc này được tạo ra với mục tiêu đặc biệt là không bị phát hiện bằng cách che giấu hành vi phạm trong môi trường sandbox và giả vờ là các chức năng bình thường. Sau khi thực thi được mục đích, mã độc còn tự xóa chính nó.

PureLocker thường tấn công vào máy chủ của các tập đoàn lớn, với kỳ vọng rằng các tấn công này sẽ đem lại khoản tiền chuộc đáng kể.

Phân tích kỹ lưỡng đã giúp các nhà nghiên cứu về mật mã từ Intezer và IBM X-Force đặt tên cho loại mã độc này là PureLocker do nó được viết bằng ngôn ngữ lập trình PureBasic.

Việc sử dụng PureBasic để viết mã độc không phải là phổ biến, nhưng điều này mang lại lợi thế cho kẻ tấn công: việc phát hiện mã độc viết bằng PureBasic rất khó khăn. Các chương trình viết bằng PureBasic cũng có thể dễ dàng chạy trên nhiều nền tảng.

PureLocker vẫn đang được sử dụng bởi các tổ chức tội phạm mạng lớn. Chuyên gia tin rằng nó đang được bán dưới dạng dịch vụ cho các tổ chức tội phạm mạng có kiến thức và kỹ năng cần thiết để tấn công các công ty lớn. Đáng ngạc nhiên, hiện tượng ransomware-as-a-service (RaaS) đã trở nên phổ biến.

Các chuyên gia an ninh mạng không chắc chắn về cách mà PureLocker xâm nhập vào máy chủ; do đó, áp dụng phương pháp bảo mật mạng không tin tưởng (zero-trust) là cách tốt nhất để bảo vệ khỏi các mối đe dọa không rõ nguồn gốc.

Ransomware, một trong những mối đe dọa mạng phức tạp và nguy hiểm nhất của thế giới kỹ thuật số, đã ngày càng trở nên phổ biến và gây ra những thiệt hại nghiêm trọng cho các tổ chức và cá nhân trên khắp thế giới. Với tính chất độc hại và tinh vi của mình, ransomware đã không ngừng tiến hóa và làm khó khăn cho cả những hệ thống bảo mật chặt chẽ nhất.

Trong bối cảnh này, hiểu rõ về cơ chế và hoạt động của ransomware là vô cùng cần thiết để bảo vệ chính mình khỏi những cuộc tấn công nguy hiểm này. Trong bài viết này, chúng ta sẽ cùng nhau khám phá cách ransomware hoạt động và cơ chế hoạt động phía sau những vụ tấn công đáng sợ này. Bằng cách nắm vững những thông tin này, chúng ta sẽ có cơ hội tăng cường sự tự bảo vệ và đối phó một cách hiệu quả với mối đe dọa này.

Trong bài viết này, chúng ta sẽ tìm hiểu sâu hơn về cơ chế hoạt động của ransomware và tác động gây ra bởi các cuộc tấn công này, nhằm tăng cường hiểu biết và phòng ngừa hiệu quả trước mối đe dọa đáng sợ này.

Mục lục :

I. Ransomware là gì ?

II. Một số cuộc tấn công Ransomware điển hình gần đây

III. Một số biến thể của Ransomeware phổ biến

IV. Cách thức hoạt động của Ransomeware

Nội dung bài viết :

I. Ransomware là gì ?

Ransomware là một loại phần mềm độc hại được thiết kế nhằm từ chối người dùng hoặc tổ chức truy cập vào các tập tin trên máy tính của họ. Thông qua việc mã hóa các tập tin này và đòi hỏi thanh toán tiền chuộc để có được chìa khóa giải mã, những kẻ tấn công mạng đưa các tổ chức vào tình thế khó khăn, khi thanh toán tiền chuộc trở thành phương án dễ dàng và tiết kiệm nhất để khôi phục quyền truy cập vào các tập tin quan trọng.

Ngoài ra, một số biến thể ransomware đã được bổ sung chức năng phụ, chẳng hạn như đánh cắp dữ liệu, nhằm tạo thêm động lực cho các nạn nhân của ransomware để thanh toán tiền chuộc.

Không ngạc nhiên khi ransomware nhanh chóng trở thành một trong những loại phần mềm độc hại nổi bật và đáng chú ý nhất. Các cuộc tấn công ransomware gần đây đã gây ảnh hưởng lớn đến khả năng cung cấp dịch vụ quan trọng của các bệnh viện, làm đứt gãy các dịch vụ công cộng trong các thành phố, và gây ra thiệt hại nghiêm trọng cho nhiều tổ chức khác nhau.

II. Một số cuộc tấn công Ransomware điển hình gần đây

Sự xuất hiện của phần mềm độc hại ransomware hiện đại bắt đầu với cuộc lây lan của WannaCry vào năm 2017. Cuộc tấn công lớn quy mô này đã làm rõ rằng các cuộc tấn công ransomware không chỉ khả thi mà còn mang lại tiềm năng lợi nhuận. Kể từ đó, hàng chục biến thể ransomware đã được phát triển và sử dụng trong nhiều cuộc tấn công khác nhau.

Bên cạnh đó, đại dịch COVID-19 cũng đóng góp vào sự bùng nổ gần đây của ransomware. Khi các tổ chức nhanh chóng chuyển đổi sang làm việc từ xa, đã tạo ra những lỗ hổng trong hệ thống phòng vệ mạng của họ. Tội phạm mạng đã khai thác những điểm yếu này để tiến hành các cuộc tấn công ransomware, dẫn đến một làn sóng tấn công ransomware gia tăng. Trong quý 3 năm 2020, số lượng cuộc tấn công ransomware tăng 50% so với nửa đầu năm đó.

III. Một số biến thể của Ransomeware phổ biến

Hiện có hàng chục biến thể ransomware tồn tại, mỗi loại đều có các đặc điểm riêng biệt. Tuy nhiên, có một số nhóm ransomware đã thành công và phổ biến hơn các nhóm khác, khiến chúng nổi bật hơn trong cộng đồng hacker.

1. Ryuk

Ryuk là một ví dụ điển hình về biến thể ransomware nhắm mục tiêu rất chính xác. Thường được phân phối thông qua email spear phishing hoặc sử dụng thông tin đăng nhập người dùng bị xâm phạm để truy cập vào hệ thống doanh nghiệp qua giao thức Remote Desktop Protocol (RDP). Khi hệ thống bị nhiễm, Ryuk sẽ mã hóa một số loại tập tin (tránh những tập tin quan trọng cho hoạt động của máy tính) và sau đó đưa ra yêu cầu chuộc tiền.

Ryuk nổi tiếng với việc là một trong những loại ransomware đắt nhất hiện nay. Mức tiền chuộc mà Ryuk đòi trung bình vượt qua con số 1 triệu đô la. Điều này làm cho các tội phạm mạng đứng sau Ryuk chủ yếu tập trung vào các doanh nghiệp có nguồn tài nguyên đủ để đáp ứng yêu cầu của họ. Những tổ chức lớn và giàu có trở thành mục tiêu phổ biến của nhóm tấn công này.

Ryuk không chỉ nổi tiếng với việc đòi tiền chuộc cao đắt mà còn với phong cách tấn công tinh vi và thận trọng. Khi tấn công, các nhóm ransomware Ryuk thường thăm dò và theo dõi môi trường mạng của mục tiêu trước khi thực hiện hành động tiến hành mã hóa. Điều này giúp họ xác định các tập tin và dữ liệu quan trọng, đồng thời tránh mã hóa những tập tin có liên quan đến hệ thống hoạt động cơ bản của doanh nghiệp.

Một lần khi máy tính hay mạng của mục tiêu đã bị nhiễm, Ryuk hiển thị thông điệp chuộc tiền với số tiền đòi hỏi lớn. Việc đòi tiền chuộc với mức giá cao cũng kèm theo một hạn chế thời gian, thường chỉ trong vài ngày. Nếu không có sự thanh toán trong thời hạn quy định, số tiền đòi hỏi sẽ tăng lên đáng kể.

Các nhóm tấn công Ryuk đã tiến hành hàng loạt cuộc tấn công thành công vào nhiều tổ chức lớn, bao gồm cả các cơ quan chính phủ, tổ chức y tế và các công ty đa quốc gia. Họ đã thu được những khoản tiền chuộc khổng lồ từ những cuộc tấn công này, làm cho Ryuk trở thành mối đe dọa nguy hiểm và đáng sợ trong thế giới an ninh mạng. Việc đối mặt với Ryuk đòi hỏi các tổ chức phải thực hiện các biện pháp bảo mật mạnh mẽ và đầy đủ để bảo vệ hệ thống và dữ liệu của họ trước mối đe dọa tiềm ẩn này.

2. Maze

Ransomware Maze đã gây tiếng vang lớn vì là một biến thể ransomware đầu tiên kết hợp giữa mã hóa tập tin và đánh cắp dữ liệu. Khi các mục tiêu từ chối thanh toán tiền chuộc, Maze đã bắt đầu thu thập dữ liệu nhạy cảm từ máy tính của nạn nhân trước khi mã hóa nó. Trong trường hợp không đáp ứng yêu cầu tiền chuộc, nhóm tội phạm đã thực hiện việc tiết lộ công khai dữ liệu này hoặc bán nó cho người mua đưa ra giá cao nhất. Tiềm năng của việc xảy ra một vụ vi phạm dữ liệu đáng giá đã được sử dụng như một động lực bổ sung để thúc đẩy quá trình thanh toán tiền chuộc.

Tuy nhiên, mặc dù nhóm đứng sau ransomware Maze đã chính thức chấm dứt hoạt động của mình, điều này không có nghĩa là mối đe dọa của ransomware đã giảm đi. Một số thành viên liên quan đến Maze đã chuyển sang sử dụng ransomware Egregor, và có tin rằng Egregor, Maze và các biến thể Sekhmet có nguồn gốc chung. Do đó, cần tiếp tục tăng cường biện pháp bảo mật và đề cao ý thức về mối nguy hiểm của ransomware để bảo vệ hiệu quả hệ thống và dữ liệu của mọi tổ chức và cá nhân.

Những sự kiện về việc nhóm phát triển Maze chấm dứt hoạt động và tiếp tục dùng các biến thể ransomware khác nhau như Egregor, Maze và Sekhmet, chứng tỏ mối đe dọa của ransomware vẫn còn nguy hiểm và không ngừng tiến hóa. Các tội phạm mạng ngày càng thông minh và tinh vi trong cách tấn công, đòi hỏi các chuyên gia bảo mật phải duy trì tinh thần cảnh giác và sẵn sàng đối phó với những mối nguy hiểm mới xuất hiện.

Để đối phó hiệu quả với mối đe dọa ransomware, các tổ chức nên tăng cường cảnh giác và triển khai các biện pháp bảo mật cơ bản như: đảm bảo hệ thống và phần mềm được cập nhật đầy đủ và thường xuyên, giáo dục nhân viên về nguy cơ từ email spear-phishing và các hình thức tấn công mạng khác, triển khai hệ thống kiểm soát truy cập và ưu tiên quản lý dữ liệu quan trọng.

Bên cạnh đó, việc sao lưu dữ liệu định kỳ và lưu trữ chúng ngoài hệ thống mạng nội bộ cũng rất quan trọng, để có khả năng khôi phục hệ thống nhanh chóng khi gặp sự cố ransomware. Hơn nữa, các chuyên gia an ninh mạng cần liên tục nghiên cứu, theo dõi và đánh giá các biến thể ransomware mới nhất để phát hiện và đối phó kịp thời với mọi loại tấn công có thể xảy ra.

Bằng việc cẩn trọng và nâng cao ý thức về mối đe dọa ransomware, chúng ta có thể tạo ra môi trường an toàn hơn và giảm thiểu khả năng bị tấn công và tổn thất về dữ liệu, đồng thời giữ cho hệ thống và doanh nghiệp hoạt động một cách bình thường.

3.REvil (Sodinokibi)

Nhóm REvil (còn được biết đến với tên Sodinokibi) là một biến thể ransomware đáng chú ý và nhắm vào các tổ chức lớn.

REvil là một trong những gia đình ransomware nổi tiếng nhất trên mạng. Nhóm ransomware này, được điều hành bởi nhóm REvil nói tiếng Nga kể từ năm 2019, đã gây ra nhiều vụ vi phạm lớn, đáng chú ý là các vụ tấn công ‘Kaseya’ và ‘JBS’.

REvil đã cạnh tranh với Ryuk trong suốt vài năm qua để tranh giành danh hiệu biến thể ransomware đắt giá nhất. Đội ngũ tấn công REvil được biết đòi tiền chuộc lên đến 800.000 đô la cho mỗi vụ tấn công thành công.

Mặc dù REvil ban đầu xuất hiện như một biến thể ransomware truyền thống, nhưng nhóm này đã tiến hóa qua thời gian. Họ đã sử dụng kỹ thuật Double Extortion để đánh cắp dữ liệu từ các doanh nghiệp trong quá trình mã hóa các tập tin. Điều này có nghĩa là ngoài việc đòi tiền chuộc để giải mã dữ liệu, các tấn công viên còn có thể đe dọa tiết lộ dữ liệu đã bị đánh cắp nếu không thanh toán thêm một lần nữa. Kỹ thuật này đã tạo thêm động lực cho các nạn nhân của REvil để đáp ứng yêu cầu tiền chuộc của nhóm tấn công.

Một trong những đặc điểm nổi bật của REvil là cách họ tiến hành các cuộc tấn công mục tiêu. Thay vì tấn công một loạt người dùng ngẫu nhiên, nhóm REvil hướng đến các tổ chức lớn có nguồn tài nguyên và dữ liệu quan trọng. Điều này cho phép họ tối ưu hóa việc đòi tiền chuộc và tăng khả năng thu được số tiền lớn từ các mục tiêu.

Mặc dù REvil đã gây ra nhiều thiệt hại và lo ngại trong cộng đồng an ninh mạng, đáng chú ý là nhóm này cũng đã gây ra một số tranh cãi với các hoạt động của mình. Thông tin về việc trả tiền chuộc thường gắn liền với việc tài trợ các hoạt động phạm tội và vi phạm luật pháp quốc tế. Tuy nhiên, một số doanh nghiệp đã tìm cách thương lượng với nhóm tấn công để khôi phục dữ liệu quan trọng và ngăn chặn việc tiết lộ thông tin nhạy cảm.

Với sự tiến hóa và tinh vi của REvil cũng như các biến thể ransomware khác, việc duy trì một môi trường an toàn và bảo mật trong mạng và hệ thống của tổ chức ngày càng trở nên cấp bách. Các chuyên gia bảo mật cần thường xuyên nghiên cứu và theo dõi các hình thức tấn công mới và phát triển các biện pháp bảo mật tiên tiến để đối phó với mối đe dọa ngày càng phức tạp của ransomware và các nhóm tấn công xâm nhập mạng.

4. Lockbit

LockBit là một dạng phần mềm độc hại mã hóa dữ liệu hoạt động từ tháng 9 năm 2019 và gần đây đã trở thành một dịch vụ Ransomware-as-a-Service (RaaS). Ransomware này được phát triển với mục tiêu mã hóa dữ liệu của các tổ chức lớn một cách nhanh chóng, nhằm tránh việc bị phát hiện một cách nhanh chóng bởi các thiết bị bảo mật và đội ngũ IT/SOC. Điều này giúp cho các tấn công LockBit có thể thực hiện một cách tinh vi và gây ra những tổn thất nặng nề cho các tổ chức mục tiêu.

LockBit là một dạng ransomware mà nhóm tội phạm điện tử đã phát triển từ tháng 9 năm 2019, và gần đây nó đã trở thành một dịch vụ Ransomware-as-a-Service (RaaS). Điều đáng chú ý về LockBit là cách nó được tối ưu hóa để tấn công các tổ chức lớn một cách nhanh chóng và hiệu quả.

Nhóm phát triển LockBit chủ yếu nhắm vào các tổ chức lớn với số lượng dữ liệu lớn và hệ thống mạng phức tạp. Bằng cách tập trung vào các mục tiêu này, LockBit có thể gây ra thiệt hại lớn và thu được số tiền chuộc cao hơn từ các tổ chức mục tiêu. Hơn nữa, nó cũng cải tiến để tránh phát hiện từ các thiết bị bảo mật và đội ngũ quản lý hệ thống (IT/SOC). Thành công của LockBit chủ yếu đến từ khả năng thâm nhập vào hệ thống mạng mục tiêu một cách nhanh chóng và mã hóa các tập tin quan trọng, đòi tiền chuộc để giải mã.

Dưới dạng dịch vụ RaaS, LockBit cung cấp một nền tảng cho các nhóm tội phạm khác để sử dụng và thực hiện các cuộc tấn công ransomware mục tiêu. Điều này làm tăng sự phổ biến và lan rộng của LockBit, khiến nó trở thành một mối đe dọa đáng kể trong thế giới an ninh mạng hiện đại. Đối mặt với LockBit và các biến thể ransomware khác, các tổ chức phải tăng cường biện pháp bảo mật và chuẩn bị cho khả năng ứng phó nhanh chóng khi một cuộc tấn công xảy ra để bảo vệ dữ liệu và hệ thống của họ khỏi tổn thất lớn.

5. DearCry

Vào tháng 3 năm 2021, Microsoft đã phát hành các bản vá bảo mật để vá lỗ hổng cho bốn máy chủ trong hệ thống Microsoft Exchange. Tuy nhiên, sau đó đã xuất hiện một biến thể ransomware mới mang tên DearCry, được thiết kế đặc biệt để lợi dụng chính những lỗ hổng này trong Microsoft Exchange.

Ransomware DearCry là một loại phần mềm độc hại có khả năng mã hóa một số loại tập tin trên hệ thống bị nhiễm. Sau khi quá trình mã hóa hoàn tất, DearCry sẽ hiển thị một thông điệp yêu cầu đòi tiền chuộc và hướng dẫn người dùng liên hệ qua email với nhóm tấn công ransomware để biết cách giải mã tập tin của họ. Việc thực hiện các bản vá bảo mật từ Microsoft là rất quan trọng để ngăn chặn các cuộc tấn công của DearCry và bảo vệ hệ thống Exchange khỏi mối nguy hiểm này.

Các phần mềm độc hại như DearCry thường được phân phối qua các phương tiện xâm nhập phổ biến như email spear-phishing hoặc các tệp đính kèm độc hại. Một khi máy tính bị nhiễm DearCry, nó sẽ mã hóa các loại tập tin quan trọng như hình ảnh, tài liệu văn bản, video và dữ liệu khác trên hệ thống bị nhiễm, làm cho chúng không thể truy cập được.

Sau khi mã hóa xong, DearCry sẽ hiển thị một thông điệp yêu cầu người dùng thanh toán một khoản tiền chuộc thông qua các phương tiện thanh toán ẩn danh như Bitcoin. Nếu không trả tiền chuộc theo yêu cầu, người tấn công có thể đe dọa tiết lộ hoặc bán dữ liệu đã bị mã hóa.

6. Lapsus$

Lapsus$ là một nhóm tội phạm ransomware có nguồn gốc từ Nam Mỹ và đã được liên kết với các cuộc tấn công vào một số mục tiêu nổi tiếng. Nhóm tội phạm này nổi tiếng với việc thực hiện tống tiền, đe dọa tiết lộ thông tin nhạy cảm nếu nạn nhân không đáp ứng các yêu cầu của họ. Họ đã tự hào vì đã xâm nhập thành công vào các công ty nổi tiếng như Nvidia, Samsung, Ubisoft và các tổ chức khác.

Một trong những chiến thuật nổi bật của nhóm là sử dụng mã nguồn đã đánh cắp để giấu giếm các tệp malware trong các tập tin đáng tin cậy. Điều này làm cho việc phát hiện và xóa bỏ malware trở nên khó khăn hơn và giúp họ tiếp tục thực hiện các cuộc tấn công hiệu quả.

Lapsus$ là một trong những nhóm tội phạm ransomware nguy hiểm và tinh vi, và để bảo vệ hệ thống khỏi các cuộc tấn công của họ, các tổ chức cần triển khai các biện pháp bảo mật mạnh mẽ và cập nhật thường xuyên để đối phó với những mối đe dọa ngày càng phức tạp từ nhóm tấn công này và các loại mã độc tương tự.

Lapsus$ đã thực hiện các cuộc tấn công thành công vào các công ty hàng đầu thế giới như Nvidia, Samsung, Ubisoft và nhiều tổ chức khác. Điểm đáng chú ý của nhóm là việc sử dụng mã nguồn đã đánh cắp để giấu giếm tệp malware trong các tập tin đáng tin cậy. Nhờ vậy, họ có khả năng tồn tại và hoạt động trong môi trường máy chủ và hệ thống của nạn nhân một cách bí mật, gây khó khăn trong việc phát hiện và loại bỏ mã độc.

Nhóm Lapsus$ còn sử dụng chiến thuật “Double Extortion” hay còn gọi là “phương thức kép” để gia tăng áp lực tới nạn nhân. Ngoài việc mã hóa dữ liệu, họ còn đe dọa tiết lộ dữ liệu đã đánh cắp nếu không thanh toán tiền chuộc. Điều này làm cho việc từ chối trả tiền chuộc trở nên khó khăn hơn, vì nạn nhân có thể đối diện với nguy cơ mất dữ liệu và hậu quả tiêu cực cho sự tin tưởng và danh tiếng của họ.

IV. Cách thức hoạt động của Ransomeware

Để ransomware thành công, nó cần thực hiện ba giai đoạn cốt lõi sau đây:

Bước 1: Lây nhiễm và phát tán

Ransomware có thể xâm nhập vào hệ thống mục tiêu qua nhiều cách khác nhau, giống như các loại phần mềm độc hại khác. Nhưng thông thường, nhóm điều hành ransomware ưa thích một số vector nhiễm cụ thể.

Phishing email là một trong những phương thức phổ biến. Một email độc hại có thể chứa liên kết dẫn đến trang web chứa tải xuống độc hại hoặc tệp đính kèm với chức năng tải xuống. Nếu người nhận email bị lừa, ransomware sẽ được tải xuống và chạy trên máy tính của họ.

Một phương thức nhiễm ransomware khác phổ biến là lợi dụng dịch vụ như Remote Desktop Protocol (RDP). Kẻ tấn công có thể sử dụng thông tin đăng nhập đã ăn cắp hoặc đoán được của nhân viên để xác thực và từ xa truy cập vào máy tính trong mạng doanh nghiệp. Nhờ quyền truy cập này, kẻ tấn công có thể tải xuống phần mềm độc hại và chạy nó trên máy tính được kiểm soát.

Một số tấn công có thể tấn công trực tiếp vào hệ thống, giống như WannaCry khai thác lỗ hổng EternalBlue. Hầu hết các biến thể ransomware có nhiều cách tiếp cận.

Bước 2: Mã hóa dữ liệu

Sau khi ransomware đã truy cập vào hệ thống, nó sẽ tiến hành mã hóa các tệp. Việc này đơn giản là sử dụng chức năng mã hóa có sẵn trong hệ điều hành, mã hóa tệp với khóa được kiểm soát bởi kẻ tấn công và thay thế các tệp gốc bằng các bản mã hóa. Hầu hết các biến thể ransomware đều cẩn thận chọn tệp để mã hóa nhằm đảm bảo sự ổn định của hệ thống. Một số biến thể cũng có thể xóa bản sao lưu và bản sao bóng của các tệp để làm cho việc khôi phục mà không có khóa giải mã khó hơn.

Bước 3: Đòi tiền chuộc khi hoàn thành việc mã hóa tệp, ransomware sẽ đòi tiền chuộc.

Các biến thể ransomware khác nhau triển khai việc này qua nhiều cách, nhưng thông thường, họ sẽ thay đổi nền nền hoặc để lại tệp văn bản trong từng thư mục bị mã hóa chứa thông báo chuộc tiền. Thông thường, thông báo yêu cầu số tiền tiền mã hóa cụ thể để đổi lấy quyền truy cập vào các tệp của nạn nhân. Nếu nạn nhân thanh toán tiền chuộc, kẻ tấn công ransomware sẽ cung cấp bản sao của khóa bí mật được sử dụng để bảo vệ khóa mã hóa đối xứng hoặc bản sao của chính khóa mã hóa đối xứng. Thông tin này có thể được nhập vào chương trình giải mã (cũng được cung cấp bởi tội phạm mạng) để đảo ngược quá trình mã hóa và khôi phục quyền truy cập vào tệp của người dùng.

Mặc dù ba giai đoạn cốt lõi này tồn tại trong tất cả các biến thể ransomware, các ransomware khác nhau có thể bao gồm các triển khai khác nhau hoặc các bước bổ sung. Ví dụ, các biến thể ransomware như Maze thực hiện quét tệp, thông tin registry và đánh cắp dữ liệu trước khi mã hóa dữ liệu. Trong khi đó, ransomware WannaCry quét các thiết bị dễ bị tổn thương khác để nhiễm và mã hóa.

Sự phổ biến và nguy hiểm của ransomware đã tăng lên mạnh mẽ trong những năm gần đây. Đối với các tổ chức và người dùng cá nhân, việc duy trì các biện pháp bảo mật mạnh mẽ, đảm bảo sao lưu thường xuyên và cập nhật các bản vá bảo mật là cách hiệu quả để giảm nguy cơ bị tấn công ransomware và phòng ngừa hậu quả tiêu cực mà nó gây ra.