MITRE ATT&CK® Evaluations giúp các tổ chức hiểu rõ hơn về hiệu quả của các giải pháp EDR và XDR trong việc bảo vệ trước các cuộc tấn công phức tạp qua nhiều giai đoạn.

Trong đánh giá mới nhất, Sophos XDR đã đạt được:

• Mức đánh giá cao nhất (‘Technique’) cho 100% các hoạt động tấn công có chủ đích (sub-steps) trong các kịch bản ransomware trên Windows và Linux.
• Mức đánh giá cao nhất (‘Technique’) cho 78 trong số 80 bước phụ tổng thể qua ba kịch bản tấn công toàn diện.
• ‘Analytic coverage’ cho 79 trong số 80 bước phụ (99%).

MITRE ATT&CK® Evaluations là một trong những bài kiểm tra bảo mật độc lập uy tín nhất thế giới. Chúng mô phỏng lại các chiến thuật, kỹ thuật và quy trình (“TTPs”) được sử dụng bởi các nhóm đối tượng tấn công thực tế và đánh giá khả năng phát hiện, phân tích và mô tả mối đe dọa của các nhà cung cấp tham gia.

Vòng 6 tập trung vào hành vi của ba nhóm đe dọa:

1 – Cộng hòa Dân chủ Triều Tiên (DPRK): Mô phỏng các hành vi nhắm vào macOS thông qua hoạt động nhiều giai đoạn, bao gồm leo thang quyền hạn và đánh cắp thông tin đăng nhập.

2 – Ransomware (CL0P và LockBit): Đánh giá mô phỏng các hành vi phổ biến trong các chiến dịch sử dụng phần mềm CL0P và LockBit Ransomware, bao gồm việc lạm dụng các công cụ hợp pháp và vô hiệu hóa các dịch vụ quan trọng.

Sophos đạt được bao phủ ‘kỹ thuật’ một cách đầy đủ với mức đánh giá cao nhất — 78 trong tổng số 80 hoạt động tấn công có chủ đích.

Việc phát hiện chất lượng là yếu tố then chốt giúp các nhà phân tích bảo mật điều tra và phản ứng nhanh chóng.

Biểu đồ bên dưới so sánh số bước phụ tạo ra để phát hiện và cung cấp thông tin chi tiết về hành vi tấn công (phạm vi phân tích) và số bước phụ đạt được đầy đủ phạm vi cấp độ ‘kỹ thuật’ cho từng nhà cung cấp tham gia.

Đánh giá bao gồm 80 dấu hiệu tấn công có chủ đích (các bước phụ) trong ba kịch bản tấn công.

Kịch bản 1: DPRK (macOS)

Triều Tiên đã trở thành một mắi đe dọa của không gian mạng nguy hiểm. Trong kịch bản này, nhóm MITRE sử dụng backdoor từ một cuộc tấn công chuỗi cung ứng, theo sau là duy trì, khám phá, truy cập thông tin đăng nhập, và truy xuất các tài liệu quan trọng trên macOS.

• 4 bước | 21 bước phụ | Chỉ macOS
• Sophos XDR đã phát hiện và cung cấp phân tích chi tiết cho 20 trong 21 (95%¹) bước phụ.
• 19 bước phụ được phân loại ở mức ‘kỹ thuật’ — mức đánh giá cao nhất có thể.

Kịch bản 2: Ransomware CL0P (Windows)

CL0P là một dòng ransomware hoạt động từ ít nhất năm 2019, gắn liền với nhóm tấn công TA505. MITRE đã mô phỏi các chiến thuật tấn công như tránh phát hiện, duy trì và khai thác thông tin trước khi triển khai ransomware.

• 4 bước | 19 bước phụ | Chỉ Windows
• Sophos XDR đã phát hiện và đạt 100% mức bao phủ ‘technique’ cho các bước nhỏ.

Kịch bản 3: Ransomware LockBit (Windows & Linux)

LockBit hoạt động theo hình thức Ransomware-as-a-Service (RaaS), khai thác các công cụ tinh vi để trộm dữ liệu và mã hoá hệ thống.

• 8 bước | 40 bước phụ | Windows và Linux
• Sophos XDR đạt 100% mức bao phủ ‘technique’ cho các bước phụ.

Sophos tham gia các bài đánh giá MITRE nhằm khẳng định vị thế trong ngành và cóp phần tăng cường khả năng bảo vệ cho tất cả tổ chức.

Có tổng cộng 19 nhà cung cấp tham gia đánh giá lần này:

Human-Operated Ransomware, còn được gọi là Ransomware do con người điều khiển, là một loại ransomware được thực hiện và điều khiển bởi các hacker hoặc nhóm hacker thực sự, chứ không phải chỉ dựa vào mã độc tự động và tự động hóa.

Trong trường hợp của Ransomware do con người điều khiển, các hacker hoặc nhóm hacker thường tấn công các mạng hoặc hệ thống mục tiêu bằng cách thâm nhập và tiếp cận hệ thống bằng các kỹ thuật tấn công mạng như phishing, lừa đảo qua email, sử dụng mã độc để xâm nhập, hoặc khai thác các lỗ hổng bảo mật đã biết. Khi họ thâm nhập vào hệ thống mục tiêu, họ sẽ tiến hành một cách thủ công và có chủ đích để tiến hành cuộc tấn công ransomware, đòi tiền chuộc từ nạn nhân.

2. Quá trình tấn công Human-Operated Ransomware.

Các bước chính trong quá trình thực hiện Ransomware do con người điều khiển có thể bao gồm:

Phát hiện mục tiêu: Hacker tiến hành tìm kiếm các mục tiêu tiềm năng, thường là các doanh nghiệp, tổ chức hoặc cơ quan có giá trị cao và dữ liệu quan trọng.

Xâm nhập: Sau khi tìm thấy mục tiêu, hacker sử dụng các kỹ thuật xâm nhập để tiếp cận hệ thống mục tiêu. Điều này có thể bao gồm tấn công vào mạng bằng cách sử dụng các phương pháp tấn công mạng như brute-force, sử dụng mã độc hoặc lỗ hổng bảo mật đã biết để tấn công.

Phân tích và lựa chọn dữ liệu quan trọng: Sau khi xâm nhập thành công vào hệ thống, hacker tiến hành phân tích và lựa chọn các tệp và dữ liệu quan trọng mà họ muốn mã hóa để yêu cầu tiền chuộc.

Mã hóa dữ liệu: Hacker sẽ mã hóa các tệp và dữ liệu đã chọn sử dụng một phương pháp mã hóa mạnh, làm cho chúng không thể truy cập được cho đến khi tiền chuộc được trả.

Yêu cầu tiền chuộc: Sau khi hoàn thành việc mã hóa, hacker sẽ gửi yêu cầu tiền chuộc đến nạn nhân, thông qua thông điệp rõ ràng và hướng dẫn cụ thể về cách trả tiền chuộc để nhận khóa giải mã.

Đàm phán và nhận tiền chuộc: Nếu nạn nhân chấp nhận trả tiền chuộc, hacker sẽ thường thực hiện các hoạt động đàm phán để đảm bảo tiền chuộc được trả và cung cấp phương tiện giải mã để giải mã dữ liệu đã bị mã hóa.

Ransomware do con người điều khiển thường gây ra những thiệt hại lớn, vì nó kết hợp cả kỹ thuật xâm nhập mạng và một cách tiếp cận tự động hóa bám theo để mã hóa dữ liệu và đòi tiền chuộc. Điều này khiến việc phát hiện và ngăn chặn nó trở nên khó khăn hơn so với các dạng ransomware tự động.

3. Vì sao xu hướng Human-Operated Ransomware ngày càng tăng.

Có một số lý do chính giải thích tại sao xu hướng Human-Operated Ransomware ngày càng tăng:

Lợi nhuận cao: Ransomware do con người điều khiển thường tập trung vào các tổ chức, doanh nghiệp có giá trị cao hoặc cơ quan chính phủ, nhắm vào việc mã hóa dữ liệu quan trọng và yêu cầu tiền chuộc lớn. Vì các tổ chức này có khả năng trả tiền chuộc lớn hơn, nên hacker có thể kiếm được nhiều lợi nhuận hơn từ việc thực hiện các cuộc tấn công này.

Sự khó kiểm soát: Ransomware do con người điều khiển thường rất khó phát hiện và phòng ngừa bởi các giải pháp bảo mật tự động truyền thống. Do người hacker thực hiện thủ công và có thể tùy chỉnh cuộc tấn công cho mỗi mục tiêu cụ thể, các hành vi của ransomware có thể trông giống như các hoạt động bình thường trên hệ thống, tránh nhận diện dễ dàng bởi các giải pháp bảo mật dựa trên chữ ký hoặc mã hóa.

Tập trung vào lừa đảo và xâm nhập: Những hacker thực hiện ransomware do con người điều khiển thường tập trung vào việc lừa đảo và xâm nhập vào hệ thống mục tiêu thay vì lây lan rộng rãi. Họ thường tấn công các mục tiêu có giá trị cao với sự chuẩn bị kỹ lưỡng, bằng cách sử dụng các kỹ thuật xâm nhập mạng tinh vi và tùy chỉnh cuộc tấn công cho từng mục tiêu cụ thể, làm cho nó khó bị phát hiện và ngăn chặn.

Khai thác lỗ hổng bảo mật: Ransomware do con người điều khiển thường khai thác các lỗ hổng bảo mật đã biết trong các hệ thống và ứng dụng để tiếp cận mục tiêu. Các hacker sử dụng các công cụ tùy chỉnh để thâm nhập vào mạng và hệ thống mục tiêu, giúp họ tránh bị phát hiện bởi các giải pháp bảo mật tự động truyền thống.

Mô hình kinh doanh có cấu trúc: Một số tổ chức phạm pháp và hacker lừa đảo thậm chí đã phát triển các mô hình kinh doanh có cấu trúc xung quanh việc triển khai ransomware do con người điều hành. Họ cung cấp dịch vụ tấn công ransomware dưới dạng “Ransomware as a Service” (RaaS), giúp các hacker không có kỹ năng kỹ thuật đầy đủ cũng có thể tham gia vào cuộc chơi này.

Những lý do trên đã tạo ra sự gia tăng của xu hướng ransomware do con người điều hành, khiến nó trở thành một mối đe dọa ngày càng nghiêm trọng đối với các tổ chức và doanh nghiệp trên toàn cầu.

4. Sự khác nhau giữa Human-Operated Ransomware và Traditional Ransomware.

Human-Operated Ransomware và Traditional Ransomware là hai loại ransomware có sự khác biệt về cách thức thực hiện và hoạt động. Dưới đây là sự so sánh giữa hai loại ransomware này:

4.1 Human-Operated Ransomware.

Đặc điểm: Ransomware do con người điều hành được thực hiện và điều hành bởi các hacker hoặc nhóm hacker thực sự, có khả năng thực hiện các cuộc tấn công ransomware mục tiêu, thủ công và có chủ đích.

Tiến trình tấn công: Hacker thâm nhập vào mạng hoặc hệ thống mục tiêu bằng cách sử dụng các kỹ thuật tấn công mạng như phishing, lừa đảo qua email, sử dụng mã độc để xâm nhập, hoặc khai thác các lỗ hổng bảo mật đã biết. Sau đó, họ tiến hành mã hóa dữ liệu và đòi tiền chuộc từ nạn nhân.

Đặc điểm chung: Ransomware do con người điều khiển thường tấn công các tổ chức và doanh nghiệp có giá trị cao, và chú trọng vào việc mã hóa các dữ liệu quan trọng và nhạy cảm để đòi tiền chuộc lớn.

4.2 Traditional Ransomware.

Đặc điểm: Ransomware truyền thống là các loại ransomware tự động và tự lan truyền mà không yêu cầu sự can thiệp thủ công của hacker. Chúng được lập trình để tự động phát hiện và mã hóa các tệp trên máy tính của nạn nhân.

Tiến trình tấn công: Ransomware truyền thống thường lan truyền qua email độc hại, các trang web độc hại, hoặc lợi dụng các lỗ hổng bảo mật trên máy tính. Khi nạn nhân mở một tệp hoặc truy cập vào một trang web độc hại, ransomware sẽ tự động phát hiện và bắt đầu mã hóa các tệp.

Đặc điểm chung: Ransomware truyền thống thường lây lan rộng rãi và tấn công ngẫu nhiên nhiều máy tính, với mục tiêu là thu thập tiền chuộc từ số lượng lớn nạn nhân, thường là bằng cách yêu cầu số tiền nhỏ để dễ dàng nắm bắt.

Tóm tắt:

Human-Operated Ransomware được thực hiện và điều hành bởi các hacker hoặc nhóm hacker thực sự, với các cuộc tấn công mục tiêu và thủ công.

Traditional Ransomware là các loại ransomware tự động và tự lan truyền, không yêu cầu sự can thiệp thủ công của hacker và thường tấn công ngẫu nhiên nhiều máy tính.

5. Human-Operated Ransomware nổi tiếng “Ryuk”.

Ryuk là một trong những ví dụ điển hình về Human-Operated Ransomware, được thực hiện bởi những hacker chuyên nghiệp với mục tiêu chính là tấn công vào các tổ chức, doanh nghiệp có giá trị cao và yêu cầu số tiền chuộc lớn.

Mô tả: Ryuk là một loại ransomware do con người điều hành đã xuất hiện vào cuối năm 2018 và nhanh chóng trở thành một trong những mối đe dọa lớn đối với các tổ chức và doanh nghiệp trên toàn cầu. Được cho là do một nhóm hacker chuyên nghiệp từ Nga hoặc Bắc Triều Tiên điều hành, Ryuk đã gây ra hàng triệu đô la thiệt hại trong việc yêu cầu tiền chuộc từ các nạn nhân.

Cách thực hiện: Ryuk thường bắt đầu tấn công bằng cách xâm nhập vào hệ thống mục tiêu thông qua email độc hại hoặc sử dụng các lỗ hổng bảo mật đã biết. Sau khi xâm nhập thành công vào mạng, nhóm hacker thực hiện các bước sau:

Thu thập thông tin: Hacker thu thập thông tin chi tiết về hệ thống, mạng, người dùng và tệp dữ liệu của nạn nhân.

Lựa chọn mục tiêu: Dựa vào thông tin thu thập được, hacker quyết định các tệp và dữ liệu quan trọng mà họ muốn mã hóa để yêu cầu tiền chuộc.

Mã hóa dữ liệu: Hacker sử dụng một mã hóa mạnh để mã hóa các tệp và dữ liệu quan trọng đã chọn, khiến chúng không thể truy cập được cho đến khi tiền chuộc được trả.

Yêu cầu tiền chuộc: Sau khi hoàn thành việc mã hóa, hacker gửi thông điệp yêu cầu tiền chuộc đến nạn nhân thông qua email hoặc thông qua thông báo trên màn hình máy tính. Trong thông điệp, họ cung cấp hướng dẫn cụ thể và địa chỉ ví tiền điện tử để nạn nhân trả tiền chuộc.

Đàm phán và giao dịch: Nếu nạn nhân chấp nhận trả tiền chuộc, hacker thường thực hiện cuộc đàm phán để đảm bảo tiền chuộc được trả và cung cấp khóa giải mã để giải mã dữ liệu đã bị mã hóa.

6. Giải pháp bảo mật của Sophos.

Sophos, một trong những nhà cung cấp hàng đầu về an ninh mạng và bảo mật, cung cấp nhiều giải pháp để ngăn chặn Human-Operated Ransomware và các loại ransomware khác. Dưới đây là một số giải pháp của Sophos để đối phó với Human-Operated Ransomware:

Sophos Intercept X with XDR (Extended Detection and Response): Đây là một giải pháp bảo mật tiên tiến dựa trên trí tuệ nhân tạo và học máy. Intercept X with EDR giám sát và phân tích các hoạt động của hệ thống mạng và các thiết bị kết nối để phát hiện các hành vi đáng ngờ của ransomware, bao gồm cả Human-Operated Ransomware. Nó cung cấp các cảnh báo và báo cáo chi tiết để ngăn chặn và xử lý các cuộc tấn công.

Sophos XG Firewall: Sophos XG Firewall là một giải pháp tường lửa mạng mạnh mẽ với nhiều tính năng bảo vệ chống ransomware và các mối đe dọa khác. Nó sử dụng công nghệ Deep Learning để phát hiện các mẫu ransomware mới và không xác định.

Sophos Email Gateway: Giải pháp Sophos Email Gateway giúp ngăn chặn email chứa ransomware và các tệp độc hại khác từ tiếp cận hộp thư đến các người dùng. Nó sử dụng công nghệ chống phishing, kiểm tra dữ liệu đính kèm và các chữ ký để phát hiện và chặn các cuộc tấn công ransomware qua email.

Sophos Server Protection: Giải pháp bảo vệ máy chủ của Sophos giám sát và bảo vệ các máy chủ chạy trên nền tảng Windows và Linux khỏi ransomware và các mối đe dọa độc hại khác. Nó cung cấp tường lửa ứng dụng, giám sát lưu lượng mạng và phân tích hành vi đáng ngờ.

Sophos Mobile Security: Đối với các thiết bị di động, Sophos Mobile Security giúp ngăn chặn các ứng dụng độc hại và ransomware từ tiếp cận và tấn công thiết bị di động.

Sophos Managed Threat Response (MTR): Đây là một dịch vụ bảo mật g manageời độc lập dựa trên chuyên gia của Sophos. Nó giúp theo dõi và phản ứng nhanh chóng đối với các cuộc tấn công ransomware và giúp khôi phục dữ liệu nếu cần thiết.