Theo các báo cáo từ Hãng bảo mật Trend Micro thì kế hoạch của những cuộc tấn công này bao gồm 2 giai đoạn.
- · Đầu tiên, thiết bị người dùng bị nhiễm một phần mềm độc hại, nó sẽ mã hóa các tập tin của người dùng khiến họ không còn có thể truy cập vào chúng được nữa.
- · Sau đó, người dùng được thông báo một khoản phải trả thông qua một hình ảnh tự động xuất hiện trên màn hình của thiết bị. Báo nạn nhân chỉ có một khoảng thời gian giới hạn để trả tiền chuộc trước khi dữ liệu thiết bị sẽ bị xóa sạch hay các tập tin người dùng sẽ bị xóa.
Trong những tuần gần đây, cá nhà nghiên cứu từ Trend Micro đã ghi nhận được những xu hướng kế hoạch tấn công mới của ransomware khiến những cuộc tấn công ngày này càng khó để ngăn chặn và phát hiện.
Sự phát triển của ransomware
Tom Kellermann, giám đốc an ninh mạng của hãng bảo mật Trend Micro cho biết: "Ransomware đang trên đà hưng thịnh khi mà cộng đồng tội phạm nhận thấy khả năng tồn tại mạnh của nó và thật dễ dàng để chia sẻ các ransomware. Sự phát triển đáng lo ngại nhất là sự chuyển hướng đến ransomware trên di động”.
Trong tháng 5 năm 2014, các nhà nghiên cứu bảo mật đã cảnh báo về một loại tấn công bằng ransomware mới đang nhắm vào các nhân viên và khách hàng của các tổ chức ngân hàng ở châu Âu. Cuộc tấn công này đã được lan truyền đến các thiết bị di động thông qua một Trojan ngân hàng tên là Svpeng. Hiện nay, các cuộc tấn công tiến hành chống lại các hệ điều hành Windows và Android đã tiếp tục lan rộng.
Miller nói thêm, nhưng điều này tùy thuộc từng công ty trong việc giáo dục nhân viên của mình về việc làm thế nào để xác định một cuộc tấn công ransomware trước khi bị trở thành nạn nhân của nó.
Vì sao ransomware thật sự nguy hiểm
Thay vì nhắm mục tiêu vào các tập tin người dùng tại nhà, như đã từng phổ biến trong năm 2012 và 2013, các cuộc tấn công mới nổi vào cuối năm 2014 và Quý 1 của 2015 bắt đầu hướng mục tiêu vào các tài sản của doanh nghiệp bằng cách mã hóa các tập tin cơ sở dữ liệu và các hệ thống lưu trữ chia sẻ của doanh nghiệp. Điều này là cực kỳ nguy hiểm đối với một mạng doanh nghiệp, vì nó có khả năng hủy hoại một doanh nghiệp nếu họ không có những bản sao lưu dự phòng".
Randy Abrams, giám đốc nghiên cứu của hãng tình báo hiểm họa mạng (cyberthreat intelligence) NSS Labs, các chủng phần mềm độc hại được sử dụng trong các cuộc tấn công ransomware đang ngày càng rình rập hơn. Và cũng như Horne, ông cho biết phương thức mã hóa mà các tin tặc đang sử dụng để khóa các tập tin đang ngày càng khó để có thể giải mã.
"Ransomware cũ đã dùng những kỹ thuật mã hoá mà có thể bị bẻ khóa", Abrams nói. "Nhưng ransomware hiện nay thì không còn như vậy nữa".
Ransomware có thể gây hại nghiêm trọng đến những nạn nhân không có các bản sao lưu dữ liệu hoặc không sao lưu vào các ổ đĩa cục bộ hoặc kết nối mạng, ông nói. "Các dịch vụ sao lưu trực tuyến, chẳng hạn như Carbonite, là rất hữu ích. Nhưng người dùng phải chắc chắn rằng các loại tập tin cũng đã được sao lưu".
Một mối de dọa đang lớn dần
Việc sử dụng các ransomware đang lan rộng vì các cuộc tấn công này đem lại nhiều lợi ích cho tội phạm mạng bởi vì chúng có thể thu được số chi trả lớn, và các ransomware trên Windows có ở khắp nơi, nó rất hiệu quả và rất phổ biến.
CryptoLocker là loại ransomware đầu tiên được chú ý đến, và những quan sát của bọn tội phạm về những thiệt hại mà CryptoLocker đã gây ra khiến chúng nhận ra rằng những lợi ích mà ransomware có thể đem lại cho chúng là rất lớn