Ransomware là gì?
Trong trường hợp không chắc chắn rằng bạn chưa bao giờ nghe nói về mối đe dọa phát triển nhanh nhất trong an ninh mạng hiện nay, ransomware là một loại phần mềm độc hại được cài đặt bí mật trên hệ thống, khóa hoặc mã hóa dữ liệu bên trong và yêu cầu tiền chuộc để phát hành hoặc giải mã nó.
Ransomware phát triển mạnh mẽ vào năm 2016, một phần là do các chính sách bảo mật được xác định kém (bao gồm cả việc thiếu các bản sao lưu thường xuyên) của người tiêu dùng và các doanh nghiệp vừa và nhỏ, và một phần là do các chiến thuật kỹ thuật xã hội khéo léo được sử dụng bởi tội phạm mạng.
Như video này từ Cisco cho thấy, hình ảnh của hacker trong một chiếc áo hoodie đã lỗi thời từ lâu - sự ra đời của "ransomware như một dịch vụ" đã cho phép những người có kỹ năng lập trình hạn chế hoặc thậm chí bằng không sử dụng bộ công cụ ransomware được đóng gói gọn gàng để thả tải phần mềm độc hại và tống tiền từ các doanh nghiệp không thận trọng. Bộ dụng cụ ransomware có thể được mua với giá chỉ 100 đô la trên dark web.
Doanh nghiệp cần hết sức lo lắng về ransomware
Bản chất sinh lợi của mô hình ransomware khiến nó trở nên hấp dẫn đối với tội phạm mạng. Với lợi nhuận ngày càng tăng của ransomware như một dịch vụ, ransomware không còn là mối quan tâm của chỉ các doanh nghiệp vừa và nhỏ và người tiêu dùng.
Thật không may, nhận thức chung giữa các doanh nghiệp vẫn là ransomware là vấn đề của người tiêu dùng hoặc SMB và không thực sự là nguyên nhân gây lo ngại. Đây là một giả định nguy hiểm vì nhiều lý do:
- Thực tế là, các doanh nghiệp thực sự bị ảnh hưởng bởi ransomware - trong năm 2016, 40% doanh nghiệp được khảo sát đã bị tấn công bởi nó, theo nghiên cứu của Malwarebytes (thông qua ZDNet).
- Ngay cả khi mô hình bảo mật của tổ chức bạn đã trưởng thành và bạn có các mô hình khôi phục sau thảm họa được xác định rõ, bạn cần tính đến chi phí sao lưu không đầy đủ, cơ chế khôi phục hạn chế đối với dữ liệu quan trọng và lượng thời gian khôi phục hoàn toàn.
- Ransomware đang phát triển nhanh chóng – các biến thể mới đang sử dụng cách tiếp cận fileless, khiến việc quét tệp khó phát hiện ra chúng hơn. Thậm chí đáng lo ngại hơn là mức độ tinh vi ngày càng tăng trong các biến thể ransomware – một biến thể gần đây có tên Locky sử dụng mã hóa RSA và AES cực kỳ mạnh, mã hóa các tệp không chỉ trên hệ thống bị nhiễm mà còn cả các ổ đĩa mạng chưa được ánh xạ được kết nối với điểm lây nhiễm và xóa ảnh chụp nhanh bóng âm lượng. Nói cách khác, nó dự đoán các hành động khắc phục và được thiết kế đặc biệt để ngăn bạn khôi phục các tệp của mình bằng cách xóa các bản sao bóng.
Vector tấn công
Năm 2016, theo hầu hết các nhà nghiên cứu an ninh mạng, là năm tống tiền. Một số phương pháp phổ biến được sử dụng để giảm tải trọng phần mềm độc hại trong năm 2016 bao gồm:
Email lừa đảo được nhắm mục tiêu với tệp đính kèm hoặc liên kết độc hại (Locky, Torrentlocker, CTB-Locker)
Một phương pháp tấn công phổ biến trong năm 2016 như sau: Một nhân viên doanh nghiệp nhận được những gì dường như là một email hợp pháp với một tệp đính kèm (chẳng hạn như hóa đơn). Khi tệp đính kèm được mở, mã hóa tài liệu sẽ xuất hiện bị cắt xén (đầy ký tự rác). Một thông báo tương tự như thế này có thể được hiển thị, "Nếu bạn thấy mã hóa dữ liệu không chính xác, vui lòng bật macro". Ngay sau khi người dùng bật macro, ransomware sẽ được tải xuống và tải trọng được thực thi.
Đề án kỹ thuật xã hội
Tội phạm mạng nhận ra rằng trong hầu hết các doanh nghiệp hiện đại, liên kết bảo mật yếu nhất là người dùng. Các kế hoạch tấn công phi kỹ thuật thường liên quan đến việc đánh lừa nhân viên vô tình bàn giao PII hoặc dữ liệu như mật khẩu hệ thống.
Sử dụng bộ dụng cụ khai thác
Bộ công cụ khai thác là bộ công cụ phần mềm độc hại khai thác các lỗ hổng đã biết hoặc chưa biết khi mục tiêu tiềm năng truy cập trang web bị xâm nhập. Những cuộc tấn công này thường được thực hiện thông qua malvertising. Một trong những bộ dụng cụ khai thác khét tiếng nhất tồn tại ngày nay là bộ khai thác Angler. Theo Báo cáo bảo mật giữa năm của Cisco, trong năm 2015, Angler chiếm 36% sự thâm nhập của người dùng trong các cuộc tấn công mạng được quan sát cho đến thời điểm đó.
Làm thế nào bạn có thể tránh trở thành nạn nhân của ransomware?
1. Sử dụng giải pháp chống phần mềm độc hại mạnh mẽ; lý tưởng nhất là sử dụng nhiều giải pháp. Như OPSWATBiểu đồ so sánh của chứng minh, khả năng bắt được sự bùng phát phần mềm độc hại tăng theo cấp số nhân với sức mạnh của tính năng quét đa lần. OPSWAT's MetaDefender Core Nền tảng phát hiện và ngăn chặn mối đe dọa tận dụng 100+ chống phần mềm độc hại, vệ sinh dữ liệu, lỗ hổng và các công cụ bảo mật khác để bảo vệ tốt nhất trước các mối đe dọa đã biết và chưa biết. Đa quét giúp bạn không chỉ cải thiện đáng kể tỷ lệ phát hiện mà còn giảm thời gian phơi nhiễm dịch. Ngoài ra MetaDefendergiao diện lập trình ứng dụng của giao diện lập trình ứng dụng cho phép tích hợp dễ dàng với các giải pháp hiện có. Đọc thêm về MetaDefender Core.
2. Có chính sách bảo mật doanh nghiệp được xác định rõ ràng được thực thi ở tất cả các cấp trong tổ chức.
3. Sao lưu, sao lưu và sao lưu! Đảm bảo rằng việc sao lưu tệp được thực hiện thường xuyên và tổ chức của bạn có kế hoạch sao lưu và khôi phục sau thảm họa được xác định rõ ràng. Hãy chắc chắn kiểm tra trước với nhà cung cấp của bạn về chi phí và thời gian để phục hồi hoàn toàn trong trường hợp cơ sở hạ tầng trọng yếu đánh.
4. Đầu tư vào một proxy web tốt hoặc cổng web an toàn bổ sung thêm một lớp bảo vệ và bảo vệ máy chủ của bạn khỏi bị lây nhiễm. MetaDefender ICAP Server phơi bày một ICAP Giao diện cho phép quản trị viên hệ thống dễ dàng tích hợp OPSWATCông nghệ đa quét và vệ sinh dữ liệu của nó thành một proxy web hiện có để quét chống phần mềm độc hại của tất cả các tải xuống và tải lên HTTP. Đọc thêm về nó nhấn vào đây.
5. Giải quyết các lỗ hổng. Giảm hoặc loại bỏ các lỗ hổng dẫn đến ít tùy chọn hơn cho người dùng độc hại để truy cập vào thông tin an toàn. Các lỗ hổng chưa được vá là một vấn đề nghiêm trọng. Ngay cả khi chính sách bảo mật của bạn yêu cầu cập nhật thường xuyên, một số nhân viên có thể bị kích thích bởi thông báo cập nhật liên tục và tắt cập nhật tự động.
Với MetaDefender CoreCông cụ lỗ hổng bảo mật, bạn có thể:
- Quét hệ thống để tìm các lỗ hổng đã biết ở trạng thái nghỉ mà không cần phải bật nguồn cho chúng
- Kiểm tra phần mềm để tìm các lỗ hổng đã biết trước khi cài đặt
- Nhanh chóng quét toàn bộ hệ thống và chạy ứng dụng để tìm lỗ hổng bảo mật
Tải xuống công cụ đánh giá lỗ hổng bảo mật miễn phí để nhận báo cáo nhanh về lỗ hổng bảo mật về điểm cuối của bạn tại đây.
6. Nâng cao nhận thức về bảo mật trong tổ chức. Đảm bảo nhân viên của bạn nhận thức được các vectơ tấn công phổ biến nhất: lừa đảo và tấn công phi kỹ thuật. Đầu tư vào các giải pháp bảo mật email mạnh mẽ — một cổng email an toàn không phải lúc nào cũng đủ. MetaDefender Email Security Thêm một lớp bảo vệ mạnh mẽ hơn cho các cổng email bảo mật hiện có của bạn.
7. Đối với các tổ chức có chính sách Mang theo thiết bị của riêng bạn (BYOD), hãy đảm bảo rằng người dùng không cài đặt các ứng dụng chưa được ký hoặc của bên thứ ba. Đầu tư vào các giải pháp di động doanh nghiệp cho phép thực hành BYOD an toàn hơn, chẳng hạn như môi trường ảo, phân loại dữ liệu và giải pháp quét toàn vẹn thiết bị.
Nếu bạn đã bị nhiễm bệnh thì sao?
- Cô lập thiết bị bị nhiễm khỏi mạng càng nhanh càng tốt. Điều này giúp ngăn chặn sự lây lan của ransomware .
- Kiểm tra xem bạn có điểm khôi phục hệ thống khỏe mạnh có thể được sử dụng để truy xuất tệp hay không.
- Nếu bạn đã đầu tư vào giải pháp sao lưu và khôi phục sau thảm họa, hãy kiểm tra với nhóm hỗ trợ của bạn để xác nhận xem dữ liệu có thể khôi phục được hay không.
- Trong một số trường hợp, có thể giải mã các tệp của bạn. Dưới đây là một số công cụ giải mã ransomware có sẵn miễn phí được cung cấp bởi các công ty chống phần mềm độc hại:
Một danh sách đầy đủ các công cụ giải mã ransomware miễn phí để mở khóa các tập tin được duy trì bởi những người tốt tại Windows Club. Ngoài ra, hãy kiểm tra dự án Không còn tiền chuộc để xác định xem bạn có thể khôi phục các tệp được mã hóa của mình hay không.
Lưu ý cuối cùng, OPSWAT không khuyên bạn nên trả tiền chuộc. Không có gì đảm bảo rằng, sau khi nhận được tiền chuộc, những kẻ tấn công sẽ giải mã các tệp và bạn có thể tự mở cho mình các yêu cầu tiền chuộc bổ sung.
Để tìm hiểu thêm về cách thực hiện OPSWAT Có thể bảo vệ tổ chức của bạn khỏi ransomware, liên hệ với chúng tôi ngay hôm nay.
