This post is also available in: Tiếng Việt (Vietnamese)
Các vấn đề an ninh mạng nổi bật trong các tin tức công nghệ vào năm 2021, và một trong những vấn đề được đặc biệt quan tâm, đó là ransomware. Nó nổi lên như một trong những mối đe dọa đáng lo ngại nhất vào năm 2021, và một số chuyên gia gọi năm 2021 là “năm của ransomware.”
Năm 2021 đã chứng kiến nhiều cuộc tấn công ransomware lớn liên quan đến các khoản thanh toán tiền chuộc khổng lồ, dữ liệu bị rò rỉ và sự gián đoạn hoạt động của nhiều doanh nghiệp lớn. Hàng nghìn doanh nghiệp, bệnh viện và tổ chức chính phủ/phi chính phủ đều trở thành nạn nhân của ransomware.
Hiểu về mối đe dọa Ransomware
Ransomware là một loại phần mềm độc hại, sau khi lây nhiễm vào máy tính, chúng sẽ mã hóa hoặc chặn quyền truy cập dữ liệu trên ổ đĩa máy tính. Và sau đó chúng sẽ thông báo đến nạn nhân, yêu cầu khoản tiền chuộc nhất định để có thể khôi phục lại dữ liệu quan trọng của mình.
Trong những năm gần đây, không phải virus, mà chính ransomware mới là mối đe dọa đối với các tổ chức, doanh nghiệp. Ransomware đã được Bộ Tư pháp Hoa Kỳ đánh giá là một mô hình mới của tội phạm mạng có khả năng gây ra các tác động trên quy mô toàn cầu.
Cơ chế của một cuộc tấn công Ransomeware
Ransomware thường lây lan qua thư rác hoặc email lừa đảo, các trang web độc hại, giả mạo hoặc trong các phần mềm không rõ nguồn gốc được tải xuống, để lây nhiễm vào thiết bị cuối cũng như xâm nhập/lây lan thông qua hệ thống mạng nội bộ. Khi đã xâm nhập, ransomware sau đó khóa tất cả các tệp mà nó tìm thấy được bằng thuật toán mã hóa mạnh, khiến người dùng không thể truy cập vào các tệp này hay phá hoại hoạt động của hệ thống. Cuối cùng, những kẻ phát tán phần mềm độc hại này yêu cầu tiền chuộc (thường phải trả bằng Bitcoin) để giải mã các tệp và khôi phục toàn bộ hoạt động cho các hệ thống CNTT bị ảnh hưởng. Trong một số trường hợp, phần mềm ransomware được cài đặt cùng với trojan để có quyền kiểm soát nhiều hơn trên thiết bị của nạn nhân.
Quy trình của một cuộc tấn công Ransomware:
- Lây nhiễm: Sau khi được gửi đến hệ thống qua email lừa đảo, hoặc phần mềm tải xuống, (Hoặc bằng các phương thức tấn công khác) ransomware sẽ tự cài đặt trên thiết bị đầu cuối và mọi thiết bị mạng mà nó có thể truy cập.
- Tạo khóa mã hóa: Các ransomware liên lạc với máy chủ chỉ huy và kiểm soát được điều hành bởi bọn tội phạm mạng đằng sau cuộc tấn công; để tạo ra các khóa cryptographic được sử dụng trên hệ thống cục bộ.
- Mã hóa: Các ransomware bắt đầu mã hóa mọi dữ liệu có giá trị mà nó có thể tìm thấy trên các máy cục bộ và mạng.
- Thông báo: Với công việc mã hóa được thực hiện, ransomware hiển thị các hướng dẫn về tống tiền và thanh toán tiền chuộc, đe dọa hủy dữ liệu nếu thanh toán (thường bằng Bitcoin) không được thực hiện.
- Mở khóa: Các tổ chức có thể trả tiền chuộc và hy vọng tội phạm mạng thực sự giải mã các tệp bị ảnh hưởng (trong nhiều trường hợp trả tiền nhưng vẫn sẽ không được thực sự giải mã). Hoặc họ có thể thử phục hồi bằng cách xóa các tệp và hệ thống bị nhiễm khỏi mạng và khôi phục dữ liệu từ các bản sao lưu sạch.
Các loại Ransomeware
Dựa vào một số điểm khác nhau trong cách thức hoạt động, có thể chia ransomware thành 3 loại chính: Encrypting (Ransomware mã hóa), Non-encrypting (Ransomware không mã hóa), Leakware (Doxware). Thêm vào đó, với tốc độ phát triển của công nghệ đã xuất hiện thêm các chủng ransomware trên mobile (Android và iOS), ransomware trong IoT hay thậm chí máy ảnh DSLR cũng có thể bị lây nhiễm phần mềm độc hại này.
- Ransomware mã hóa (Encrypting) là loại phần mềm tống tiền phổ biến nhất, chúng mã hóa dữ liệu (tệp tin và thư mục) của người dùng. Sau khi xâm nhập vào máy tính, chúng sẽ âm thầm kết nối với server của kẻ tấn công, tạo ra hai chìa khóa – một khóa công khai để mã hóa các file của bạn, một khóa riêng do server của hacker nắm giữ, dùng để giải mã. Các file này sẽ bị đổi đuôi thành những định dạng nhất định và báo lỗi khi người dùng cố gắng mở.
- Ransomware không mã hóa (Non-encrypting) (hay còn gọi là Locker) là loại phần mềm không mã hóa file của nạn nhân. Tuy nhiên, nó khóa và chặn người dùng khỏi thiết bị. Nạn nhân sẽ không thể thực hiện được bất kỳ thao tác nào trên máy tính (ngoại trừ việc bật – tắt màn hình). Trên màn hình cũng sẽ xuất hiện hướng dẫn chi tiết về cách thanh toán tiền chuộc để người dùng có thể truy cập lại và sử dụng thiết bị của mình.
- Leakware (Doxware): Một số loại ransomware đe dọa công khai dữ liệu của nạn nhân lên mạng nếu không chịu trả tiền chuộc. Trường hợp này thường là các file nhạy cảm hoặc ảnh cá nhân, loại ransonware này thường được gọi là leakware hoặc doxware.
- Mobile ransomware: Trên điện thoại, ransomware xuất hiện dưới dạng phần mềm chặn người dùng khỏi việc truy cập dữ liệu (loại non-encrypting) thay vì mã hóa dữ liệu. Bởi vì dữ liệu trên mobile có thể dễ dàng khôi phục thông qua đồng bộ hóa trực tuyến (online sync).
Theo một báo cáo được Tạp chí tội phạm mạng công bố, chi phí thiệt hại do ransomware gây ra trên toàn thế giới cho năm 2021 sẽ vào khoảng 20 tỷ đô la và cứ 11 giây sẽ có một cuộc tấn công ransomware.
Các cuộc tấn công Ransomware lớn nhất trong năm nay
Mặc dù ransomware không phải là một hiện tượng mới, nhưng tác động toàn cầu của nó đã đạt đến tầm cao mới vào năm 2021. Các cuộc tấn công trong năm nay không chỉ ảnh hưởng lớn tới các công ty và tập đoàn hàng triệu đô la mà còn ảnh hưởng trực tiếp đến cộng đồng.
- Colonial Pipeline
Đầu năm nay, hệ thống đường ống lớn nhất cho các sản phẩm dầu tinh luyện ở Hoa Kỳ, Colonial Pipeline Co., là đối tượng của một cuộc tấn công ransomware lớn và kéo theo hậu quả lớn sau đó.
Cuộc tấn công vào Colonial Pipeline gây ra sự gián đoạn trong việc cung cấp xăng và nhiên liệu máy bay trên khắp bờ biển phía đông Hoa Kỳ. Cuộc tấn công lần đầu tiên được xác định vào ngày 7 tháng 5, đó là khi nguồn cung bị gián đoạn và công ty không thể tiếp tục cung cấp cho đến ngày 12 tháng 5.
Vụ tấn công Colonial Pipeline được thực hiện bởi nhóm khét tiếng DarkSide, được cho là có trụ sở tại Nga. Những kẻ tấn công đã có thể xâm nhập hệ thống thông qua mạng ảo riêng của công ty, sử dụng tên người dùng và mật khẩu bị xâm nhập.
Kẻ tấn công đã quản lý để ngăn chặn hoạt động của công ty nạn nhân và nắm giữ gần 100GB dữ liệu nhạy cảm và bí mật, chúng đe dọa sẽ tiết lộ công khai những dữ liệu này trừ khi Colonial Pipeline đồng ý trả khoảng 5 triệu đô la tiền chuộc.
Cuối cùng công ty đã trả tiền chuộc, những thiệt hại đã xảy ra rõ ràng và các lỗ hổng trong tổ chức lớn nhất và có ảnh hưởng nhất đã lộ ra.
- JBS Foods
Nhà sản xuất thịt lớn nhất thế giới đã trở thành mục tiêu trong một cuộc tấn công bằng ransomware lớn nhất thế giới vào năm 2021.
Đầu năm nay, JBS Foods USA – công ty chịu trách nhiệm sản xuất 1/4 lượng thịt bò của Mỹ – đã buộc phải tạm dừng hoạt động tại tất cả 13 nhà máy chế biến của mình trên khắp nước Mỹ. Cuộc tấn công đe dọa đất nước với tình trạng thiếu hụt nguồn cung nghiêm trọng và sự gián đoạn tiềm tàng trong mạng lưới cung cấp thực phẩm, khiến các cửa hàng tạp hóa, nông dân, nhà hàng và một số ngành công nghiệp liên quan khác gặp nguy hiểm.
Được biết, JBS Foods, với sự tham vấn của các chuyên gia CNTT và an ninh mạng của họ, đã quyết định trả 11 triệu USD bằng Bitcoin, khiến đây trở thành một trong những số tiền chuộc lớn nhất từng được trả. JBS Foods đưa ra quyết định này để giảm thiểu tác động của cuộc tấn công và ngăn chặn những sự gián đoạn tiếp theo.
Giám đốc điều hành của JBS Hoa Kỳ đã bày tỏ quan điểm của mình và giải thích thêm về lý do đằng sau quyết định trả khoản tiền chuộc, ông nói:
“Đây là một quyết định rất khó khăn đối với công ty chúng tôi và đối với cá nhân tôi, tuy nhiên, chúng tôi cảm thấy quyết định này phải được thực hiện để ngăn chặn mọi rủi ro tiềm ẩn cho khách hàng của chúng tôi.”
Các cuộc điều tra đã buộc tội một nhóm tội phạm mạng có trụ sở tại Nga lấy tên là REvil thực hiện cuộc tấn công này. Nhóm này cũng đã bị cáo buộc về một số cuộc tấn công ransomware quy mô lớn khác trong nhiều ngành và lĩnh vực.
- Brenntag
Brenntag, công ty phân phối hóa chất có trụ sở tại Đức với hoạt động tại hơn 77 quốc gia, đã bị tấn công bởi một trong những cuộc tấn công Ransomware lớn nhất năm 2021. Bộ phận Bắc Mỹ của công ty đã bị DarkSide, cùng một nhóm ransomware đứng sau vụ tấn công Colonial Pipeline, nhắm mục tiêu.
Những kẻ tấn công đã thực hiện mã hóa dữ liệu và thiết bị trên mạng bị xâm nhập và cuối cùng đã đánh cắp khoảng 150GB dữ liệu. DarkSide tuyên bố rằng họ có thể phát động cuộc tấn công sau khi truy cập vào mạng thông qua thông tin đăng nhập bị đánh cắp mà nó đã mua, đây là một khía cạnh đáng báo động.
Cuối cùng, Brenntag đồng ý trả khoảng 4,4 triệu đô la tiền chuộc, sau khi thương lượng giảm xuống từ 7,5 triệu đô la, để khôi phục hoạt động và giảm thiểu sự gián đoạn thêm nữa.
- Acer
Quý đầu tiên của năm 2021 là một thảm họa đối với nhiều công ty, và Acer cũng nằm trong một số trường hợp không may mắn đó. Acer đã bị tấn công bởi REvil, cũng chính là băng nhóm tội phạm mạng đã tấn công JBS Foods trong năm nay.
Được biết, những kẻ tấn công đã tận dụng một lỗ hổng trong máy chủ trao đổi Microsoft của Acer để xâm phạm hệ thống bảo mật của Acer. REvil đã nắm giữ dữ liệu và thông tin nhạy cảm, một số trong số đó cũng đã được tải lên một trang web để làm bằng chứng cho những kẻ tấn công.
Trong khi Acer ban đầu không thừa nhận họ là mục tiêu của ransomware, REvil đã yêu cầu Acer trả 50 triệu USD, đây là một trong những số tiền chuộc lớn nhất từng được yêu cầu.
- Kaseya
Công ty phần mềm có trụ sở tại Florida, Kaseya, là nạn nhân mới nhất của một cuộc tấn công ransomware quy mô lớn. Nhóm REvil khét tiếng một lần nữa đứng đằng sau vụ tấn công này, tuyên bố đã mã hóa hơn một triệu hệ thống của khách hàng cuối.
Giám đốc điều hành của công ty nạn nhân tuyên bố cuộc tấn công đã xâm phạm từ 800 đến 1500 doanh nghiệp trên toàn cầu. Đánh giá tác động thực sự của cuộc tấn công thậm chí còn khó hơn vì hầu hết nạn nhân là khách hàng cuối cùng.
REvil ban đầu yêu cầu 70 triệu đô la, nhưng Kaseya tuyên bố họ “không trả tiền chuộc để có được bộ giải mã.”
Làm thế nào để ngăn chặn trước sự tấn công Ransomware
Mối đe dọa từ các cuộc tấn công ransomware đang tăng lên và không có dấu hiệu cho thấy mọi thứ sẽ sớm chậm lại. Việc ngăn chặn ransomware cần được thực hiện kịp thời và cẩn thận, đặc biệt với các cơ quan, tổ chức, doanh nghiệp. Để phòng chống ransomware, bạn có thể áp dụng một số cách sau đây:
- Không sử dụng các mạng wifi miễn phí, nguồn gốc không rõ ràng.
- Hạn chế click vào các đường link lạ, file lạ, các email không rõ địa chỉ, email đáng nghi.
- Thường xuyên sao lưu dữ liệu, cài đặt các phần mềm chống virus và thường xuyên cập nhật.
- Thay đổi mật khẩu mặc định trên tất cả các điểm truy cập, tạo mật khẩu mạnh.
- Tạo nhiều rào cản trên các hệ thống mạng của bạn.
- Có kế hoạch phục hồi khi lỡ bị mất dữ liệu.
Những hậu quả nghiêm trọng đằng sau những cuộc tấn công ransomware là không thể lường trước được. Thủ đoạn của hacker ngày càng tinh vi, cách thức hoạt động của các loại ransomware cũng ngày một thay đổi. Khi một loại ransomware mới bị phát tán, hầu hết các trường hợp bị nhiễm đều không thể khôi phục dữ liệu. Chính vì vậy, điều quan trọng nhất là bạn cần trang bị kiến thức phòng chống ransomware ngay hôm nay, để không gặp phải những tình huống đáng tiếc.
Theo dõi Fanpage của HTI Group để cập nhật nhiều tin tức mới nhất.