Với tốc độ tăng trưởng đáng báo động, mã độc tống tiền (ransomware) đã trở thành một mối đe dọa kỹ thuật số nhức nhối, không chỉ gây thiệt hại về tài chính mà còn ảnh hưởng nghiêm trọng đến hoạt động kinh doanh và uy tín của các tổ chức. Từ quý 2 năm 2023 đến quý 2 năm 2024, KELA đã ghi nhận hơn 5.000 nạn nhân của ransomware và hệ sinh thái tội phạm mạng, cho thấy mức độ lan rộng và nghiêm trọng của vấn đề. Mô hình kinh doanh của ransomware đã vượt xa khỏi việc đơn thuần đòi tiền chuộc, mở ra nhiều cơ hội kiếm tiền khác nhau cho tội phạm mạng.

Ransomware hoạt động như thế nào?

Khi nhắc đến ransomware, chúng ta thường hình dung đến kịch bản cuối cùng: kẻ tấn công mã hóa dữ liệu và đòi tiền chuộc để giải mã. Tuy nhiên, quá trình này phức tạp hơn nhiều.

• Tấn công tống tiền kép (Double Extortion): Ngoài việc mã hóa dữ liệu, kẻ tấn công còn đe dọa rò rỉ dữ liệu đã đánh cắp nếu nạn nhân không trả tiền chuộc.
• Tấn công tống tiền ba lần (Triple Extortion): Đây là một cấp độ phức tạp hơn, sử dụng các phương pháp bổ sung như tấn công từ chối dịch vụ phân tán (DDoS) hoặc chiến dịch gửi thư rác (spam campaign) để gia tăng áp lực lên nạn nhân.

Tuy nhiên, khi các chiến thuật này trở nên rõ ràng đối với nạn nhân, cuộc tấn công ransomware đã ở giai đoạn cuối. Một cuộc tấn công ransomware bắt đầu rất lâu trước khi tổ chức nạn nhân nhận ra mình đang bị tấn công.

1. Thu thập thông tin tình báo và trinh sát: Kẻ tấn công thu thập thông tin và thực hiện trinh sát chủ động, chọn một tổ chức mà chúng tin rằng có thể mang lại khoản tiền lớn.
2. Giành quyền truy cập ban đầu (Initial Access): Kẻ tấn công cần có được quyền truy cập ban đầu vào mạng của nạn nhân. Điều này có thể thông qua:
   • Mua quyền truy cập ban đầu từ các Initial Access Brokers (IABs): Đây là những cá nhân hoặc nhóm đã thực hiện phần lớn công việc để xâm nhập vào mạng lưới.
   • Tài khoản nhân viên bị đánh cắp: Thường thông qua các phần mềm đánh cắp thông tin (infostealers) lây nhiễm hệ thống qua các liên kết và tệp đính kèm độc hại trong email, lừa đảo xã hội (social engineering), quảng cáo độc hại (malvertising) hoặc lỗ hổng phần mềm.
3. Di chuyển ngang (Lateral Movement) và leo thang đặc quyền (Privilege Escalation): Khi đã vào bên trong, kẻ tấn công sử dụng các kỹ thuật này để mở rộng phạm vi tiếp cận, tìm kiếm dữ liệu nhạy cảm hoặc kiểm soát các điểm cuối (endpoints).
4. Trích xuất dữ liệu (Data Exfiltration): Dữ liệu nhạy cảm được trích xuất, và kẻ tấn công có thể sử dụng dữ liệu này để đe dọa rò rỉ hoặc bán chúng trên thị trường chợ đen.
5. Triển khai Ransomware: Cuối cùng, kẻ tấn công triển khai mã độc ransomware, mã hóa các tệp và làm cho chúng không thể truy cập được.
6. Yêu cầu thanh toán: Kẻ tấn công thiết lập kênh liên lạc để yêu cầu nạn nhân thanh toán tiền chuộc.

Sự phát triển của các cuộc tấn công Ransomware: Từ cá nhân đến hệ sinh thái Tội phạm mạng

Trong quá khứ, một hacker hoặc một nhóm nhỏ có thể tự mình thực hiện toàn bộ các bước của một cuộc tấn công ransomware. Tuy nhiên, ngày nay, các cuộc tấn công ransomware chủ yếu là công việc của nhiều cá nhân với các chuyên môn khác nhau, cùng nhau hợp tác thông qua một hệ sinh thái tội phạm mạng (cybercrime ecosystem) phức tạp.

• Chuyên môn hóa: Những người có chuyên môn xây dựng phần mềm độc hại có thể tập trung vào công việc đó, trong khi những người khác có thể được thuê làm traffers (những cá nhân có nhiệm vụ phát tán phần mềm độc hại) hoặc negotiators (những người có kỹ năng cao trong việc đàm phán để tiền chuộc được thanh toán nhanh chóng).
• Ransomware-as-a-Service (RaaS): Đây là một xu hướng ngày càng phát triển, nơi các tác nhân độc hại có thể thuê hoặc mua quyền truy cập vào các công cụ ransomware đã được phát triển sẵn, mà không cần có kiến thức chuyên sâu về lập trình.
• Autoshops: Các “Autoshops” trở nên phổ biến hơn bao giờ hết, cho phép hacker dễ dàng “click-to-buy” những gì họ cần, dù đó là công cụ tấn công, quyền truy cập ban đầu hay danh sách thông tin đăng nhập.

Hệ sinh thái tội phạm mạng không chỉ được sử dụng để mua bán, mà còn là một cộng đồng nơi các tác nhân đe dọa có thể tuyển dụng và phối hợp cho các cuộc tấn công, đàm phán với nạn nhân, và chia sẻ phương pháp luận cũng như hỗ trợ lẫn nhau. Những thay đổi này đã cho phép các nỗ lực ransomware mở rộng quy mô vượt xa những gì bất kỳ ai có thể tưởng tượng, mang lại cho kẻ tấn công nhiều cơ hội hơn để nhắm mục tiêu vào các tổ chức và tăng khả năng đạt được lợi ích tài chính.

Nguồn gốc của quyền truy cập ban đầu trong hệ sinh thái tội phạm mạng

Trong năm qua, các tài khoản hợp lệ bị đánh cắp (MITRE ID: 1078) và thông tin đăng nhập của người dùng đã trở thành vectơ truy cập ban đầu hàng đầu cho các cuộc tấn công mạng. Tội phạm có thể tìm thấy thông tin đăng nhập và tài khoản bị đánh cắp từ bốn nguồn chính:

1. Thị trường Botnet: Các thị trường này cung cấp cho các tác nhân đe dọa một danh sách dữ liệu và nhật ký để sàng lọc và lựa chọn, với giá chỉ từ 0,50 USD.
2. Đám mây nhật ký Telegram: Bằng cách đăng ký một kênh hàng tháng, tội phạm có thể truy cập tất cả thông tin đăng nhập từ các máy bị xâm nhập.
3. Tệp ULP (Universal Log Files): Các danh sách thông tin đăng nhập này thường chứa hàng triệu thông tin đăng nhập dạng văn bản thuần (plaintext credentials), bao gồm tên người dùng và mật khẩu kèm theo URL tương ứng.
4. Initial Access Brokers (IABs): Các IABs trực tiếp bán quyền truy cập từ xa vào một tổ chức đã bị xâm nhập, cho phép tội phạm can thiệp vào giai đoạn cuối và khởi động cuộc tấn công.

An ninh danh tính: Phòng thủ chủ động chống lại Ransomware

Việc tập trung vào các nguồn cung cấp quyền truy cập ban đầu này là một phần cốt lõi để bảo vệ tổ chức của bạn chống lại ransomware. Bởi vì, bề mặt tấn công (attack surface) của bạn không còn chỉ là về an ninh vành đai (perimeter security) – đó là về việc biết những gì kẻ tấn công biết về bạn. Bằng cách triển khai một nền tảng an ninh danh tính (identity security platform) mạnh mẽ như KELA Identity Guard, bạn sẽ có được góc nhìn chính xác này.

KELA Identity Guard theo dõi các thị trường chợ đen bất hợp pháp, diễn đàn tội phạm mạng và các thị trường nhắn tin và botnet, để bất kỳ thông tin đăng nhập bị đánh cắp nào liên quan đến các miền của tổ chức, công cụ SaaS và địa chỉ IP đều có thể được chặn theo thời gian thực. Nó cung cấp nhiều thông tin chi tiết về các phần mềm đánh cắp thông tin (infostealer) và thông tin liên quan đến botnet, bao gồm các xu hướng đe dọa, danh mục dịch vụ bị xâm phạm và nhiều hơn nữa.

Để đối phó với những thách thức này, các tổ chức cần áp dụng một chiến lược bảo mật toàn diện, kết hợp các giải pháp công nghệ tiên tiến với việc nâng cao nhận thức và năng lực của con người. Việc chủ động theo dõi các mối đe dọa, đặc biệt là liên quan đến thông tin danh tính, sẽ là chìa khóa để bảo vệ tổ chức khỏi những cuộc tấn công ransomware ngày càng tinh vi và khó lường.

Kela có cung cấp Ebook để bạn đọc vào hiểu rõ hơn về Ransomware hay các kiến thức về bảo mật và an toàn thông tin, đường link download Ebook của Kela tại đây.

Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks …. Với kinh nghiệm và sự am hiểu sâu sắc, Unitas cam kết mang đến cho khách hàng những sản phẩm chất lượng cùng dịch vụ hỗ trợ chuyên nghiệp. Hãy lựa chọn Unitas để đảm bảo bạn nhận được giải pháp tối ưu và đáng tin cậy nhất cho nhu cầu của mình.

Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!

Thông tin hãng cung cấp giải pháp