6 hình thức tấn công ransomware, 9 vụ tấn công ransomware nổi bật và 12 biến thể ransomware nguy hiểm hiện nay mà bạn cần biết.

Tổng quan

• Các loại ransomware

• Các cuộc tấn công ransomware

• Các mối đe dọa ransomware

• Thuật ngữ liên quan

• Tài nguyên tham khảo

Tổng quan

Hiểu về các loại ransomware phổ biến năm 2024

Trong bức tranh toàn cảnh các mối đe dọa an ninh mạng hiện nay, ransomware được xem là một trong những mối nguy hiểm đáng sợ nhất. Các loại tấn công ransomware khác nhau về mục đích và cơ chế hoạt động, nhưng đều có một điểm chung: khiến dữ liệu của nạn nhân không thể truy cập được.

Đối với doanh nghiệp hiện đại, đây có thể là mối đe dọa mang tính sống còn.

Phần nội dung dưới đây sẽ giúp bạn hiểu rõ hơn về những dạng ransomware phổ biến nhất, bao gồm:

• Lockers

• Crypto ransomware

• Scareware

• Ransomware as a Service (RaaS)

• Extortionware (bao gồm Doxware và Leakware)

• Wiper malware

Ngoài ra, bạn cũng sẽ tìm hiểu về các cuộc tấn công nổi tiếng trong quá khứ cũng như những mối đe dọa ransomware nghiêm trọng hiện nay.

Các loại ransomware

6 loại tấn công ransomware phổ biến nhất

Khi nghe đến “ransomware”, nhiều người thường nghĩ ngay đến việc mã hóa dữ liệu cưỡng bức. Dù đây là đặc điểm của nhiều cuộc tấn công nổi tiếng, nhưng không phải lúc nào cũng đúng.

Yếu tố cốt lõi xác định một cuộc tấn công ransomware chính là yêu cầu nạn nhân trả tiền chuộc để khôi phục khả năng sử dụng dữ liệu. Chiến thuật này thể hiện rõ qua sáu loại tấn công ransomware phổ biến sau.

1. Crypto ransomware

Crypto ransomware (hay ransomware mã hóa) là một trong những hình thức nguy hiểm và phổ biến nhất. Loại này mã hóa toàn bộ tệp và dữ liệu trong hệ thống, khiến người dùng không thể truy cập trừ khi trả tiền chuộc.

Để gia tăng áp lực, kẻ tấn công thường kèm theo bộ đếm thời gian, sau đó dữ liệu sẽ bị xóa vĩnh viễn. Ngay cả khi tiền chuộc (thường bằng tiền điện tử) được thanh toán, không có gì đảm bảo kẻ tấn công sẽ cung cấp khóa giải mã.

Các biến thể phổ biến gồm: Hive, REvil, Ryuk.

2. Lockers

Khác với crypto ransomware, locker ransomware không mã hóa tệp mà khóa quyền truy cập hệ thống bằng cách vô hiệu hóa các chức năng cơ bản của máy tính.

Người dùng thường không thể truy cập desktop, chỉ còn đủ khả năng sử dụng chuột và bàn phím để thanh toán tiền chuộc. Màn hình khóa hiển thị yêu cầu tiền chuộc, thường kèm đồng hồ đếm ngược.

Dữ liệu ít khi bị phá hủy hoàn toàn, nhưng mã độc có thể lây lan nhanh chóng trong mạng nội bộ.

Các ví dụ điển hình: CryptoLocker, Locky.

3. Ransomware as a Service (RaaS)

RaaS đang ngày càng phổ biến, mang mô hình SaaS vào thế giới tội phạm mạng. Trong mô hình này, một nhóm chuyên nghiệp phát triển, lưu trữ và phân phối mã độc, thu tiền chuộc và chia lợi nhuận với bên thực hiện tấn công.

RaaS cho phép cả những tội phạm mạng ít kỹ năng kỹ thuật cũng có thể tiến hành các cuộc tấn công ransomware tinh vi.

Các biến thể thường gặp: LockBit, Black Basta, BlackMatter (kế nhiệm DarkSide).

4. Extortionware

Extortionware nâng mức độ đe dọa của ransomware bằng cách đe dọa công bố dữ liệu nhạy cảm hoặc thông tin cá nhân nếu nạn nhân không trả tiền.

• Với cá nhân, hình thức này còn gọi là doxware, có thể dẫn đến mất danh tiếng, sự nghiệp, mối quan hệ hoặc thậm chí nguy hiểm về thể chất.

• Với tổ chức, còn gọi là leakware, hậu quả tương tự các vụ rò rỉ dữ liệu lớn: tổn hại uy tín, mất lòng tin khách hàng và bị phạt pháp lý.

Các phần mềm thường dùng: DoppelPaymer, REvil, EvilQuest.

5. Wiper malware

Dù không hoàn toàn phù hợp với định nghĩa truyền thống của ransomware, wiper malware thường giả dạng ransomware.

Loại này cũng chặn quyền truy cập dữ liệu và có thể yêu cầu tiền chuộc, nhưng điểm khác biệt lớn nhất là kẻ tấn công không có ý định khôi phục dữ liệu. Mục tiêu chính là phá hoại và xóa dữ liệu vĩnh viễn.

Các ví dụ: NotPetya, KillDisk.

6. Scareware

Scareware thường nhắm vào người dùng ít kinh nghiệm. Đây là phần mềm giả mạo cảnh báo máy tính bị nhiễm virus và yêu cầu thanh toán để “khắc phục”.

Các cửa sổ pop-up liên tục thúc giục người dùng tải phần mềm sửa lỗi, nhưng chính phần mềm đó lại mở đường cho kẻ tấn công. Một số scareware sau đó sẽ khóa máy và đòi tiền chuộc, dù thường không phá hủy dữ liệu.

Ví dụ: Mac Defender, WinFixer.

Các cuộc tấn công ransomware nổi tiếng

9 vụ tấn công ransomware tiêu biểu

Danh sách đầy đủ các vụ tấn công công khai là rất dài. Dưới đây là một số ví dụ tiêu biểu cho thấy mức độ thiệt hại nghiêm trọng.

1. CryptoLocker (2013-2014): Lan qua email và botnet Gameover ZeuS, thu khoảng 3 triệu USD tiền chuộc.

2. WannaCry (2017): Ảnh hưởng hơn 230.000 máy tính tại 150 quốc gia; riêng hệ thống y tế Anh thiệt hại khoảng 92 triệu USD.

3. Petya/NotPetya (2017): Gây thiệt hại toàn cầu khoảng 10 tỷ USD.

4. GandCrab (2018-2019): Nhắm vào doanh nghiệp nhỏ và vừa, gây thiệt hại ước tính 2 tỷ USD.

5. REvil/Sodinokibi (2021): Khoảng 175.000 máy bị nhiễm, tiền chuộc thu được ít nhất 200 triệu USD.

6. Maze (2019-2020): Cognizant chịu thiệt hại trực tiếp 50-70 triệu USD, tổng ảnh hưởng lên đến 140 triệu USD.

7. Ryuk (2020): Tấn công Universal Health Services, gây thiệt hại ngắn hạn 67 triệu USD.

8. DarkSide (2021): Tấn công Colonial Pipeline, đòi 4,4 triệu USD tiền chuộc và gây khủng hoảng nhiên liệu.

9. ALPHV/BlackCat và Scattered Spider (2023): Tấn công MGM Resorts, gây thiệt hại ước tính 100 triệu USD.

Các mối đe dọa ransomware hiện nay

12 mối đe dọa ransomware nghiêm trọng nhất

Bối cảnh ransomware ngày càng phân mảnh. Nhiều nhóm hoạt động theo mô hình RaaS và áp dụng chiến thuật tống tiền kép (đòi tiền giải mã và tiền xóa dữ liệu bị đánh cắp).

Danh sách gồm:

1. LockBit

2. PLAY (PlayCrypt)

3. Black Basta

4. RansomHub

5. Hunters International

6. Akira

7. Medusa

8. BianLian

9. 8Base

10. INC Ransomware

11. Qilin

12. Vanir Group

Mỗi nhóm có chiến thuật, công cụ và mức độ tinh vi khác nhau, nhưng đều gây rủi ro nghiêm trọng cho doanh nghiệp toàn cầu.

Kết luận

Các loại ransomware và chiến thuật của các nhóm tấn công không ngừng thay đổi. Không có biện pháp nào đảm bảo an toàn tuyệt đối, nhưng việc tập trung liên tục vào bảo vệ dữ liệu, sao lưu – khôi phục và năng lực phục hồi an ninh mạng sẽ giúp giảm thiểu rủi ro.

Luôn cảnh giác và chuẩn bị kỹ lưỡng là chìa khóa để duy trì hoạt động kinh doanh liên tục trong mọi tình huống.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.