Bùng nổ các cuộc tấn công ransomware mới nhất đang gây rúng động và tạo ra những đợt cảnh báo trầm trọng về mối đe dọa an ninh mạng. Ransomware – loại phần mềm độc hại , tấn công bằng cách mã hóa dữ liệu quan trọng của các tổ chức và cá nhân, sau đó đòi tiền chuộc đang ngày càng trở nên nguy hiểm và phổ biến hơn bao giờ hết. Trong bối cảnh các cuộc tấn công này đã gây thiệt hại kinh tế hàng tỷ đô la và làm mất đi dữ liệu quan trọng của hàng triệu người, càng ngày càng rõ ràng rằng chúng ta đang đối diện với một mối đe dọa đáng sợ trên không chỉ mạng lưới doanh nghiệp mà còn cả cuộc sống hàng ngày của chúng ta. Trong bài viết này, chúng ta sẽ đi sâu vào các cuộc tấn công ransomware gần đây và nhìn vào những hậu quả nghiêm trọng mà chúng đã gây ra, đồng thời tìm hiểu về các biện pháp bảo vệ và ứng phó hiệu quả để đối phó với tình trạng khẩn cấp này.

Mục lục :

I. Một số cuộc tấn công Ransomware các năm gần đây

II. Top Ransomware tiêu biểu qua từng năm

Nội dung bài viết :

I. Tình hình tổng quan các cuộc tấn công Ransomware các năm gần đây

Một trong những xu hướng đáng chú ý là sự gia tăng về sự chuyên nghiệp của các nhóm tấn công ransomware. Ngày nay, không chỉ có các hacker cá nhân hoạt động một mình mà còn có những nhóm tội phạm tổ chức với cơ cấu rõ ràng và mục tiêu chi tiết. Những nhóm này thường sử dụng các kỹ thuật tinh vi để xâm nhập vào hệ thống, khai thác các lỗ hổng không được vá và phân phối mã độc một cách rộng rãi.

1. Tấn công Ransomware vào năm 2021-2022

Theo nhiều tổ chức hoạt động trong lĩnh vực security đã công bố rằng số lượng tổ chức bị ảnh hưởng bởi ransomware trên toàn cầu đã tăng gấp đôi trong nửa đầu năm 2021 so với năm 2020. Đáng chú ý, các ngành y tế và tiện ích là những ngành bị nhắm đến nhiều nhất kể từ đầu tháng 4 năm 2021.

Sự thành công của hình thức tống tiền kép vào năm 2020 đã rõ ràng, đặc biệt từ khi bùng phát đại dịch Covid-19. Mặc dù không phải tất cả các trường hợp và kết quả đều được báo cáo và công bố, các thống kê thu thập từ năm 2020 đến 2021 minh họa tính quan trọng của phương thức tấn công này. Trong khoảng thời gian này, giá tiền chuộc trung bình đã tăng lên 171%, đạt mức gần 310.000 đô la Mỹ.

Các cuộc tấn công ransomware diễn ra vào cuối năm 2020 và đầu năm 2021 đã chỉ ra một chuỗi tấn công mới – một cách tiếp cận mở rộng đến hình thức tống tiền kép, bao gồm một mối đe dọa bổ sung và độc đáo trong quy trình – một cuộc tấn công tống tiền ba lần (Triple Extortion attack).

Năm 2021 đã chứng kiến một số cuộc tấn công ransomware nổi tiếng bao gồm tấn công vào Microsoft Exchange, mạng lưới của Colonial Pipeline, Thành phố Tulsa, Công ty thịt JBS Meat và Fujifilm.

Nhìn chung, sự phát triển và tăng cường của các cuộc tấn công ransomware trong năm 2020 và nửa đầu năm 2021 đã tạo ra một thách thức đáng kể trong việc bảo vệ an ninh mạng và đòi hỏi sự tập trung cao đối với việc nâng cao khả năng phòng ngừa và ứng phó của tổ chức và cá nhân trước mối đe dọa ngày càng phức tạp này.

2. Tấn công Ransomware vào năm 2020

Vào cuối năm 2019 và đầu năm 2020, đã xuất hiện một xu hướng mới trong các cuộc tấn công ransomware. Thay vì chỉ giới hạn việc mã hóa các tập tin của nạn nhân, các tác giả ransomware bắt đầu lấy cắp dữ liệu nhạy cảm từ các mục tiêu của họ. Các biến thể ransomware có tính năng lấy cắp dữ liệu người dùng bao gồm Ako, CL0P, DoppelPaymer, Maze, Pysa, Nefilim, Nemty, Netwalker, Ragnarlocker, REvil, Sekhmet và Snatch.

Điều này đã xuất hiện như một phản ứng khi các tổ chức từ chối thanh toán tiền chuộc sau khi bị nhiễm ransomware. Mặc dù chi phí khắc phục hậu quả của một cuộc tấn công ransomware thường cao hơn số tiền tiền chuộc được yêu cầu, nhưng thực tế tốt nhất là không nên trả tiền chuộc, vì điều này sẽ giúp cho các tội phạm mạng tiếp tục hoạt động và tiến hành thêm các cuộc tấn công.

Bằng cách lấy cắp dữ liệu từ các máy tính bị nhiễm trước khi mã hóa, các tác nhân ransomware có thể đe dọa tiết lộ dữ liệu này nếu nạn nhân không đồng ý trả tiền chuộc. Tùy thuộc vào loại dữ liệu được thu thập và tiết lộ, điều này có thể làm cho một tổ chức mất đi lợi thế cạnh tranh trên thị trường hoặc vi phạm các quy định về bảo vệ dữ liệu, chẳng hạn như Quy chế bảo vệ dữ liệu chung (GDPR).

3. Tấn công Ransomware vào năm 2019

Năm 2019 trở nên nổi tiếng với việc các tác nhân ransomware tập trung vào các tổ chức quan trọng. Trong ba quý đầu năm 2019, hơn 621 bệnh viện, trường học và thành phố tại Hoa Kỳ đã trở thành nạn nhân của các cuộc tấn công ransomware do Ryuk và các biến thể ransomware khác gây ra. Những cuộc tấn công này được ước tính có giá trị hàng trăm triệu đô la và dẫn đến tình trạng các thành phố không thể cung cấp dịch vụ cho cư dân, và các bệnh viện phải hủy bỏ các ca phẫu thuật không cần thiết để cung cấp chăm sóc cấp cứu cho bệnh nhân.

Phương pháp mới này của ransomware đã khai thác sự quan trọng của các dịch vụ mà những tổ chức này cung cấp. Khác với một số doanh nghiệp có thể chịu đựng hoạt động suy giảm trong quá trình phục hồi sau một cuộc tấn công, các thành phố, trường học và bệnh viện cần phục hồi hoạt động nhanh chóng và thường có truy cập vào quỹ khẩn cấp. Kết quả là, các cuộc tấn công ransomware nhắm vào những tổ chức này thường thành công và vẫn tiếp diễn cho đến ngày nay.

II. Top Ransomware tiêu biểu qua từng năm

1. GandCrab – năm 2018

Vào năm 2018, một trong những ransomware hoạt động mạnh nhất và tạo ra những cuộc tấn công rộng lớn là GandCrab. GandCrab xuất hiện vào đầu năm 2018 và nhanh chóng trở thành một trong những mối đe dọa chính trong cộng đồng an ninh mạng.

Phạm vi tấn công: GandCrab nhắm vào cả người dùng cá nhân và tổ chức doanh nghiệp. Nó lây nhiễm thông qua các tập tin đính kèm email, các trang web bị nhiễm mã độc hoặc các lỗ hổng bảo mật trên hệ thống.

Tiêu chuẩn chuộc tiền: GandCrab sử dụng mã hóa RSA và AES mạnh mẽ để mã hóa dữ liệu của nạn nhân. Sau khi mã hóa, nó đòi tiền chuộc theo định dạng tiền điện tử, chẳng hạn như Bitcoin, để cung cấp khóa giải mã.

Phiên bản và cập nhật: Các phiên bản và biến thể của GandCrab liên tục xuất hiện, cho thấy những nỗ lực không ngừng của tác giả để thay đổi và cải tiến mã độc này, từ đó làm cho việc phát hiện và chống lại nó trở nên khó khăn hơn.

Mô hình kinh doanh RaaS: GandCrab sử dụng mô hình kinh doanh Ransomware-as-a-Service (RaaS), cho phép các tên tội phạm mua mã độc và sử dụng nó trong các cuộc tấn công. Điều này đã giúp lan rộng phạm vi tấn công và làm tăng nguy cơ của nó.

2. Ryuk – năm 2019

Trái ngược với hầu hết các cuộc tấn công ransomware nhằm vào các cá nhân và doanh nghiệp ngẫu nhiên, ransomware Ryuk đã hướng tới các mục tiêu cao hơn và có mục đích cụ thể. Những kẻ tội phạm mạng đứng sau cuộc tấn công này đã nhắm đến các nạn nhân có hoạt động kinh doanh quan trọng, khi gặp ngay cả một thời gian gián đoạn nhỏ cũng có thể gây ảnh hưởng nghiêm trọng.

Ryuk được thiết kế để mã hóa máy chủ của các công ty và làm gián đoạn hoạt động kinh doanh cho đến khi tiền chuộc được thanh toán, thay vì đánh cắp hoặc phá hoại dữ liệu cá nhân của một cá nhân.

Các đối tượng bị nhắm đến bao gồm các tờ báo, trong đó có tất cả các tờ báo của hãng Tribune, và một công ty cung cấp dịch vụ nước ở Bắc Carolina. Các tờ báo bị ảnh hưởng đã phải giảm bản tin hàng ngày mà không bao gồm quảng cáo phân loại đã thanh toán.

Ryuk đã xâm nhập vào hệ thống thông qua phần mềm độc hại được gọi là TrickBot và phần mềm desktop từ xa. Sau khi chặn truy cập vào máy chủ, Ryuk yêu cầu một khoản tiền chuộc nhất định.

Ngoài việc vô hiệu hóa máy chủ, lây nhiễm các điểm cuối và mã hóa các bản sao lưu, Ryuk còn tắt tùy chọn khôi phục hệ thống Windows OS để ngăn nạn nhân phục hồi từ cuộc tấn công.

Mặc dù các bản vá đã được tạo ra để đối phó với cuộc tấn công khi malware này được phát hiện, chúng không hiệu quả. Ngay khi máy chủ trở lại hoạt động, Ryuk bắt đầu lây nhiễm lại toàn bộ mạng máy chủ.

Các hãng bảo mật hàng đầu như Sophos, Kaspersky, McAfee, AVG : Ryuk là một mã độc ransomware nổi tiếng và rất nguy hiểm. Nó đã gây ra nhiều cuộc tấn công chính vào các tổ chức và doanh nghiệp trên toàn thế giới.

3. REvil/ Sodinokibi – năm 2019

Ransomware REvil, cũng được biết đến với tên gọi Sodinokibi, là một loại mã độc ransomware nổi tiếng và nguy hiểm. Đây là một trong những ransomware hàng đầu được phát triển và sử dụng bởi các tên tội phạm mạng chuyên nghiệp để tấn công các tổ chức và doanh nghiệp trên toàn thế giới. Dưới đây là một số thông tin quan trọng về ransomware REvil:

Phương thức tấn công: REvil thường lây nhiễm thông qua các lỗ hổng bảo mật trong hệ thống, email lừa đảo, hoặc sử dụng các phương thức tấn công khác như phản hồi kiểu trò chuyện (chat-based exploitation). Một khi xâm nhập thành công vào hệ thống mục tiêu, REvil sẽ mã hóa các tập tin và dữ liệu quan trọng của nạn nhân.

Tiêu chuẩn chuộc tiền: Sau khi mã hóa dữ liệu, REvil sẽ yêu cầu một khoản tiền chuộc lớn để cung cấp chìa khóa giải mã. Số tiền chuộc thường được yêu cầu thông qua tiền điện tử như Bitcoin, Monero hoặc các hình thức thanh toán khó theo dõi.

Hậu quả của tấn công: REvil đã gây ra nhiều cuộc tấn công lớn và ảnh hưởng đến nhiều tổ chức và doanh nghiệp trên khắp thế giới. Một số cuộc tấn công nổi tiếng của REvil bao gồm việc tấn công các cơ quan chính phủ, các công ty lớn, trường học, và cả bệnh viện.

Xuất hiện trong các vụ tấn công nổi tiếng: REvil đã tham gia vào nhiều cuộc tấn công nổi tiếng và tạo ra những vụ việc lớn, gây tổn hại kinh tế và tạo ra rủi ro lớn đối với các doanh nghiệp và cá nhân.

Các cuộc tấn công của ransomware REvil đã đẩy các chuyên gia an ninh mạng và tổ chức bảo mật phải nỗ lực để ngăn chặn và chống lại mối đe dọa ngày càng phức tạp này. Việc tăng cường các biện pháp bảo mật, cập nhật thường xuyên và hệ thống sao lưu đều là cách để giảm thiểu nguy cơ bị tấn công bởi ransomware như REvil.

4. PureLocker – năm 2020

PureLocker là một loại mã độc ransomware được thiết kế để mã hóa toàn bộ máy chủ và yêu cầu tiền chuộc để khôi phục quyền truy cập. Mã độc này được tạo ra với mục tiêu đặc biệt là không bị phát hiện bằng cách che giấu hành vi phạm trong môi trường sandbox và giả vờ là các chức năng bình thường. Sau khi thực thi được mục đích, mã độc còn tự xóa chính nó.

PureLocker thường tấn công vào máy chủ của các tập đoàn lớn, với kỳ vọng rằng các tấn công này sẽ đem lại khoản tiền chuộc đáng kể.

Phân tích kỹ lưỡng đã giúp các nhà nghiên cứu về mật mã từ Intezer và IBM X-Force đặt tên cho loại mã độc này là PureLocker do nó được viết bằng ngôn ngữ lập trình PureBasic.

Việc sử dụng PureBasic để viết mã độc không phải là phổ biến, nhưng điều này mang lại lợi thế cho kẻ tấn công: việc phát hiện mã độc viết bằng PureBasic rất khó khăn. Các chương trình viết bằng PureBasic cũng có thể dễ dàng chạy trên nhiều nền tảng.

PureLocker vẫn đang được sử dụng bởi các tổ chức tội phạm mạng lớn. Chuyên gia tin rằng nó đang được bán dưới dạng dịch vụ cho các tổ chức tội phạm mạng có kiến thức và kỹ năng cần thiết để tấn công các công ty lớn. Đáng ngạc nhiên, hiện tượng ransomware-as-a-service (RaaS) đã trở nên phổ biến.

Các chuyên gia an ninh mạng không chắc chắn về cách mà PureLocker xâm nhập vào máy chủ; do đó, áp dụng phương pháp bảo mật mạng không tin tưởng (zero-trust) là cách tốt nhất để bảo vệ khỏi các mối đe dọa không rõ nguồn gốc.

Human-Operated Ransomware, còn được gọi là Ransomware do con người điều khiển, là một loại ransomware được thực hiện và điều khiển bởi các hacker hoặc nhóm hacker thực sự, chứ không phải chỉ dựa vào mã độc tự động và tự động hóa.

Trong trường hợp của Ransomware do con người điều khiển, các hacker hoặc nhóm hacker thường tấn công các mạng hoặc hệ thống mục tiêu bằng cách thâm nhập và tiếp cận hệ thống bằng các kỹ thuật tấn công mạng như phishing, lừa đảo qua email, sử dụng mã độc để xâm nhập, hoặc khai thác các lỗ hổng bảo mật đã biết. Khi họ thâm nhập vào hệ thống mục tiêu, họ sẽ tiến hành một cách thủ công và có chủ đích để tiến hành cuộc tấn công ransomware, đòi tiền chuộc từ nạn nhân.

2. Quá trình tấn công Human-Operated Ransomware.

Các bước chính trong quá trình thực hiện Ransomware do con người điều khiển có thể bao gồm:

Phát hiện mục tiêu: Hacker tiến hành tìm kiếm các mục tiêu tiềm năng, thường là các doanh nghiệp, tổ chức hoặc cơ quan có giá trị cao và dữ liệu quan trọng.

Xâm nhập: Sau khi tìm thấy mục tiêu, hacker sử dụng các kỹ thuật xâm nhập để tiếp cận hệ thống mục tiêu. Điều này có thể bao gồm tấn công vào mạng bằng cách sử dụng các phương pháp tấn công mạng như brute-force, sử dụng mã độc hoặc lỗ hổng bảo mật đã biết để tấn công.

Phân tích và lựa chọn dữ liệu quan trọng: Sau khi xâm nhập thành công vào hệ thống, hacker tiến hành phân tích và lựa chọn các tệp và dữ liệu quan trọng mà họ muốn mã hóa để yêu cầu tiền chuộc.

Mã hóa dữ liệu: Hacker sẽ mã hóa các tệp và dữ liệu đã chọn sử dụng một phương pháp mã hóa mạnh, làm cho chúng không thể truy cập được cho đến khi tiền chuộc được trả.

Yêu cầu tiền chuộc: Sau khi hoàn thành việc mã hóa, hacker sẽ gửi yêu cầu tiền chuộc đến nạn nhân, thông qua thông điệp rõ ràng và hướng dẫn cụ thể về cách trả tiền chuộc để nhận khóa giải mã.

Đàm phán và nhận tiền chuộc: Nếu nạn nhân chấp nhận trả tiền chuộc, hacker sẽ thường thực hiện các hoạt động đàm phán để đảm bảo tiền chuộc được trả và cung cấp phương tiện giải mã để giải mã dữ liệu đã bị mã hóa.

Ransomware do con người điều khiển thường gây ra những thiệt hại lớn, vì nó kết hợp cả kỹ thuật xâm nhập mạng và một cách tiếp cận tự động hóa bám theo để mã hóa dữ liệu và đòi tiền chuộc. Điều này khiến việc phát hiện và ngăn chặn nó trở nên khó khăn hơn so với các dạng ransomware tự động.

3. Vì sao xu hướng Human-Operated Ransomware ngày càng tăng.

Có một số lý do chính giải thích tại sao xu hướng Human-Operated Ransomware ngày càng tăng:

Lợi nhuận cao: Ransomware do con người điều khiển thường tập trung vào các tổ chức, doanh nghiệp có giá trị cao hoặc cơ quan chính phủ, nhắm vào việc mã hóa dữ liệu quan trọng và yêu cầu tiền chuộc lớn. Vì các tổ chức này có khả năng trả tiền chuộc lớn hơn, nên hacker có thể kiếm được nhiều lợi nhuận hơn từ việc thực hiện các cuộc tấn công này.

Sự khó kiểm soát: Ransomware do con người điều khiển thường rất khó phát hiện và phòng ngừa bởi các giải pháp bảo mật tự động truyền thống. Do người hacker thực hiện thủ công và có thể tùy chỉnh cuộc tấn công cho mỗi mục tiêu cụ thể, các hành vi của ransomware có thể trông giống như các hoạt động bình thường trên hệ thống, tránh nhận diện dễ dàng bởi các giải pháp bảo mật dựa trên chữ ký hoặc mã hóa.

Tập trung vào lừa đảo và xâm nhập: Những hacker thực hiện ransomware do con người điều khiển thường tập trung vào việc lừa đảo và xâm nhập vào hệ thống mục tiêu thay vì lây lan rộng rãi. Họ thường tấn công các mục tiêu có giá trị cao với sự chuẩn bị kỹ lưỡng, bằng cách sử dụng các kỹ thuật xâm nhập mạng tinh vi và tùy chỉnh cuộc tấn công cho từng mục tiêu cụ thể, làm cho nó khó bị phát hiện và ngăn chặn.

Khai thác lỗ hổng bảo mật: Ransomware do con người điều khiển thường khai thác các lỗ hổng bảo mật đã biết trong các hệ thống và ứng dụng để tiếp cận mục tiêu. Các hacker sử dụng các công cụ tùy chỉnh để thâm nhập vào mạng và hệ thống mục tiêu, giúp họ tránh bị phát hiện bởi các giải pháp bảo mật tự động truyền thống.

Mô hình kinh doanh có cấu trúc: Một số tổ chức phạm pháp và hacker lừa đảo thậm chí đã phát triển các mô hình kinh doanh có cấu trúc xung quanh việc triển khai ransomware do con người điều hành. Họ cung cấp dịch vụ tấn công ransomware dưới dạng “Ransomware as a Service” (RaaS), giúp các hacker không có kỹ năng kỹ thuật đầy đủ cũng có thể tham gia vào cuộc chơi này.

Những lý do trên đã tạo ra sự gia tăng của xu hướng ransomware do con người điều hành, khiến nó trở thành một mối đe dọa ngày càng nghiêm trọng đối với các tổ chức và doanh nghiệp trên toàn cầu.

4. Sự khác nhau giữa Human-Operated Ransomware và Traditional Ransomware.

Human-Operated Ransomware và Traditional Ransomware là hai loại ransomware có sự khác biệt về cách thức thực hiện và hoạt động. Dưới đây là sự so sánh giữa hai loại ransomware này:

4.1 Human-Operated Ransomware.

Đặc điểm: Ransomware do con người điều hành được thực hiện và điều hành bởi các hacker hoặc nhóm hacker thực sự, có khả năng thực hiện các cuộc tấn công ransomware mục tiêu, thủ công và có chủ đích.

Tiến trình tấn công: Hacker thâm nhập vào mạng hoặc hệ thống mục tiêu bằng cách sử dụng các kỹ thuật tấn công mạng như phishing, lừa đảo qua email, sử dụng mã độc để xâm nhập, hoặc khai thác các lỗ hổng bảo mật đã biết. Sau đó, họ tiến hành mã hóa dữ liệu và đòi tiền chuộc từ nạn nhân.

Đặc điểm chung: Ransomware do con người điều khiển thường tấn công các tổ chức và doanh nghiệp có giá trị cao, và chú trọng vào việc mã hóa các dữ liệu quan trọng và nhạy cảm để đòi tiền chuộc lớn.

4.2 Traditional Ransomware.

Đặc điểm: Ransomware truyền thống là các loại ransomware tự động và tự lan truyền mà không yêu cầu sự can thiệp thủ công của hacker. Chúng được lập trình để tự động phát hiện và mã hóa các tệp trên máy tính của nạn nhân.

Tiến trình tấn công: Ransomware truyền thống thường lan truyền qua email độc hại, các trang web độc hại, hoặc lợi dụng các lỗ hổng bảo mật trên máy tính. Khi nạn nhân mở một tệp hoặc truy cập vào một trang web độc hại, ransomware sẽ tự động phát hiện và bắt đầu mã hóa các tệp.

Đặc điểm chung: Ransomware truyền thống thường lây lan rộng rãi và tấn công ngẫu nhiên nhiều máy tính, với mục tiêu là thu thập tiền chuộc từ số lượng lớn nạn nhân, thường là bằng cách yêu cầu số tiền nhỏ để dễ dàng nắm bắt.

Tóm tắt:

Human-Operated Ransomware được thực hiện và điều hành bởi các hacker hoặc nhóm hacker thực sự, với các cuộc tấn công mục tiêu và thủ công.

Traditional Ransomware là các loại ransomware tự động và tự lan truyền, không yêu cầu sự can thiệp thủ công của hacker và thường tấn công ngẫu nhiên nhiều máy tính.

5. Human-Operated Ransomware nổi tiếng “Ryuk”.

Ryuk là một trong những ví dụ điển hình về Human-Operated Ransomware, được thực hiện bởi những hacker chuyên nghiệp với mục tiêu chính là tấn công vào các tổ chức, doanh nghiệp có giá trị cao và yêu cầu số tiền chuộc lớn.

Mô tả: Ryuk là một loại ransomware do con người điều hành đã xuất hiện vào cuối năm 2018 và nhanh chóng trở thành một trong những mối đe dọa lớn đối với các tổ chức và doanh nghiệp trên toàn cầu. Được cho là do một nhóm hacker chuyên nghiệp từ Nga hoặc Bắc Triều Tiên điều hành, Ryuk đã gây ra hàng triệu đô la thiệt hại trong việc yêu cầu tiền chuộc từ các nạn nhân.

Cách thực hiện: Ryuk thường bắt đầu tấn công bằng cách xâm nhập vào hệ thống mục tiêu thông qua email độc hại hoặc sử dụng các lỗ hổng bảo mật đã biết. Sau khi xâm nhập thành công vào mạng, nhóm hacker thực hiện các bước sau:

Thu thập thông tin: Hacker thu thập thông tin chi tiết về hệ thống, mạng, người dùng và tệp dữ liệu của nạn nhân.

Lựa chọn mục tiêu: Dựa vào thông tin thu thập được, hacker quyết định các tệp và dữ liệu quan trọng mà họ muốn mã hóa để yêu cầu tiền chuộc.

Mã hóa dữ liệu: Hacker sử dụng một mã hóa mạnh để mã hóa các tệp và dữ liệu quan trọng đã chọn, khiến chúng không thể truy cập được cho đến khi tiền chuộc được trả.

Yêu cầu tiền chuộc: Sau khi hoàn thành việc mã hóa, hacker gửi thông điệp yêu cầu tiền chuộc đến nạn nhân thông qua email hoặc thông qua thông báo trên màn hình máy tính. Trong thông điệp, họ cung cấp hướng dẫn cụ thể và địa chỉ ví tiền điện tử để nạn nhân trả tiền chuộc.

Đàm phán và giao dịch: Nếu nạn nhân chấp nhận trả tiền chuộc, hacker thường thực hiện cuộc đàm phán để đảm bảo tiền chuộc được trả và cung cấp khóa giải mã để giải mã dữ liệu đã bị mã hóa.

6. Giải pháp bảo mật của Sophos.

Sophos, một trong những nhà cung cấp hàng đầu về an ninh mạng và bảo mật, cung cấp nhiều giải pháp để ngăn chặn Human-Operated Ransomware và các loại ransomware khác. Dưới đây là một số giải pháp của Sophos để đối phó với Human-Operated Ransomware:

Sophos Intercept X with XDR (Extended Detection and Response): Đây là một giải pháp bảo mật tiên tiến dựa trên trí tuệ nhân tạo và học máy. Intercept X with EDR giám sát và phân tích các hoạt động của hệ thống mạng và các thiết bị kết nối để phát hiện các hành vi đáng ngờ của ransomware, bao gồm cả Human-Operated Ransomware. Nó cung cấp các cảnh báo và báo cáo chi tiết để ngăn chặn và xử lý các cuộc tấn công.

Sophos XG Firewall: Sophos XG Firewall là một giải pháp tường lửa mạng mạnh mẽ với nhiều tính năng bảo vệ chống ransomware và các mối đe dọa khác. Nó sử dụng công nghệ Deep Learning để phát hiện các mẫu ransomware mới và không xác định.

Sophos Email Gateway: Giải pháp Sophos Email Gateway giúp ngăn chặn email chứa ransomware và các tệp độc hại khác từ tiếp cận hộp thư đến các người dùng. Nó sử dụng công nghệ chống phishing, kiểm tra dữ liệu đính kèm và các chữ ký để phát hiện và chặn các cuộc tấn công ransomware qua email.

Sophos Server Protection: Giải pháp bảo vệ máy chủ của Sophos giám sát và bảo vệ các máy chủ chạy trên nền tảng Windows và Linux khỏi ransomware và các mối đe dọa độc hại khác. Nó cung cấp tường lửa ứng dụng, giám sát lưu lượng mạng và phân tích hành vi đáng ngờ.

Sophos Mobile Security: Đối với các thiết bị di động, Sophos Mobile Security giúp ngăn chặn các ứng dụng độc hại và ransomware từ tiếp cận và tấn công thiết bị di động.

Sophos Managed Threat Response (MTR): Đây là một dịch vụ bảo mật g manageời độc lập dựa trên chuyên gia của Sophos. Nó giúp theo dõi và phản ứng nhanh chóng đối với các cuộc tấn công ransomware và giúp khôi phục dữ liệu nếu cần thiết.

Ryuk Ransomware là một loại phần mềm độc hại (malware) được sử dụng để thực hiện các cuộc tấn công ransomware. Nó đã xuất hiện vào năm 2018 và được biết đến với tính chuyên nghiệp và hiệu suất cao trong việc tấn công các tổ chức và công ty lớn.

Ryuk sử dụng mã hóa đối xứng AES (Advanced Encryption Standard) và mã hóa không đối xứng RSA (Rivest-Shamir-Adleman) để mã hóa các tập tin trên hệ thống. Mã hóa AES được sử dụng để mã hóa dữ liệu theo các khối, trong khi mã hóa RSA được sử dụng để mã hóa các khóa đối xứng AES. Sự kết hợp của cả hai mã hóa này giúp tăng cường tính bảo mật của quá trình mã hóa.

Ryuk Ransomware được thiết kế để tấn công các hệ thống và mạng máy tính, sau đó mã hóa dữ liệu quan trọng của các nạn nhân bằng mật mã mạnh. Sau khi dữ liệu đã được mã hóa, nó sẽ hiển thị một thông báo yêu cầu tiền chuộc, thông qua một tệp văn bản hay hình nền màn hình máy tính, yêu cầu người nạn nhân trả tiền chuộc bằng tiền điện tử (thường là Bitcoin) để nhận được khóa giải mã và phục hồi dữ liệu.

Các cuộc tấn công Ryuk Ransomware thường được tiến hành một cách rất cẩn thận và có chọn lọc các mục tiêu có giá trị kinh tế cao như doanh nghiệp, tổ chức và cơ quan chính phủ. Kẻ tấn công thường tiến hành một số hoạt động trước để nghiên cứu mạng mục tiêu, xâm nhập và tiến hành tấn công một cách tùy chỉnh để tối ưu hóa khả năng thành công và tiềm năng của việc nhận tiền chuộc.

Những cuộc tấn công này gây ra tổn thất nghiêm trọng và gây ảnh hưởng đáng kể đến hoạt động của các tổ chức và doanh nghiệp. Vì vậy, việc áp dụng biện pháp bảo mật hiệu quả và duy trì sao lưu dữ liệu định kỳ là rất quan trọng để bảo vệ khỏi Ryuk Ransomware và các loại ransomware khác.

2. Một số cuộc tấn công nổi tiếng của Ryuk Ransomware.

Dưới đây là một số cuộc tấn công nổi tiếng của Ryuk Ransomware và số tiền thiệt hại liên quan:

Trường Đại học Giáo dục Continuum (ECU) (2019): Trong tháng 4 năm 2019, Ryuk Ransomware đã tấn công trường Đại học Giáo dục Continuum (ECU) tại North Carolina, Hoa Kỳ. Cuộc tấn công này khiến ECU phải đóng cửa các hệ thống mạng và hủy bỏ các lớp học trực tuyến, ảnh hưởng nghiêm trọng đến hoạt động của trường. Số tiền tiền chuộc được yêu cầu từ ECU không được tiết lộ công khai.

Công ty cấp nước của Baltimore (2019): Trong tháng 5 năm 2019, Ryuk Ransomware đã tấn công công ty cấp nước của Baltimore, Maryland, Hoa Kỳ. Cuộc tấn công này đã làm cho hệ thống thanh toán và hệ thống cung cấp nước trở nên không thể sử dụng, gây ra thiệt hại lớn cho công ty và người dân. Số tiền tiền chuộc được yêu cầu từ công ty cấp nước của Baltimore lên tới khoảng 18 triệu USD.

Công ty dầu khí PDVSA của Venezuela (2019): Vào tháng 11 năm 2019, Ryuk Ransomware đã tấn công Công ty dầu khí PDVSA của Venezuela, một công ty quốc gia chịu trách nhiệm sản xuất dầu và đóng góp lớn cho ngân sách quốc gia. Cuộc tấn công này đã làm cho hệ thống sản xuất dầu của PDVSA bị gián đoạn và yêu cầu số tiền tiền chuộc lên tới hàng triệu USD.

3. Ryuk Ransomware và các bước tấn công.

Ryuk Ransomware là một loại ransomware nguy hiểm, nó đã gây ra nhiều cuộc tấn công lớn và là một trong những mối đe dọa nghiêm trọng đối với các tổ chức và doanh nghiệp trên toàn thế giới. Dưới đây là một số bước tấn công phổ biến mà Ryuk Ransomware thường thực hiện:

Phishing Email: Cuộc tấn công thường bắt đầu bằng việc gửi một email giả mạo đến nạn nhân. Email có thể được thiết kế để giả vờ như một email hợp pháp từ một nguồn đáng tin cậy, chẳng hạn như một công ty hoặc tổ chức. Nội dung email thường chứa các lời kêu gọi người dùng thực hiện hành động cụ thể, như nhấp vào một liên kết hoặc tải xuống một tệp đính kèm.

Tải xuống mã độc và lây nhiễm đầu tiên (Loader): Khi nạn nhân nhấp vào liên kết hoặc tải xuống tệp đính kèm, mã độc (thường là mã độc trước như TrickBot hoặc Emotet) sẽ được tải xuống và chạy trên hệ thống nạn nhân. Mã độc trước thường sẽ tiến hành thu thập thông tin và tạo lỗ hổng để cho phép Ryuk Ransomware lây nhiễm vào hệ thống một cách hiệu quả hơn.

Xâm nhập vào hệ thống: Khi đã lây nhiễm trên hệ thống mục tiêu, Ryuk Ransomware bắt đầu xâm nhập vào các hệ thống và thiết bị khác trong mạng nội bộ của nạn nhân để lan rộng cuộc tấn công. Điều này giúp nó truy cập vào nhiều dữ liệu và hệ thống quan trọng hơn để mã hóa.

Lấy quyền quản trị và đặt quyền đọc/ghi: Ryuk Ransomware sẽ cố gắng lấy quyền quản trị hoặc đặt quyền đọc/ghi vào các hệ thống và tệp quan trọng. Điều này giúp nó mã hóa dữ liệu quan trọng một cách nhanh chóng và hiệu quả.

Mã hóa dữ liệu: Sau khi đã thu thập đủ thông tin và lấy được quyền truy cập phù hợp, Ryuk Ransomware tiến hành mã hóa dữ liệu quan trọng của nạn nhân bằng mật mã mạnh. Các loại tệp như văn bản, hình ảnh, tài liệu, cơ sở dữ liệu, và tệp cơ bản khác sẽ được mã hóa, trở nên không thể truy cập và sử dụng.

Hiển thị thông báo chuộc và yêu cầu chuộc: Sau khi mã hóa dữ liệu, Ryuk Ransomware sẽ hiển thị một thông báo chuộc trên máy tính của nạn nhân. Thông báo này thông báo về việc dữ liệu đã bị mã hóa và yêu cầu nạn nhân trả tiền chuộc bằng tiền điện tử (thường là Bitcoin) để nhận được khóa giải mã và phục hồi dữ liệu.

Quản lý tiến trình trả tiền chuộc: Kẻ tấn công sẽ cung cấp hướng dẫn và thông tin liên lạc, thường thông qua địa chỉ email hoặc các dịch vụ truyền thông mã hóa, để quản lý việc trả tiền chuộc và giải mã dữ liệu sau khi nhận tiền chuộc.

4. Một số cách bảo vệ khỏi tấn công Ryuk Ransomware.

Để bảo vệ hệ thống của bạn trước Ryuk Ransomware và các loại ransomware khác, hãy thực hiện các biện pháp bảo mật mạnh mẽ. Dưới đây là một số cách bảo vệ trước Ryuk Ransomware:

Cập nhật hệ thống và phần mềm: Đảm bảo rằng hệ thống và phần mềm trên máy tính và mạng của bạn được cập nhật đầy đủ. Các bản vá và bản vá bảo mật thường chứa các sửa lỗi lỗ hổng bảo mật, giúp ngăn chặn các cuộc tấn công sử dụng các lỗ hổng này.

Sử dụng phần mềm bảo mật: Cài đặt phần mềm bảo mật mạnh mẽ và có đủ tính năng để ngăn chặn ransomware và các loại mã độc khác. Phần mềm bảo mật nên có chức năng nhận diện và ngăn chặn các phần mềm độc hại trước khi chúng có thể gây hại.

Hạn chế quyền truy cập: Giới hạn quyền truy cập đối với các tài khoản người dùng. Không cho phép tài khoản người dùng thông thường có quyền truy cập đầy đủ vào các tệp và thư mục quan trọng. Thay vào đó, chỉ cấp quyền truy cập cần thiết cho từng người dùng.

Sao lưu dữ liệu thường xuyên: Thực hiện sao lưu dữ liệu thường xuyên và lưu trữ nó ở nơi an toàn, nằm ngoài mạng của bạn. Nếu hệ thống của bạn bị tấn công bởi Ryuk Ransomware, bạn có thể khôi phục dữ liệu từ sao lưu mà không cần trả tiền chuộc.

Chuẩn hóa chính sách an toàn: Xây dựng và áp dụng chính sách an toàn chi tiết cho toàn bộ mạng và hệ thống của bạn. Đảm bảo tất cả nhân viên đều được đào tạo về các mối nguy hiểm từ các cuộc tấn công ransomware và biện pháp phòng ngừa.

Kiểm tra và phát hiện mã độc: Thường xuyên kiểm tra hệ thống của bạn để phát hiện sớm các mã độc trước như TrickBot và Emotet. Một số phần mềm bảo mật sẽ cung cấp các công cụ phát hiện sớm mã độc này và giúp ngăn chặn cuộc tấn công của Ryuk Ransomware.

Tạo phản hồi khẩn cấp: Chuẩn bị sẵn sàng kế hoạch phản hồi khẩn cấp để đối phó với các cuộc tấn công ransomware. Điều này bao gồm việc cách ly hệ thống bị nhiễm và thông báo ngay lập tức cho nhóm bảo mật để xử lý tình huống.

5. Giải pháp bảo mật Sophos Endpoint.

Sophos Endpoint là một phần của giải pháp bảo mật của Sophos và được thiết kế để bảo vệ hệ thống khỏi nhiều mối đe dọa, bao gồm Ryuk Ransomware. Dưới đây là một số cách mà Sophos Endpoint bảo vệ khỏi Ryuk Ransomware:

Phát hiện và chặn mã độc (Malware): Sophos Endpoint sử dụng các công nghệ phát hiện và chặn mã độc trước như máy học (machine learning) và heuristic để ngăn chặn các mã độc trước như TrickBot và Emotet từ xâm nhập vào hệ thống của bạn. Điều này giúp ngăn chặn sự lan truyền của Ryuk Ransomware trong hệ thống.

Phát hiện và ngăn chặn Ransomware (Ransomware Detection and Blocking): Sophos Endpoint có khả năng phát hiện và ngăn chặn các hoạt động liên quan đến ransomware, bao gồm việc mã hóa tập tin và tạo các thông báo chuộc. Nếu phát hiện hành vi tương tự Ryuk Ransomware, Sophos Endpoint sẽ ngăn chặn hoạt động đó và báo cáo cho người quản trị hệ thống.

Hệ thống phòng chống xâm nhập (Intrusion Prevention System – IPS): Sophos Endpoint sử dụng IPS để ngăn chặn các cuộc tấn công từ xa, bao gồm các cuộc tấn công thử và lỗi (brute force) vào giao thức RDP. Điều này giúp ngăn chặn Ryuk Ransomware và các mã độc khác từ việc xâm nhập vào hệ thống qua các lỗ hổng bảo mật.

Bảo vệ trình duyệt (Web Protection): Sophos Endpoint bảo vệ trình duyệt của bạn khỏi các trang web độc hại và các tệp đính kèm độc hại trong email, giúp ngăn chặn các hình thức phổ biến của tấn công ransomware, bao gồm các cuộc tấn công spear-phishing.

Extended Detection and Response – XDR: Sophos Endpoint cung cấp chức năng XDR cho phép bạn theo dõi và phân tích hoạt động của hệ thống. Điều này giúp phát hiện sớm các hoạt động bất thường có thể liên quan đến Ryuk Ransomware và cho phép bạn phản ứng kịp thời.

Cập nhật định kỳ: Phần mềm Sophos Endpoint được cập nhật định kỳ để bảo đảm tính hiệu quả và đáng tin cậy trong việc ngăn chặn các mối đe dọa mới, bao gồm các phiên bản mới của Ryuk Ransomware.