Những kẻ tấn công Ransomware là ai và họ đang theo đuổi điều gì

Những kẻ tấn công Ransomware là ai và họ đang theo đuổi điều gì?

July 13, 2021 | vietsunshine

Đừng để ransomware làm bất ngờ bạn. Hiểu ai là kẻ tấn công, mục tiêu của họ là gì, và bạn có thể làm gì để tránh trở thành nạn nhân tiếp theo.

Cuối tuần qua ngày 4 tháng 7, có lẽ sự cố ransomware lớn nhất toàn cầu đã xảy ra. Đứng sau vụ tấn công: REvil, một nhóm tấn công mạng bằng ransomware. Cuộc tấn công đã tấn công ít nhất 17 quốc gia và ảnh hưởng đến hàng nghìn doanh nghiệp. Nhu cầu của họ? 70 triệu đô la Bitcoin để khử mã hóa tất cả dữ liệu của công ty cùng một lúc.

REvil chỉ là một ví dụ về những tin tặc tinh vi ngày nay. Các băng nhóm tội phạm mạng này không gây rối với các kỹ thuật cũ hoặc dữ liệu có giá trị thấp.

Thấu hiểu về kẻ thù của bạn: Cái nhìn về hacker ransomware của ngày hôm nay

Những kẻ tấn công ransomware ngày nay là tội phạm, nhưng họ cũng là những người kinh doanh hiểu biết, những người đã xây dựng doanh nghiệp trị giá hàng tỷ đô la từ việc đánh cắp và giữ dữ liệu của các công ty làm con tin. Họ thực hiện nghiên cứu của họ, họ biết bạn có dữ liệu nào (và dữ liệu nào bạn muốn bảo vệ), họ biết khách hàng của bạn là ai và thậm chí họ biết nơi bạn mua bảo hiểm an ninh của mình. Họ cũng không ngại đàm phán.

Nếu ransomware hiện đại là một công việc kinh doanh, thì phần mềm tấn công tinh vi là mô hình hoạt động của chúng, và tiền chuộc là doanh thu của chúng. Trên thực tế, các nền tảng tấn công ransomware thậm chí có thể được mua như một dịch vụ, điều này đang đưa những khả năng mạnh mẽ này vào tay những kẻ tấn công. (REvil là một hoạt động ransomware-as-a-service [RaaS] private). Điều này có nghĩa là nó không chỉ là những tổ chức tội phạm lớn thực hiện các cuộc tấn công hiệu quả cao. Đó có thể là một tin tặc đơn độc ở một quốc gia khác đã mua phần mềm hoặc đăng ký nền tảng và khiến bạn trở thành mục tiêu tiếp theo của họ.

Tội phạm mạng ngày nay cũng phát triển nhanh chóng, so với các tin tặc ngày hôm qua, những kẻ thường ngồi im trên mạng của bạn trong nhiều tháng, theo dõi và chờ đợi. Các cuộc tấn công này nhanh chóng và chiến lược. Tệ hơn nữa, những tin tặc này hiểu rõ góc độ PR của một cuộc tấn công, và họ biết cách sử dụng nó. Họ sẽ không chỉ lấy hệ thống của bạn và lấy cắp dữ liệu của bạn — họ sẽ lấy dữ liệu nhạy cảm và đe dọa cung cấp dữ liệu đó cho các cửa hàng tin tức và trò chuyện với các phóng viên về vụ tấn công trừ khi bạn trả tiền.

Các cuộc tấn công bằng Ransomware được thực hiện như thế nào?

Trong một thời gian, mối đe dọa về các cuộc tấn công bằng ransomware tự động dường như còn nham hiểm hơn ý tưởng về việc một hacker một mình trong tầng hầm đánh máy. Tuy nhiên, các xu hướng gần đây cho thấy những kẻ tấn công hiểu biết đang chuyển dần từ các cuộc tấn công hàng loạt, tự động sang các cuộc tấn công có sắc thái, phức tạp và có mục tiêu hơn. Điều này cho phép họ thực hành nhiều hơn và chính xác hơn.

Dữ liệu và hệ thống nào có giá trị nhất đối với tội phạm mạng?

Tội phạm mạng biết chính xác dữ liệu nào sẽ được bán với giá cao nhất trên dark web hoặc gây ra sự hỗn loạn nhất nếu được phát hành hoặc thậm chí bị xóa. Ngày nay, việc này phức tạp hơn rất nhiều so với việc chỉ ăn cắp số thẻ tín dụng, số thẻ này có thể được bán với giá chỉ bằng một đô la. Hồ sơ bệnh nhân có giá trị hơn nhiều trong việc đánh cắp danh tính và có thể bán với giá từ $ 55 đến $ 85. Tội phạm mạng cũng đang theo đuổi quyền sở hữu trí tuệ (IP) – đặc biệt là khi khoa học và công nghệ có liên quan, như sơ đồ sản phẩm nhạy cảm.

Chính quyền và các công ty kinh doanh trong lĩnh vực chăm sóc sức khỏe, giáo dục và sản xuất có một số dữ liệu có giá trị cao nhất. Nhưng ngoài giá trị tiền tệ, một số dữ liệu nhất định có thể có giá trị trong khả năng gây rối. Điều này bao gồm thông tin làm gián đoạn các cuộc điều tra về các vụ án hình sự mở, gây thiệt hại về danh tiếng hoặc dẫn đến các khoản tiền phạt lớn theo quy định hoặc tuân thủ.

Bạn có phải là mục tiêu của Ransomware?

Mọi công ty đều là mục tiêu khả thi của ransomware, nhưng một số tạo ra mục tiêu tốt hơn – và sinh lợi hơn – so với những mục tiêu khác.

Đầu tiên, những kẻ tấn công hiểu biết thường biết rõ. Thực hiện các cuộc tấn lớn, gây tiếng vang có thể đưa chúng vào tầm ngắm của các nhà điều tra, công tố viên và các hãng tin tức. Khi mọi thứ đã xuất hiện trên các tiêu đề báo chí, thì vấn đề đã đi quá xa. Để tiếp tục cuộc chơi, nhiều nhóm trong số này nhắm mục tiêu đến các tổ chức quy mô vừa (1.000-5.000 nhân viên) ít có khả năng lên trang nhất.

Thứ hai là một xu hướng đáng lo ngại: nhắm mục tiêu vào các nhà cung cấp dịch vụ thiết yếu dẫn đến tình trạng ngừng hoạt động lớn và gián đoạn trên diện rộng. Đây chính xác là những gì mà vụ hack REvil tìm cách thực hiện, nhắm vào công ty phần mềm Kresaya, và lần lượt ảnh hưởng đến hàng nghìn khách hàng của họ. Tin tặc đang tìm kiếm sự khẩn cấp để trở lại trực tuyến. Và trả tiền chuộc có thể là cách nhanh nhất, dễ dàng nhất để làm điều đó. Từ các nhà cung cấp bảo hiểm và đường ống dẫn dầu đến chính quyền thành phố và thậm chí cả các nhà cung cấp bảo hiểm an ninh mà chúng ta trả tiền để bảo vệ chúng ta, tin tặc đang tìm ra cách để dành thời gian cho họ.

Làm thế nào bạn có thể tránh trở thành nạn nhân của Ransomware?

Nếu bạn có sẵn kế hoạch phòng ngừa, sao lưu và khôi phục toàn diện, kín kẽ, bạn sẽ ít có khả năng trở thành nạn nhân của một cuộc tấn công bằng ransomware tàn khốc. Tuy nhiên, đối với các công ty không có giải pháp sao lưu và phục hồi phù hợp, việc trả tiền chuộc có vẻ nhanh hơn và dễ dàng hơn. Chỉ có điều, việc trả tiền chuộc đi kèm với sự đảm bảo bằng không. Như đã chứng minh trong các cuộc tấn công gần đây, kẻ xấu không phải lúc nào cũng kiểm tra kỹ lưỡng các công cụ khôi phục của chúng. Các công cụ này có thể rất chậm để khôi phục dữ liệu đã mã hóa hoặc thậm chí tệ hơn, chúng có thể hoàn toàn không hoạt động.

Bảo vệ tổ chức của bạn khỏi các tác động và thiệt hại của một cuộc tấn công ransomware có nghĩa là được chuẩn bị ở mọi thời điểm trong suốt vòng đời của ransomware. Điều đó bao gồm việc có kế hoạch trước khi tấn công, trong khi tấn công và sau khi tấn công. Pure Storage có các giải pháp để trợ giúp mọi lúc.

  • Trước một cuộc tấn công: Pure có thể đóng vai trò là một nền tảng rất nhanh để nhập nhật ký và cung cấp hiệu suất mở rộng và phân cấp dữ liệu để xử lý tốc độ cao với các công cụ phân tích bảo mật được sử dụng bởi cyber threat hunters.
  • Trong một cuộc tấn công: SafeMode™ snapshots độc đáo và có tính khác biệt cao của Pure cung cấp tính bất biến, vì vậy chúng không thể thay đổi sau khi đã ghi. SafeMode cũng cung cấp thêm một lớp bảo vệ snapshot. Không thể xóa chúng khỏi array, ngay cả bởi một người hoặc quy trình có thông tin xác thực quản trị. Ngoài ra, Pure array đi kèm với mã hóa AES-256 không thể tắt hoặc vô hiệu hóa.
  • Sau một cuộc tấn công: Tính năng RapidRestore của Pure có thể giúp khôi phục dữ liệu của bạn ở tốc độ lớn hơn 270TB/giờ. Điều này cực kỳ quan trọng vì điều quan trọng nhất sau một cuộc tấn công là tốc độ.

Nguồn: Who Are Ransomware Attackers and What Are They After?

Xem thêm: Pure Storage – Giải pháp lưu trữ all flash leader Gartner dành cho doanh nghiệp

Tags: , , ,