Tóm tắt
Tội phạm mạng ransomware đang gia tăng. Điều quan trọng là phải biết những gì để tìm kiếm và làm thế nào để bảo vệ bản thân. Ransomware là một loại phần mềm độc hại chặn quyền truy cập vào thiết bị hoặc hệ thống của người dùng và yêu cầu tiền chuộc để đổi lấy quyền truy cập.
Hơn 500 loại ransomware đã được xác định và các cuộc tấn công này nhằm vào hàng loạt cá nhân, công ty và cơ quan chính phủ. Thiệt hại hàng năm do tội phạm mạng sử dụng ransomware gây ra ước tính hàng tỷ đô la trên toàn thế giới.
Khi giá trị tài chính và lãi chủ đạo trong cryptocurrencies tiếp tục phát triển, chủ sở hữu của cryptocurrencies đang ngày càng thành mục tiêu của các cuộc tấn công ransomware.
Trong bài viết này, tiendientu.asia sẽ giúp bạn tìm hiểu các cuộc tấn công bằng ransomware và những gì bạn có thể làm để bảo vệ mình.
Ransomware là gì?
Ransomware là một loại phần mềm độc hại (viết tắt của phần mềm độc hại) chặn quyền truy cập vào thiết bị hoặc hệ thống của nạn nhân và sau đó yêu cầu đáp ứng một số điều kiện nhất định để đổi lấy việc khôi phục quyền truy cập cho chủ sở hữu hợp pháp của thiết bị / hệ thống.
Ransomware có thể được đưa vào hệ thống theo nhiều cách, từ tệp đính kèm email và liên kết lừa đảo đến các tiện ích bổ sung không mong đợi và phần mềm có vẻ hợp pháp. Những kẻ tấn công cũng sử dụng các chiến thuật kỹ thuật xã hội để đóng vai nhân viên thực thi pháp luật yêu cầu tiền phạt đối với phần mềm vi phạm bản quyền hoặc tài liệu bất hợp pháp trên máy tính của họ. Ransomware cũng có thể truy cập vào các thiết bị bằng cách khai thác các lỗ hổng bảo mật trên một mạng lớn hơn. Khi nạn nhân tải xuống và mở tệp đính kèm, ransomware có thể xâm nhập và khóa hệ thống hoặc mã hóa tệp. Ransomware thường nhắm mục tiêu vào các tệp có giá trị như tài liệu tài chính, chương trình quan trọng và ảnh cá nhân, đồng thời mã hóa hoặc xóa tệp của chúng khỏi bản sao lưu.
Điều này thường được thực hiện bằng cách sử dụng thuật toán mã hóa đối xứng hoặc bất đối xứng cho phép ransomware tạo khóa mã hóa và đưa nó cho nạn nhân để đổi lấy thứ gì đó, thường là một số hình thức thanh toán.
Thông thường, nạn nhân của ransomware không biết về vụ vi phạm cho đến khi họ được đưa ra một thông báo đòi tiền chuộc trên màn hình thông báo cho họ về cuộc tấn công.
Ghi chú này thường có nguy cơ bị từ chối truy cập cho đến khi tiền chuộc được trả. Số tiền chuộc được chỉ định và đôi khi yêu cầu thanh toán bằng tiền điện tử do tính bảo mật và tiện lợi của các mạng thanh toán dựa trên blockchain.
Sau khi các điều kiện được đáp ứng, kẻ tấn công thường gửi khóa giải mã cho nạn nhân hoặc trực tiếp giải mã thiết bị / hệ thống bị nhiễm để người dùng hợp pháp có thể giành lại quyền kiểm soát hệ thống của mình.
Các loại ransomware
Ransomware thường được chia thành hai loại lớn dựa trên mối đe dọa do người dùng gây ra.
- Đầu tiên là ransomware mã hóa các tệp để chặn quyền truy cập vào một số dữ liệu nhất định.
- Thứ hai là ransomware chặn hoàn toàn người dùng truy cập vào thiết bị hoặc hệ thống của họ.
Các tập hợp con khác của các cuộc tấn công ransomware bao gồm rò rỉ (còn gọi là doxware), ransomware trên màn hình khóa hoặc ransomware di động và bù nhìn. Doxware đe dọa làm rò rỉ thông tin bí mật để đổi lấy tiền chuộc.
Tương tự như vậy, phần mềm đáng sợ đe dọa bằng mã hóa, nhưng chỉ dọa nạn nhân và không thực sự thực hiện đe dọa. Khóa màn hình ransomware chặn quyền truy cập vào thiết bị di động của người dùng.
Gần đây, ransomware dưới dạng dịch vụ (RaaS) đã trở thành một vấn đề ngày càng nghiêm trọng khi tin tặc bán ransomware hoặc dịch vụ của họ để triển khai nó trên thiết bị / hệ thống của nạn nhân cho những tên tội phạm mạng ít kinh nghiệm hơn và thường thu về một phần lợi nhuận từ một cuộc tấn công thành công.
Các cuộc tấn công ransomware đã xuấy hiện
Hầu hết các cuộc tấn công ransomware đều liên quan đến yêu cầu đòi tiền chuộc. Nghiên cứu gần đây về ransomware cho thấy khoản thanh toán trung bình sau một cuộc tấn công bằng ransomware đã tăng 171% chỉ trong năm 2020, lên 312.493 đô la, tăng từ 115.123 đô la vào năm 2019.
Chi phí cho các cuộc tấn công này là đáng kinh ngạc, với ước tính khoảng 20 tỷ đô la bị mất cho các cuộc tấn công ransomware nhắm vào hàng loạt doanh nghiệp, cá nhân và cơ quan chính phủ vào năm 2020. Trong khi hàng trăm loại ransomware đã được xác định, một số loại đã đặc biệt tàn khốc:
WannaCry
WannaCry: WannaCry (hay WCry, WanaCrypt0r, Wana Decrypt0r 2.0) ransomware là một trong những cuộc tấn công ransomware lớn nhất được ghi nhận trong lịch sử, với thiệt hại 4 tỷ USD và tiền chuộc.
Cuộc tấn công đầu tiên được thực hiện vào năm 2017 và nhắm vào các lỗ hổng của Windows. Kể từ đó, WannaCry đã ảnh hưởng đến hơn 1/4 tỷ người dùng tại 150 quốc gia, đặc biệt tác động mạnh đến ngành chăm sóc sức khỏe của Vương quốc Anh và hệ thống ngân hàng Nga.
Phần mềm ransomware này thường xuyên tìm kiếm các lỗ hổng và cửa hậu trong hệ thống, sử dụng công tắc tiêu diệt để tạm dừng chương trình và yêu cầu thanh toán tiền chuộc bằng Bitcoin .
Ryuk
Ryuk : Được phát hiện lần đầu tiên vào tháng 8 năm 2018, Ryuk là một trong những loại ransomware đầu tiên có khả năng xác định và mã hóa các ổ đĩa và tài nguyên mạng, đồng thời xóa các bản sao ẩn.
Nói cách khác, những kẻ tấn công sử dụng Ryuk có thể vô hiệu hóa Windows System Restore cho người dùng, khiến người dùng không thể khôi phục sau một cuộc tấn công mà không có bản sao lưu bên ngoài hoặc công nghệ phức tạp được thiết kế để đảo ngược thiệt hại do các cuộc tấn công này gây ra.
Hầu hết các cuộc tấn công Ryuk sử dụng các tài liệu Microsoft Office bị hỏng đính kèm với email lừa đảo và nhắm mục tiêu vào các tổ chức lớn có nhiều khả năng trả phí chuộc cao.
CryptoLocker
CryptoLocker : Một trong những trường hợp khét tiếng nhất của ransomware là CryptoLocker ransomware, nhằm vào các máy tính chạy hệ điều hành Windows.
Trong làn sóng tấn công đầu tiên, ransomware đã xâm nhập vào máy tính thông qua các tin nhắn rác có đính kèm tệp ZIP bị nhiễm.
Những kẻ tấn công đã sử dụng các thuật toán mã hóa để mã hóa các tệp và hệ thống bị nhiễm, sau đó được phân phối qua các ổ đĩa mạng.
Phiên bản thứ hai của CryptoLocker được phân phối thông qua mạng ngang hàng Gameover ZeuS, mạng này sử dụng một botnet thư rác cố gắng dụ nạn nhân thực hiện các bộ công cụ khai thác.
Cerber
Cerber : Cerber ransomware đã trở nên nổi tiếng lần đầu tiên lây lan RaaS, điều này ngày càng trở nên có vấn đề. Khi nhiều hacker công khai 1 “dịch vụ” của họ trên các thị trường darknet, số lượng người có quyền truy cập vào công nghệ phần mềm độc hại tinh vi đã tăng vọt cùng với việc phát hành phần mềm độc hại như Cerber.
Ransomware và tiền điện tử
Trong những năm gần đây, những người nắm giữ tiền điện tử ngày càng trở thành mục tiêu của các cuộc tấn công bằng ransomware. Điều này phần lớn là do sự gia tăng giá trị của tiền điện tử và thực tế là nhiều nhà đầu tư cá nhân và tổ chức đã tham gia vào lĩnh vực này.
Ngoài ra, ransomware có xu hướng yêu cầu thanh toán bằng tiền điện tử, vì nhiều loại tiền điện tử được thiết kế để cho phép các giao dịch an toàn và ẩn danh (hoặc giả ẩn danh).
Các loại tiền điện tử ẩn danh cao (AEC) như Monero ngày càng được yêu cầu đòi tiền chuộc trong các cuộc tấn công bằng ransomware.
Nhiều kẻ tấn công ransomware cũng thích các mạng thanh toán tiền điện tử vì các khoản thanh toán có thể được nhận với độ trễ thấp hơn và phí thấp hơn, đặc biệt là khi tiền được chuyển qua biên giới.
Bản chất công khai và minh bạch của tiền điện tử cho phép tội phạm mạng dễ dàng theo dõi tiến trình thanh toán tiền chuộc trên blockchain công khai và vì các giao dịch này diễn ra ở đó và không được xử lý bởi cơ quan tập trung, chúng không thể bị các tổ chức tài chính truyền thống chặn hoặc hủy bỏ.
Cách ngăn chặn các cuộc tấn công ransomware
Khi thiết bị / hệ thống của bạn bị nhiễm ransomware, các tùy chọn của bạn trở nên khá hạn chế và do đó, cách hiệu quả nhất để bảo vệ chống lại các cuộc tấn công này là ngăn chặn chúng trước khi chúng xâm nhập vào thiết bị / hệ thống.
Có thể làm gì để ngăn chặn các cuộc tấn công ransomware?
Cảnh giác liên tục
Cảnh giác liên tục : Vì nhiều cuộc tấn công bằng phần mềm độc hại dưới dạng email lừa đảo hoặc các dạng tin nhắn kỹ thuật số lừa đảo khác, điều quan trọng là phải thận trọng với các thư đáng ngờ và học cách xác định các rủi ro tiềm ẩn trong lần tiếp xúc đầu tiên.
Nếu bạn vô tình tiết lộ thông tin nhạy cảm cho kẻ tấn công hoặc nếu bạn xâm phạm tài khoản hoặc thiết bị của mình bằng cách nhấp vào liên kết độc hại, không có biện pháp ngăn chặn nào khác được liệt kê bên dưới có thể giúp bạn.
Các cấp độ xác minh danh tính bổ sung
Các cấp độ xác minh danh tính bổ sung : Vì các cuộc tấn công lừa đảo chỉ có thể xảy ra do lỗi của con người (lỗi của con người), việc sử dụng các biện pháp bảo mật cá nhân như xác thực hai yếu tố ( 2FA ) hoặc trình quản lý mật khẩu có thể giảm rủi ro của các cuộc tấn công này trong trường hợp một trong số các bản ghi thông tin xác thực / thông tin xác thực của bạn bị xâm phạm.
Giới hạn quyền truy cập vào thiết bị của bạn
Giới hạn quyền truy cập vào thiết bị / hệ thống của bạn : Bạn nên tắt tính năng chia sẻ tệp, kết nối không dây không sử dụng và các dịch vụ từ xa cho thiết bị / mạng của bạn và đặt các quyền cụ thể để giảm các bề mặt tấn công tiềm ẩn của bạn.
Mặc dù các biện pháp phòng ngừa này sẽ không hoàn toàn bảo vệ bạn khỏi các cuộc tấn công của phần mềm độc hại, nhưng chúng có thể làm giảm khả năng bạn gặp phải và vô tình đạt được mục tiêu của một âm mưu lừa đảo.
Lưu trữ an toàn tài sản kỹ thuật số
Lưu trữ an toàn tài sản kỹ thuật số : Mặc dù có những ưu và nhược điểm khi phân phối tài sản kỹ thuật số của bạn trên nhiều tài khoản và ví, phương pháp đáng tin cậy duy nhất để bảo vệ tài sản của bạn là lưu trữ một phần đáng kể tiền của bạn trong ví lạnh.
Mặc dù tài sản trong ví lạnh có thể khó truy cập và trao đổi hơn, nhưng các tính năng tương tự này khiến việc lấy cắp các khoản tiền đó trở nên khó khăn hơn nhiều ngay cả khi danh tính kỹ thuật số của bạn bị xâm phạm.
Cập nhật thường xuyên
Cập nhật / sao lưu thường xuyên: Vì hầu hết các loại phần mềm độc hại được thiết kế để khai thác các chương trình bảo mật nhất định, nên điều quan trọng là phải cập nhật các chương trình như trình duyệt web, hệ điều hành và chương trình chống vi-rút.
Các bản sao lưu phải được đặt ở nhiều vị trí và được bảo vệ bằng Xác thực đa yếu tố (MFA). Một thiết bị sao lưu phần cứng cục bộ cũng có thể cung cấp một bản sao lưu an toàn nếu nó vẫn bị vô hiệu hóa trong khi được sử dụng để tải xuống / tải lên bản sao lưu và thường được giữ riêng biệt với bất kỳ thiết bị nào có khả năng bị nhiễm.
Nếu hệ thống của bạn bị xâm nhập bởi một cuộc tấn công bằng ransomware, bất chấp các biện pháp phòng ngừa ở trên, thường có hai lựa chọn chính – trả tiền chuộc hoặc khôi phục dữ liệu của bạn từ một bản sao lưu đáng tin cậy.
Tuy nhiên, việc khôi phục hệ thống của bạn từ bản sao lưu không sửa chữa được thiệt hại mà kẻ tấn công đã gây ra và nếu kẻ tấn công tải xuống dữ liệu từ hệ thống của bạn, chúng có thể tự do đăng nó lên Internet hoặc bán nó cho bọn tội phạm khác, điều này có thể dẫn đến nghiêm trọng hơn hậu quả tùy thuộc vào những gì được lưu trữ trên hệ thống của bạn.
Mặc dù định dạng chính của các cuộc tấn công bằng phần mềm độc hại hầu như không thay đổi theo thời gian, nhưng các phương pháp cụ thể được sử dụng để thực hiện các tội phạm mạng này và nhận thanh toán vẫn không ngừng phát triển.
Số lượng các cuộc tấn công bằng phần mềm độc hại đã tăng đều đặn trong những năm gần đây và dự kiến sẽ còn tăng trong tương lai. Khi cuộc sống của chúng ta di chuyển trực tuyến nhiều hơn, chúng ta mong đợi nhiều công ty an ninh mạng, các nhà hoạt động và cơ quan quản lý phát triển các biện pháp đối phó tốt hơn để ngăn chặn hoặc giảm thiểu thiệt hại từ các cuộc tấn công này.
Tuy nhiên, cuối cùng thì bạn hoàn toàn chịu trách nhiệm về bảo mật của thiết bị, hệ thống được kết nối và tài sản kỹ thuật số của mình.