Mã độc tống tiền hay còn gọi là Ransomware, là một trong những phương thức tấn công nguy hiểm nhất được các Hacker lựa chọn với mục đích tống tiền nạn nhân và kể từ lần đầu tiên được ghi nhận cho đến ngày nay chúng đã liên tục tiến hóa, không ngừng thay đổi hình thái để vượt qua các giải pháp an ninh mạng trên thế giới.
Từ mã độc fakeAV đầu tiên, cho đến mã độc Police, và gần đây nhất là crypto-ransomware… Về cơ bản, các mối đe dọa này mặc dù đã được ngăn chặn nhưng vẫn không ngừng biến đổi, âm ỉ chờ đợi một cuộc tấn công mới. Theo các chuyên gia bảo mật dự đoán, nửa sau năm 2019 là thời điểm chúng ta nên cảnh giác về mối đe dọa từ các mã độc mới.
Tại trend Micro, chúng tôi vẫn thường xuyên theo dõi cũng như cập nhật những hành vi mới của các mã độc này và sau nhiều năm, chúng tôi đã thấy một số thay đổi từ chúng.
Đây là những cuộc tấn công từ các mã độc được phát hiện qua hệ thống Trend Micro Smart Protection Network:
2016 – 1,078,091,703
2017 – 631,128,278
2018 – 55,470,005
2019 ( Tháng 1 – Tháng 5) - 43,854,210
Số lượng mã độc mới phát hiện qua từng năm:
2016 – 247
2017 – 327
2018 – 222
2019 (Tháng 1 – Tháng 5) – 44
Qua số liệu thống kê, bạn cũng sẽ dàng nhận ra thời điểm hoạt động mạnh nhất của chúng là năm 2016 và 2017 kể cả trong việc phát động tấn công hay liên tục xuất hiện những biến thể mới của các mã độc. Đến năm 2018, có 2 yếu tố đã khiến chúng suy yếu:
1/ Những người sử dụng Internet đã có đề phòng và sao lưu dữ liệu trước, khi bị tấn công, họ chỉ đơn giản là phục hồi dữ liệu hoặc đơn giản là thay ổ cứng mới.
2/ Hệ thống an ninh mạng thế giới đã có sự dè chừng trước sự tấn công, điển hình là việc các công ty lớn trên thế giới đã liên tục cải tiến hệ thống bảo mật, áp dụng công nghệ máy học trí tuệ nhân tạo để liên tục tìm ra cách xử lý các mã độc này.
Tuy nhiên, trong nửa đầu năm 2019 chúng tôi đã ghi nhận được nhiều vụ tấn công với cấu hình cao nhằm mục đích tống tiền các công ty lớn, nhiều nạn nhân trong số đó đã quyết định trả tiền chuộc hoặc phải chấp nhận mất nhiều tuần liền để phục hồi dữ liệu công việc. Các cuộc tấn công đã cảnh báo chúng ta là các Hacker vẫn chưa dừng lại và chúng đã sẵn sàng cho cuộc tấn công mới.
Trend Micro cũng thường xuyên gửi đi các báo cáo hàng năm đến các tổ chức, các công ty lớn để giúp họ phần nào hiểu ra điều gì sắp xảy ra trong tương lại, đồng thời cung cấp cho họ những giải pháp để xử lý nếu điều đó xảy ra. Và đừng chủ quan với những hệ thống phòng vệ sẵn có, bởi hơn ai hết chúng tôi hiểu rõ rằng các mã độc vẫn luôn thay đổi, tiến hóa hàng ngày.
Đối tượng nào đang nằm trong tầm ngắm của các mã độc?
Thay vì chỉ chọn một đối tượng nhất định, những mã độc thường chọn nhiều mục tiêu để phán tán. Các hacker sẽ chọn các công ty bởi vì trong môi trường này, mã độc tống tiền sẽ phát tán cực nhanh và không cần phải giải thích nhiều, các công ty cũng là đối tượng hoàn hảo cho việc trả tiền để lấy lại dữ liệu.
Tổ chức chính phủ, ngành nghề sản xuất, chăm sóc sức khỏe là 3 ngành nghề dính mã độc nhiều hơn bất kỳ ngành nào khác. Các Hacker cũng sử dụng thủ thuật nguồn mở (còn gọi là OSINT), với thủ thuật này chúng sẽ tổng hợp lại thông tin cá nhân của từng nạn nhân, sau đó tiến hành phân tích tổng hợp các thói quen người dùngm thậm chí xác định các mối quan hệ, công ty của người này sau đó mới tiến hành tấn công. Có một số lý do khiến quy trình OSINT này trở nên quan trọng với Hackers:
• Hiểu mô hình kinh doanh của tổ chức và từ đó chọn phương thức gây ảnh hưởng đến hệ thống quan trọng của nạn nhân, qua email, hoặc những cuộc điện thoại v.v.. Sẽ khiến họ thiệt hại về mặt uy tín.
• Nếu nạn nhân có càng nhiều thông tin quan trọng tối bảo mật thì khi bị tấn công bằng Ransomware cụ thể là khóa chiếm đoạt thông tin thì tỉ lệ công ty này sẽ trả tiền chuộc càng cao.
• Hiểu rõ về quy trình bảo mật của nạn nhân sẽ càng dễ lợi dụng họ.
Trong nửa cuối năm 2019, các tin tặc nhất định sẽ tìm cách để tấn công đa dạng hóa hơn nữa vào các ngành công nghiệp có hệ thống kinh doanh lớn, các đợt tấn công lần này có thể nhắm vào cơ sở hạ tầng doanh nghiệp, gây ảnh hưởng nghiêm trọng đến khả năng làm việc, điều phối mặt hàng của công ty nạn nhân.
Một khi đã quyết định lựa chọn nạn nhân, chắc chắn chúng sẽ làm đủ mọi cách để dụ dỗ 1 trong số hàng ngày nhân viên công ty đó Click vào và thế là Ransomware bắt đầu tiến trình lây nhiễm. Các nguy cơ có thể là từ Emal nặc danh, từ các app ứng dụng trên di động hoặc qua máy tính cá nhân cùng hệ thống đường truyền mạng.
Khởi đầu của các cuộc tấn công Ransomware?
Có nhiều trường hợp nhiễm Ransomware đã được Trend Micro chúng tôi ghi nhận trong thời gian gần đây và vẫn ngày càng tang dần theo từng ngày, không ngừng biến đổi để khó bị phát hiện hơn. Chúng tôi còn phát hiện ra họ thường chọn cách lây nhiễm từ các nhân viên của công ty nạn nhân bởi vì đây là đối tượng trẻ và dễ dàng sử dụng các phương tiện trên mạng xã hội, tuy nhiên đó là câu chuyện ở nừa đầu năm 2019, nửa sau đó lại là câu chuyên khác:
1. Các tin tặc đã tạo ra các mã độc mới, cải tiến hoàn toàn so với trước, thậm chí tự động tổng hợp thông tin của nạn nhân cho tiến trình OSINT của chúng.
2. Thậm chí các chuyên gia của chúng tôi còn phát hiện được số lượng thông tin người dùng được bán tràn lan tại các trang Dark web và thậm chí còn rất có giá, đó có thể là cách mà chúng sẽ tấn công đồng loạt.
3. Các thao thác đăng nhập thủ công, hoặc thậm chí những người sử dụng tool hack, tất cả mọi thứ bạn đang nhập trên bàn phím đều có nguy cơ trở thành nạn nhân tiếp theo.
Kỹ thuật Obfuscation được tin tặc lạm dụng rộng rãi
Như đã đề cập ở phần trước, các Ransomware gần đây hiệu quả hơn hẳn nhờ đã cập nhật xu hướng mới thông qua công nghệ trí tuệ nhân tạo kết hợp với các phương thức ăn cắp dữ liệu, Trojan theo dõi người dùng từ trước, áp dụng kỹ thuật Obfuscation để mã hóa mã độc, gây khó hiểu với những người đang đối phó. Không chỉ vậy, chúng còn liên tục được các Hacker cập nhật, nâng cấp phiên bản mới thường xuyên bất chấp sự bảo mật nghiêm ngặt của các công ty lớn.
Tại Trend Micro, chúng tôi còn phát hiện ra rằng để hợp thức hóa cho việc up lên các trang ứng dụng, Hackers còn có thêm thủ thuật giả mạo làm công ty hợp pháp, các chứng chỉ được chúng đánh cắp cũng được sử dụng làm gia tăng khả năng được xét duyệt hoặc làm nó có vẻ rất hợp pháp cho dù nó là phần mềm độc hại.
Chúng tôi cho rằng trong thời gian tới, các Hacker sẽ dùng các Ransomware nhắm vào các nạn nhân có chức vụ cao hơn, do vậy các tổ chức cần phải cảnh giác trong việc chống lại Ransomware trong nửa sau 2019. Lưu ý rằng, chúng sẽ làm mọi cách, mọi thủ đoạn để có thể để chiếm đoạt được máy tính của bạn, từ đó mã hóa toàn bộ máy tính và đòi tiền chuộc.
Trừ khi bạn có quá nhiều tiền để có thể chi trả cho mỗi lần bị mã hóa thông tin, còn không thì hãy phòng chống chúng, nâng cấp ngay hệ thống bảo mật của công ty và bắt đầu nghĩ đến việc tìm cho mình một giải pháp toàn diện cho việc này.