Vào tháng 11/2021, Bộ Tài chính Mỹ đã công bố quan hệ đối tác với Israel để chống lại ransomware. Khi những kẻ tấn công ransomware xây dựng các tổ chức toàn cầu ngày càng hợp tác, thật đáng khích lệ khi thấy những người bảo vệ nó cũng hợp tác xuyên biên giới. Khối lượng các cuộc tấn công ransomware, đặc biệt là trên cơ sở hạ tầng trọng yếu, đã tăng sự chú ý của chính phủ và giám sát ngành. Mặc dù các nỗ lực thực thi pháp luật phối hợp đã bóp nghẹt các băng nhóm ransomware trong thời gian ngắn, nhưng không có lý do gì để tin rằng ransomware sẽ sớm biến mất.
Ransomware đã nổi lên như một trong những mối đe dọa an ninh mạng lớn nhất trong vài năm qua. Theo Lực lượng đặc nhiệm ransomware, đã có ít nhất 2.400 cuộc tấn công ransomware vào năm 2020 và nạn nhân ransomware đã trả 350 triệu USD - tăng 311% so với năm trước. Sẽ rất thú vị khi quan sát cách các số liệu thống kê này được sửa đổi khi năm 2021 sắp kết thúc, xem xét có bao nhiêu cuộc tấn công ransomware cao cấp đã xảy ra trong năm qua.
Ví dụ, cuộc tấn công ransomware Colonial Pipeline được cho là cuộc tấn công ransomware cao cấp nhất trong năm qua vì nó gây ra sự gián đoạn dịch vụ kéo dài một tuần cho công ty năng lượng, ngoài khoản tiền chuộc gần 5 triệu đô la. Cuộc tấn công được thực hiện bởi DarkSide, một băng đảng ransomware tuyên bố, "Chúng tôi là phi chính trị, chúng tôi không tham gia vào địa chính trị, không cần phải ràng buộc chúng tôi với một chính phủ xác định và tìm kiếm động cơ của chúng tôi."
Các băng nhóm ransomware, chẳng hạn như DarkSide, đã phát triển trong vài năm qua để trở nên có tổ chức hơn trong các hoạt động của họ và nhắm mục tiêu nhiều hơn trong các cuộc tấn công của họ (cái gọi là "săn trò chơi lớn" để thanh toán tài chính lớn hơn). Trên dark net, có một tên tội phạm ngầm phát triển mạnh của các đối tác liên kết lỏng lẻo, mỗi người có vai trò và trách nhiệm riêng.
Các nhà môi giới truy cập ban đầu chuyên đánh cắp thông tin đăng nhập truy cập mà họ bán cho các tội phạm khác. Khi nạn nhân bị xâm phạm, nhiều băng nhóm ransomware cung cấp một nhân viên hỗ trợ để thương lượng tiền chuộc hoặc cung cấp hướng dẫn về cách thanh toán. Ransomware-as-a-service (RaaS) đã thương mại hóa các cuộc tấn công ransomware cho bọn tội phạm thiếu chuyên môn kỹ thuật hơn, một tấm gương đen tối cho các giải pháp an ninh mạng nhằm ngăn chặn chúng. Vấn đề là những kẻ tấn công ransomware đang hoạt động như các tổ chức quốc tế hợp tác với bọn tội phạm trên toàn thế giới.
Phản ứng quốc tế
Sau cuộc tấn công Colonial Pipeline, Chính quyền Biden đã ban hành Lệnh hành pháp về cải thiện an ninh mạng quốc gia, kêu gọi khu vực tư nhân hợp tác với Chính phủ Liên bang để thúc đẩy cải thiện an ninh mạng. Một tháng sau, vào tháng 6/2021, Bộ Tư pháp đã tịch thu 2,3 triệu USD từ DarkSide bằng cách theo dõi các khoản thanh toán của họ. DarkSide sụp đổ dưới áp lực và tuyên bố sẽ ngừng hoạt động, khiến nhiều nhà nghiên cứu bảo mật tin rằng đã có sự gỡ bỏ phối hợp cơ sở hạ tầng của nó.
Sắc lệnh hành pháp của Tổng thống Biden đã tạo tiền đề cho một loạt thông báo an ninh mạng vào năm 2021, bao gồm Bản ghi nhớ an ninh quốc gia về cải thiện an ninh mạng cho cơ sở hạ tầng trọng yếu Hệ thống kiểm soát, cũng như sự phát triển của Mô hình trưởng thành Zero Trust. Chính phủ đang thúc giục sự hợp tác lớn hơn, nhưng theo một quan chức cấp cao của Nhà Trắng, "Điểm chúng tôi muốn đưa ra là: Chính phủ liên bang không thể làm điều này một mình. Bảo mật cơ sở hạ tầng trọng yếu đòi hỏi nỗ lực của cả quốc gia, và ngành công nghiệp phải làm phần việc của mình".
Ngoài quan hệ đối tác công-tư, chính phủ cũng đang tham gia với các nước đồng minh. Quan hệ đối tác gần đây của Bộ Tài chính Hoa Kỳ với Israel để chống lại ransomware có lợi cho cả hai quốc gia, vì ransomware và các cuộc tấn công mạng hoạt động không biên giới.
Một số giải pháp an ninh mạng tiên tiến nhất trong cộng đồng quốc tế có mặt ở cả Israel và Hoa Kỳ. Một lý do khiến Israel đưa ra rất nhiều giải pháp an ninh mạng là nghĩa vụ quân sự quốc gia là bắt buộc đối với tất cả công dân của mình; các phương pháp an ninh mạng tấn công và phòng thủ của Lực lượng Phòng vệ Israel đã dẫn đến việc tạo ra nhiều công nghệ tiên tiến. Do đó, quan hệ đối tác mới này sẽ cho phép trao đổi song phương các thực tiễn tốt nhất và công nghệ tiên tiến.
Hơn nữa, Tổng cục Không gian mạng Quốc gia Israel gần đây đã đưa ra Học thuyết Phòng thủ Mạng được cải tiến. Học thuyết này dựa trên khuôn khổ bảo mật chung (CSF) của Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST). Điều đó có nghĩa là thời điểm hợp tác giữa Hoa Kỳ và Israel là lý tưởng để cho phép trao đổi thông tin, dựa trên các biện pháp kiểm soát an ninh mạng cập nhật của Israel, bao gồm các khuyến nghị cụ thể để chống lại ransomware.
Khi các cuộc tấn công bằng phần mềm tống tiền ngày càng tăng về tần suất và leo thang thành mục tiêu cơ sở hạ tầng trọng yếu , lực lượng đặc nhiệm chung này được giao nhiệm vụ ngăn chặn các cuộc tấn công ransomware trước khi thiệt hại xảy ra mà không thể khắc phục được. Với thành công gần đây trong việc ít nhất là tạm thời đóng cửa REvil , BlackMatter và DarkSide , chúng ta có thể mong đợi các nhóm này sẽ quay trở lại với sự trả thù mới và các nhóm mới sẽ xuất hiện để lấp đầy khoảng trống của chúng, bao gồm cả các tác nhân đe dọa được nhà nước quốc gia hậu thuẫn.
Xem xét khía cạnh quốc gia-nhà nước của các cuộc tấn công ransomware, lực lượng đặc nhiệm chung này cũng có khả năng phá vỡ tài trợ của các tổ chức khủng bố quốc tế và các thực thể thù địch khác. Đã có nhiều chương trình chia sẻ thông tin tình báo quốc tế được thiết lập, vì vậy lực lượng đặc nhiệm mới này đại diện cho một cơ hội cho những người bảo vệ "chuyển sang trái" bằng cách cắt đứt ransomware như một nguồn tài trợ cho khủng bố và các chế độ áp bức khác.
Trong an ninh mạng, không có "viên đạn bạc" nào có thể bảo vệ các tổ chức, đó là lý do tại sao sự hợp tác rất quan trọng. Khuyến khích sự hợp tác giữa ngành công nghiệp và chính phủ trên toàn thế giới cho phép hiệp lực lớn hơn để các tổ chức này có biện pháp đối phó tốt nhất để bảo vệ hoạt động của họ. Khi những kẻ tấn công ransomware tiếp tục thúc đẩy hoạt động của chúng, điều bắt buộc là các ngành công nghiệp quan trọng cũng phải tăng cường bảo vệ chúng. Khi những kẻ tấn công ransomware tiếp tục thúc đẩy hoạt động của chúng, các ngành công nghiệp quan trọng cũng phải nâng cao khả năng bảo vệ của chúng.
