Mã độc mã hoá Ransomware

Theo báo cáo Group-IB về Xu hướng Tội phạm Công nghệ Cao năm 2023/2024, số lượng các sự cố về Data Leak Site (DLS) đã tăng đến 74% so với năm 2022. Qua quá trình phân tích, sự kết nối chặt chẽ giữa các nhóm Ransomware Initial Access Brokers (IABs) được xác định là yếu tố chính thúc đẩy sự gia tăng về số lượng vụ tấn công Ransomware – DLS.

Trước khi thực hiện các cuộc tấn công Ransomware, tội phạm mạng thường cần xâm nhập vào bên trong hệ thống. Việc xâm nhập vào bên trong hệ thống thường nhờ khai thác các lỗ hổng trên các bề mặt như web, email, thiết bị mạng, remote access hoặc từ các tài khoản đã bị lộ lọt. Thực tế cho thấy các nhóm tội phạm mạng thường hợp tác với nhau trong một vụ tấn công; ví dụ, có nhóm chuyên tấn công khai thác truy cập (Initial Access Broker – IABs) hoặc các nhóm botnet chiếm quyền điều khiển các thiết bị đầu cuối sẽ bán thông tin truy cập, backdoor cho các nhóm ransomware xâm nhập để thực hiện cuộc tấn công.

Quan sát hành vi chung của các cuộc tấn công Ransomware cho thấy trước khi thực hiện việc mã hóa dữ liệu, các nhóm Ransomware thường tìm cách xâm nhập vào các hệ thống backup để tấn công, làm cho nạn nhân không thể khôi phục được dữ liệu. Ransomware thường đi kèm với Data Leak Site (DLS) để công khai dữ liệu của khách hàng mà nhóm tội phạm thu thập được. Do đó, ngoài việc gây gián đoạn dịch vụ bằng mã hoá dữ liệu – việc lộ lọt thông tin nhạy cảm sau tấn công cũng là một khía cạnh mà các cuộc ransomware nhắm tới nhưng thường bị nạn nhân bỏ qua.

Sự phát triển của trí tuệ nhân tạo (AI) cũng làm cho Ransomware trở nên tinh vi hơn và khó để phát hiện. Các công cụ như WolfGPT, DarkBARD, FraudGPT hoặc WormGPT giúp tội phạm có thể tạo ra nhiều mã độc mà tránh được sự phát hiện các công cụ và hệ thống truyền thống (như AV, SIEM). Do đó, việc phát hiện ra dấu hiệu các cuộc tấn công Ransomware bị hạn chế. Nạn nhân thường chỉ phát hiện khi Ransomware được thực thi và mã hoá dữ liệu ở quy mô lớn.

Để đối mặt với các chiến dịch Ransomware, cần thực hiện những gì?

Trước cuộc tấn công: Biết địch biết ta – Trăm trận trăm thắng. o Biết địch:

  • ▪  Xây dựng Threat Landscape để giám sát hành vi các nhóm tội phạm mạng, cập nhật thường xuyên các hoạt động, thông tin và IoCs của các nhóm Ransomware có thể tấn công Việt Nam (như Lockbit, ALPHV, Mallox,…) và các nhóm IABs (như Infamous, IntelBroker,…).
  • ▪  Theo dõi hoạt động của các Initial Access Brokers (IABs) thông qua nền tảng về Threat Intelligence:

• Theo dõi thông tin trên các nền tảng Darkweb/IM về việc bán truy cập.

• Theo dõi các tài khoản đã bị lộ, đặc biệt là các tài khoản truy cập vào hệ thống quan trọng.

o Biết ta:

  • ▪  Đào tạo về nhận thức an ninh mạng mặc dù là một hành động nhỏ nhưng rất quan trọng để ngăn chặn các cuộc tấn công lớn. Đôi khi, một cuộc tấn công lớn gây ảnh hưởng nghiêm trọng chỉ xuất phát từ một cú click chuột của một cá nhân.
  • ▪  Chủ động giám sát các bề mặt tấn công:
    • Chủ động giám sát các mặt phẳng tấn công bên ngoài (lỗ hổng, điểm yếu có thể bị khai thác) bằng Attack Surface Management.
    • Thực hiện kiểm tra lỗ hổng bảo mật (Vulnerabilities Assessment), kiểm thử xâm nhập (Pentesting) hoặc Redteaming với hạ tầng hệ thống, đặc biệt là các hạ tầng hệ thống công khai.
  • ▪  Thực hiện đánh giá định kỳ, truy tìm dấu vết của tội phạm mạng trong hệ thống bằng dịch vụ Compromises Assessment để đảm bảo an toàn cho hệ thống mạng.
  • ▪  Thực hiện đánh giá sự sẵn sàng của đơn vị để ứng phó với các sự cố thông qua Incident Response Readiness Assessment với 03 khía cạnh cho An toàn thông tin (Con người – Quy trình/Playbook – Công cụ). Xây dựng Playbook để ứng cứu với từng loại sự cố, đặc biệt là Ransomware là một việc rất quan trọng, giúp tối ưu hoá thời gian xử lý khi sự cố phát sinh, giảm thiệt hại về uy tín của đơn vị.
  • ▪  Cần phải ưu tiên việc xây dựng quy trình về đảm bảo tính liên tục dịch vụ và backup dữ liệu. Lưu ý kết nối của hệ thống backup cũng phải được cách ly với hệ thống production để tránh việc lây lan của ransomware.
  • ▪  Các giải pháp phân tích sâu về hành vi như EDR (Endpoint Detection & Response), XDR (Extended Detection & Response) hay BEP (Business Email Protection) sẽ giúp phát hiện sớm được các dấu hiệu về tấn công Ransomware, thích nghi với các kỹ thuật mới của tội phạm mạng.

Trong cuộc tấn công:

  • ▪  Tuân thủ quy trình/playbook xử lý sự cố về Ransomware, phối hợp với các chuyên gia xử lý Ransomware để cô lập, xử lý và khôi phục một cách nhanh chóng. Dịch vụ Incident Response Retainer sẽ giúp đơn vị có được sự hỗ trợ của đội ngũ chuyên gia giúp việc xử lý sự cố được thực hiện nhanh chóng – chính xác – hiệu quả.
  • ▪  Một khuyến nghị quan trọng khi xảy ra sự cố về ransomware là tuyệt đối không nên trả tiền chuộc. Một vài trường hợp thực tế cho thấy ngay cả khi đã trả tiền chuộc, dữ liệu cũng không thể khôi phục được. Hơn nữa, việc trả tiền chuộc sẽ tạo ra tiền lệ cho các nhóm tội phạm mạng khác, có thể dẫn đến nhiều cuộc tấn công hơn đối với nạn nhân trong tương lai. Nói cách khác, việc trả tiền chuộc cho các nhóm ransomware sẽ khích lệ thêm nhiều hacker tham gia vào các cuộc tấn công ransomware. Hành động nên làm nhất nếu đơn vị trở thành nạn nhân của một cuộc tấn công Ransomware là liên hệ ngay với đội ngũ chuyên gia phản ứng sự cố để có hướng xử lý phù hợp nhất.

Sau cuộc tấn công:

  • ▪  Phân tích dấu vết số (Digital Forensics), mô phỏng chuỗi sự kiện tấn công là rất quan trọng để xử lý và ngăn chặn các cuộc tấn công tương tự trong tương lai qua việc khai thác những lỗ hổng, điểm yếu trông cuộc tấn công mà đơn vị gặp phải.
  • ▪  Thực hiện Compromises Assessment để đảm bảo rằng sự cố đã được xử lý hoàn toàn, loại bỏ các mã độc và backdoor của các nhóm tội phạm mạng và không còn mối đe dọa tiềm ẩn nào trong hệ thống sau cuộc tấn công. Một số bài viết tham khảo về xu hướng tội phạm mạng và thông tin chi tiết về một số cuộc tấn công/loại hình tấn công Ransomware của Group-IB:

Tech Horizon là nhà cung cấp các giải pháp Bảo mật hàng đầu thị trường hiện nay, trong đó, các giải pháp EDR/XDR hay MDR từ Fortinet, Group-IB, và Bit Defender hiện tại là một trong những giải pháp cao cấp nhất giải quyết bài toán bảo mật toàn diện của khách hàng.

Hiện tại Tech Horizon là nhà phân phối chính thức của Group-IB tại thị trường Việt Nam.
Quý đơn vị có nhu cầu vui lòng liên hệ với chúng tôi để được hỗ trợ tư vấn và lắp đặt các thiết bị bảo mật với chi phí đầu tư cạnh tranh, giải pháp đa dạng, hỗ trợ kỹ thuật tận tình.

————————————————————————-

CÔNG TY CP TMDV CÔNG NGHỆ CHÂN TRỜI (TECH HORIZON CORP) 

Trụ sở: Số 22, đường số 9, KDC Trung Sơn, Bình Hưng, Bình Chánh, TP.HCM
VP Hà Nội: Tầng 4, Sport Hotel, Làng Sinh viên Hacinco, Thanh Xuân, Hà Nội 
Website: https://techhorizonvn.com
Email: info@techhorizonvn.com
Điện thoại: 028 5431 6047 hoặc 024 6286 2118
Fanpage: Tech Horizon Việt Nam

Hiếu Trương/Tech Horizon

Leave a comment

Hey, so you decided to leave a comment! That's great. Just fill in the required fields and hit submit. Note that your comment will need to be reviewed before its published.