Theo Báo cáo vi phạm dữ liệu của Verizon năm 2020, ransomware là cuộc tấn công phần mềm độc hại thường xuyên thứ 3. Bằng chứng gần đây cho điều đó đã xảy ra vào ngày 4 tháng 10, nơi Universal Health Services (UHS), một bệnh viện và nhà cung cấp dịch vụ chăm sóc sức khỏe Fortune 500, được cho là đã đóng cửa hệ thống tại các cơ sở chăm sóc sức khỏe khác nhau trên khắp nước Mỹ sau khi một cuộc tấn công mạng tấn công mạng vào mạng nội bộ của nó.
Một cuộc tấn công chăm sóc sức khỏe dưới bất kỳ hình thức nào cũng có thể gây chết người, đặc biệt là với tình trạng hiện tại của đại dịch. Đây là một cuộc tấn công mạng gần đây kết thúc bằng IT cơ sở hạ tầng bị đóng cửa do một cuộc tấn công ransomware. Trong trường hợp này, UHS đang chuyển hướng một số bệnh nhân đến các bệnh viện gần đó.
Tuy nhiên, nhiều người không biết rằng kích hoạt ransomware chỉ là giai đoạn cuối cùng trong một cuộc tấn công. Trước khi thực hiện, có nhiều giai đoạn và cơ hội để ngăn chặn cuộc tấn công.
Chà, chính xác thì ransomware là gì?
Ransomware là một phần mềm độc hại được thiết kế để ngăn chặn việc sử dụng các tệp hệ thống máy tính với yêu cầu trả tiền chuộc. Hầu hết các biến thể của ransomware mã hóa các tệp trên thiết bị bị ảnh hưởng, khiến chúng không khả dụng và yêu cầu thanh toán tiền chuộc để khôi phục quyền truy cập vào chúng.
Mã ransomware thường phức tạp, nhưng không nhất thiết phải như vậy, bởi vì không giống như các dạng phần mềm độc hại thông thường khác, nó thường không cần phải không bị phát hiện trong một thời gian dài để đạt được mục tiêu. Sự dễ thực hiện tương đối này so với tiềm năng lợi nhuận cao, thu hút cả các tác nhân tinh vi của tội phạm mạng và các tác nhân mới làm quen để chạy các chiến dịch ransomware.
"Trong 7% các chủ đề ransomware được tìm thấy trong các diễn đàn tội phạm và thị trường, "dịch vụ" đã được đề cập, cho thấy những kẻ tấn công thậm chí không cần phải có khả năng tự thực hiện công việc." - Báo cáo điều tra vi phạm dữ liệu năm 2020, trang 16.
Ransomeware phổ biến đến mức có những dịch vụ bạn có thể mua để đảm nhận việc triển khai thay mặt cho tội phạm mạng. Với một thị trường phát triển mạnh như vậy, các dịch vụ ransomeware và ransomeware dự kiến sẽ tăng lên.
Làm thế nào ransomware tìm đường vào mạng?
Cách tiếp cận phổ biến nhất để kẻ tấn công cung cấp các tệp độc hại là khai thác các lỗi phổ biến của con người như tấn công lừa đảo, trong đó kẻ tấn công gửi email có vẻ hợp pháp, nhưng khuyến khích người đó nhấp vào liên kết hoặc tải xuống tệp đính kèm. Các tập tin đính kèm thường mang một tải trọng cung cấp các phần mềm độc hại. Những kẻ tấn công có xu hướng khai thác các giao diện tiếp xúc như RDP hoặc các ứng dụng web chưa được vá. Ransomware cũng được phân phối trên các trang web bị xâm nhập hoặc độc hại, thông qua các cuộc tấn công drive-by-download. Một số cuộc tấn công ransomware cũng được gửi bằng cách sử dụng tin nhắn từ phương tiện truyền thông xã hội.
Thông thường ransomware được sử dụng trong cách tiếp cận "shotgun" – nơi những kẻ tấn công có được danh sách email hoặc các trang web bị xâm nhập và làm nổ tung ransomware.
Bảo vệ chống lại ransomware
Một số giai đoạn để ngăn chặn phần mềm độc hại tồn tại trong vòng đời tấn công. Giai đoạn đầu tiên là ngăn chặn xâm nhập mạng; giai đoạn thứ hai để ngăn chặn ransomware (giả sử nó không tự chủ) sẽ ngăn nó giao tiếp với máy chủ Command and Control (C2); Giai đoạn thứ ba sẽ dừng nó ngay sau khi bắt đầu thực hiện và trước khi thực hiện chuyển động bên trong mạng.
Giai đoạn đầu tiên - ngăn chặn phần mềm độc hại xâm nhập vào mạng - là giai đoạn quan trọng nhất. Những kẻ tấn công thường sẽ cố gắng sử dụng các kỹ thuật lừa đảo hoặc lợi dụng các kết nối truy cập từ xa không an toàn như kết nối RDP được định cấu hình sai và thông qua các điểm cuối không tuân thủ chính sách của công ty. Các thiết bị này có thể cho phép ransomware cõng kết nối vào tổ chức mạng.
Giai đoạn thứ hai - không cho phép phần mềm độc hại giao tiếp với C2 - thường được thực hiện bằng cách triển khai FireWall và hệ thống phát hiện dựa trên mạng để tìm kiếm chữ ký mạng.
Giai đoạn thứ ba - ngăn chặn Ransomware được kích hoạt và mở rộng trong mạng - tại thời điểm này phức tạp và tiêu tốn tài nguyên hơn nhiều.
OPSWAT Cung cấp các giải pháp phòng ngừa để bạn có thể tự vệ khỏi bị tấn công. Các giải pháp của chúng tôi giúp các tổ chức ngăn chặn phần mềm độc hại xâm nhập vào mạng, chẳng hạn như giải pháp bảo mật cổng email để ngăn chặn lừa đảo, giải pháp truy cập an toàn để giúp xác thực tuân thủ và
bảo mật tải lên tập tin thực hiện Deep CDR (Giải trừ và Tái thiết Nội dung) bằng MetaDefender Core . Đây chỉ là một số trong nhiều sản phẩm mà OPWAST cung cấp để giúp giữ cho các mạng cơ sở hạ tầng quan trọng được an toàn khỏi phần mềm tống tiền. Để biết thêm thông tin, hãy liên hệ với chúng tôi ngay hôm nay.
Tham khảo
https://enterprise.verizon.com/resources/reports/dbir/
https://www.blackfog.com/the-state-of-ransomware-in-2020/
https://www.microsoft.com/en-us/download/details.aspx?id=101738
