Tìm hiểu về Ransomware: Hình thức tấn công phổ biến nhất

7 tháng 4, 2022

Chuyển đổi kỹ thuật số hiện là mục tiêu kinh doanh chiến lược số một. Từ Sydney đến San Francisco, ban lãnh dđạo đang tìm ra cách tốt nhất để khai thác sức mạnh của đám mây, AI, IoT và hơn thế nữa để thúc đẩy thành công. Những nỗ lực này rất quan trọng để tạo ra trải nghiệm mới cho  khách hàng và hợp lý hóa quy trình kinh doanh. Chúng cũng rất quan trọng trong việc hỗ trợ mô hình làm việc hybrid (kết hợp online và offline) mới đang nhanh chóng xuất hiện do  ảnh hưởng của đại dịch.


Tuy nhiên, cái giá mà các tổ chức thường phải trả cho việc phát triển dấu ấn kỹ thuật số của họ là gia tăng bề mặt tấn công mạng. Điều này dẫn đến nguy cơ không gian mạng, đặc biệt là mối đe dọa gây thiệt hại cho các vi phạm ransomware.


Các nhà phát triển ransomware và các nhóm liên kết hiện đang hoạt động mạnh mẽ trên toàn cầu. Điều đó có nghĩa là cũng có rất nhiều chiến thuật, kỹ thuật và quy trình tấn công đang được lưu hành. Nhưng điều đó không có nghĩa là chúng ta không thể phân biệt một mô thức căn bản. Hơn thế nữa, chúng ta có thể thực hiện mô hình tấn công chung này và áp dụng quy trình ba bước đơn giản để giúp giảm thiểu rủi ro ransomware.


Đây là giá trị của phân đoạn vi mô (micro-segmentation) dựa trên khả năng nhận biết toàn diện về các giao tiếp của các tài sản mạng và các cách thức phổ biến được các tác nhân đe dọa sử dụng.


Tại sao ransomware lại quan trọng?


Ransomware đã đạt mức phá kỷ lục trong vòng ba quý đầu năm 2021, gần 500 triệu xâm nhập trên toàn cầu theo ghi nhận của một nhà cung cấp. Các cuộc tấn công đã gia tăng trong những năm gần đây nhiều đến mức hiện nay việc đánh cắp dữ liệu đã trở nên bình thường, tạo thêm một yếu tố rủi ro kinh doanh hoàn toàn mới. Điều đó có nghĩa là các tổ chức không thể sao lưu dữ liệu một cách đơn giản và mong đợi điều tốt lành sẽ đến. Có một rủi ro thực sự về thiệt hại tài chính và uy tín chỉ bắt nguồn từ việc vi phạm dữ liệu.


Ngày nay, các cuộc tấn công “tống tiền kép” có thể dẫn đến:

  • Tiền phạt theo quy định
  • Mất năng suất
  • Mất doanh thu
  • Chi phí ngoài giờ CNTT để phục hồi và điều tra
  • Phí pháp lý (ví dụ: kiện tập thể trong trường hợp vi phạm dữ liệu)
  • Khách hàng rời bỏ
  • Giá cổ phiếu giảm


Mọi tổ chức và mọi cuộc tấn công đều khác nhau. Ngày nay, trong khi một số nhà bình luận ước tính tác động tài chính trung bình gần 2 triệu đô la, một số cuộc đột kích đã khiến nạn nhân thiệt hại hàng trăm triệu đồng. Điều đó làm cho nó trở nên cần thiết để thực hiện các bước chủ động để chống lại mối đe dọa.


Ransomware hoạt động như thế nào?


Tin tốt là mặc dù có nhiều biến thể và nhóm liên kết đang hoạt động ngày nay, chúng ta có thể phân biệt một mô hình cơ bản cho hầu hết các cuộc tấn công. Nói tóm lại, các tác nhân đe dọa sẽ :

  • Ẩn bên trong các mạng nhiều tháng trước khi tấn công.
  • Khai thác các đường dẫn chung để truy cập mạng ban đầu và chuyển động bên (lateral) liên tục.
  • Thực hiện các hành động qua nhiều giai đoạn để đạt được mục tiêu của họ.



Làm thế nào để những kẻ tấn công không bị phát hiện trong thời gian dài như vậy?


Mục tiêu của những kẻ tấn công là ở ẩn cho đến khi chúng xây dựng được sự hiện diện đủ mạnh bên trong mạng của nạn nhân để đánh cắp khối lượng lớn dữ liệu nhạy cảm và triển khai ransomware ở khắp mọi nơi.


Để làm được như vậy họ:

  • Tấn công một thiết bị/ứng dụng mà tổ chức không biết là dễ bị xâm phạm hoặc bị lộ - đó là thiết bị, ứng dụng hoặc khối lượng công việc có kết nối mở với internet và các nội dung mạng khác
  • Sử dụng các đường dẫn / luồng dữ liệu mà tổ chức không biết là đang mở mà lẽ  ra nên đóng theo chính sách bảo mật thực tiễn tốt nhất.
  • Tích hợp nhiều hệ thống bao gồm nhiều chức năng, điều này khiến các nhóm khó theo dõi toàn bộ về một sự cố duy nhất.


Làm thế nào để những kẻ tấn công khai thác các con đường phổ biến?


Hầu hết ransomware đến từ email lừa đảo, xâm nhập RDP hoặc khai thác lỗ hổng phần mềm. Để tăng cơ hội thành công, những kẻ tấn công tìm kiếm:

  • Một tập hợp nhỏ các đường dẫn phổ biến, rủi ro cao như RDP hoặc SMB. Đây thường là toàn bộ tổ chức, dễ dàng lập bản đồ và bị định cấu hình sai.
  • Mở các cổng và nội dung có thể khai thác, thông qua quét tự động bằng cách sử dụng tập lệnh và thu thập thông tin (crawlers).
  • Các cách di chuyển ngang với tốc độ nhanh, sử dụng những đường dẫn rủi ro cao này để lây lan toàn tổ chức chỉ trong vài phút.


Các cuộc tấn công nhiều giai đoạn hoạt động như thế nào?


Hầu hết các cuộc tấn công bắt đầu bằng việc xâm phạm nội dung có giá trị thấp, vì chúng thường dễ chiếm đoạt hơn. Mánh khóe đối với những kẻ đe dọa sau đó là chuyển qua các giai đoạn bổ sung để tiếp cận các nội dung có giá trị mà chúng có thể lấy cắp dữ liệu hoặc mã hóa, tạo đòn bẩy khi tống tiền tổ chức nạn nhân.


Để làm như vậy, những kẻ tấn công thường:

  • Tận dụng khả năng nhận biết  kém để kiểm soát chính sách và phân khúc của một tổ chức.
  • Kết nối với internet để tải xuống công cụ bổ sung nhằm trợ giúp các giai đoạn tiếp theo của cuộc tấn công hoặc chuyển dữ liệu đến máy chủ dưới sự kiểm soát của chúng.
  • Gây ra hầu hết thiệt hại thông qua chuyển động ngang - là quá trình nhảy xung quanh kết nối  mạng từ tài sản này sang tài sản khác.


Ba bước đơn giản để ngăn chặn ransomware


Với mô hình tấn công điển hình này, các CISO có thể bắt đầu đưa ra phản ứng - một cách thức bảo mật mới dựa trên ba thành phần đơn giản:


1.Phát triển khả năng nhận biết toàn diện về các luồng giao tiếp trong môi trường của bạn


Điều này sẽ khiến những kẻ tấn công của bạn không có nơi nào để ẩn náu, lộ diện khi chúng cố gắng xâm phạm tài sản ban đầu hoặc trong quá trình di chuyển bên


Để làm như vậy, bạn phải:

  • Phát triển khả năng nhận biết trong thời gian thực đối với tất cả các nội dung, cho phép bạn xử lý mọi luồng dữ liệu không cần thiết hoặc bất thường.
  • Xây dựng bản đồ thời gian thực của môi trường để xác định khối lượng công việc, ứng dụng và điểm cuối nào phải luôn mở và có thể đóng.
  • Tạo một cái nhìn thống nhất về các luồng giao dịch và dữ liệu rủi ro mà tất cả các nhóm hoạt động có thể làm việc từ đó, giảm xích mích nội bộ.


2. Xây dựng khả năng chặn ransomware


Chỉ lập bản đồ các luồng giao tiếp và hiểu nội dung nào có thể bị đóng thì không đủ. Bạn cần thực hiện hành động để giảm bề mặt tấn công và chặn các cuộc đột kích đang diễn ra.


Làm điều này bằng cách:

  • Đóng càng nhiều đường dẫn rủi ro cao càng tốt và giám sát những đường dẫn còn mở trong thời gian thực.
  • Đóng bất kỳ cổng nào không cần mở, giảm khả năng quét tự động sẽ tìm thấy nội dung bị lộ.
  • Tạo một công tắc ngăn chặn khẩn cấp có thể khởi chạy trong vài giây để hạn chế kết nối mạng trong trường hợp bị tấn công.


3. Cô lập các tài sản trọng yếu


Giai đoạn cuối cùng là ngăn những kẻ tấn công tiếp cận các tài sản quan trọng, buộc chúng phải thực hiện các hành động dễ phát hiện hơn để tiến triển.


Điều này sẽ bao gồm:

  • Ứng dụng tạo vành đai bảo vệ để ngăn tài sản có giá trị cao bị xâm phạm.
  • Đóng các kết nối đi đến các IP không đáng tin cậy, chỉ cho phép các IP trong “danh sách cho phép” đã được phê duyệt.
  • Phát triển các biện pháp bảo mật sau vi phạm để bảo vệ các tài sản quan trọng và ngăn chặn các cuộc tấn công lây lan.


Cuộc chiến bắt đầu


Ngày nay không có tổ chức nào có thể chống vi phạm 100%  vì có quá nhiều  những kẻ tấn công kiên quyết với nguồn lực tốt. Nhưng với việc tập trung đúng vào khả năng hiển thị mạng, kiểm soát chính sách và phân đoạn, bạn có thể xây dựng một kiến ​​trúc bảo mật thông minh hơn có nhiều khả năng cô lập mối đe dọa hơn.


Hầu hết các tác nhân đe dọa đều là những kẻ cơ hội, tìm kiếm ROI nhanh chóng và dễ dàng. Thực hiện ba bước sau để phá vỡ kế hoạch của họ, và bạn có cơ hội lớn để tránh thỏa hiệp nghiêm trọng.



Nguồn: illumio.com

Bạn cũng có thể quan tâm

TP-Link sửa lỗi RCE nghiêm trọng trong bộ định tuyến chơi game C5400X phổ biến

4 tháng 6, 2024
Bộ định tuyến chơi game TP-Link Archer C5400X dễ mắc phải các lỗi bảo mật có thể cho phép kẻ tấn công từ xa, không được xác thực thực thi các lệnh trên thiết bị.

Tin tặc nhắm mục tiêu VPN Check Point để xâm nhập mạng doanh nghiệp

3 tháng 6, 2024
Ngày 27 tháng 5 Check Point đã cảnh báo rằng các tác nhân đe dọa đang nhắm mục tiêu vào các thiết bị VPN truy cập từ xa của Check Point trong một chiến dịch đang diễn ra nhằm xâm phạm mạng doanh nghiệp.

Sav-Rx tiết lộ vụ tấn công dữ liệu ảnh hưởng đến 2,8 triệu người Mỹ

31 tháng 5, 2024
Công ty quản lý đơn thuốc Sav-Rx cảnh báo hơn 2,8 triệu cá nhân ở Hoa Kỳ việc họ đã bị vi phạm dữ liệu và dữ liệu cá nhân của họ đã bị đánh cắp trong một cuộc tấn công mạng năm 2023.
Thêm bài viết
Share by: