Mục lục bài viết || Contents of the article

    Ransomware là mối đe dọa bảo mật hàng đầu với bất cứ tổ chức, doanh nghiệp nào. Bởi một khi bị tấn công ransomware, doanh nghiệp không chỉ mất quyền truy cập vào dữ liệu mà còn phải trả một khoản tiền chuộc lớn để lấy lại dữ liệu từ tin tặc. Vậy, bản chất ransomware là gì? Cách thức hoạt động ra sao? Có những loại phổ biến nào? Doanh nghiệp cần làm gì để ngăn chặn triệt để? Hãy cùng tìm hiểu trong bài viết dưới đây.

    1. Ransomware là gì?

    ma-doc-ransomware-1

    Ransomware (mã độc tống tiền) là một dạng phần mềm độc hại được tin tặc sử dụng nhằm mã hóa hoặc chặn người dùng truy cập dữ liệu. Để lấy lại quyền kiểm soát dữ liệu, doanh nghiệp sẽ phải trả một khoản tiền chuộc theo yêu cầu của tin tặc. Tùy vào mức độ quan trọng của dữ liệu và quy mô của doanh nghiệp mà tiền chuộc có thể dao động từ vài nghìn đô đến vài triệu đô.

    2. Nguồn gốc của ransomware

    Cũng như các phần mềm độc hại khác, ransomware có thể ẩn nấp trong các phần mềm, đường link, tập tin khi người dùng thực hiện các thao tác:

    • Click vào quảng cáo.
    • Click vào file đính kèm có trong email.
    • Mở file trong các phần mềm đã crack.
    • Truy cập vào những trang web giả mạo hoặc web đen.
    • Download và cài đặt những phần mềm lạ, không rõ xuất xứ nguồn gốc.
    • Hoặc máy tính bị cài ransomware tự động thông qua USB hoặc các lỗ hổng của hệ thống mạng.

    3. Cách thức ransomware hoạt động

    Sau khi đã xâm nhập vào máy tính của người dùng, ransomware sẽ rà soát máy tính và thực hiện một số tác vụ như:

    • Mã hóa toàn bộ dữ liệu như dạng đuôi .doc, .xls, .pdf, file email.
    Thông báo tống tiền từ tin tặc
    • In một thông báo “tống tiền” ra ngoài màn hình chính hoặc để lại file có nội dung “tống tiền”.

    4. Các loại ransomware phổ biến

    Ransomware có 2 biến thể chính là CryptoLocker và CTB Locker.

    CryptoLocker chuyên dùng để chiếm quyền truy cập, sử dụng và mã hóa toàn bộ dữ liệu của người dùng. Dữ liệu này bao gồm tất cả các file *.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg.

    CTB Locker dùng TOR để giấu, ẩn đi các gói dữ liệu C&C trên máy tính. CTB Locker là biến thể nâng cấp của CryptoLocker. Ngoài việc mã hoá dữ liệu và tống tiền, CTB Locker sử dụng linh hoạt các biện pháp che dấu danh tính (TOR) để tránh bị truy vết bởi các đơn bị an ninh.

    5. Doanh nghiệp bị thiệt hại bao nhiêu tiền khi bị nhiễm ransomware?

    Không có câu trả lời cụ thể cho câu hỏi trên. Mức độ thiệt hại tài chính phụ thuộc vào nhiều yếu tố, có thể là do mức độ quan trọng của dữ liệu, quy mô của doanh nghiệp hoặc do chính đòi hỏi từ tin tặc. Đối với các doanh nghiệp nhỏ lẻ, tin tặc có thể đòi vài nghìn đô. Tuy nhiên, với các doanh nghiệp lớn, có danh tiếng thì con số này có thể lên tới hàng triệu đô la.  

    ma-doc-ransomware-2

    Khuyến cáo từ các chuyên gia an ninh mạng SecurityBox

    Hiện nay, tin tặc ngày càng trở nên tinh vi và xảo quyệt. Ngay cả khi doanh nghiệp đã trả đủ tiền chuộc, chúng vẫn tìm cách để tiếp tục trục lợi tài chính. Ví dụ như: yêu cầu cài đặt thêm phần mềm để mở khóa dữ liệu nhưng thực tế đó lại là một mã độc khác. Vì vậy, trong trường hợp bị mã độc tống tiền, doanh nghiệp không nên thực hiện các yêu cầu của tin tặc mà nên liên hệ với các đơn vị an ninh mạng như SecurityBox để được hỗ trợ.

    6. Các ví dụ về ransomware

    6.1. AIDS Trojan

    Một trong những ransomware đầu tiên được biết đến là AIDS Trojan. AIDS Trojan được tạo ra bởi Tiến sỹ sinh học tiến hóa Joseph Popp. Tiến sỹ Popp đã gửi đĩa mềm nhiễm mã độc cho hàng trăm người và đánh lừa họ rằng đây là đĩa mềm giới thiệu thông tin về AIDS.

    AIDS Trojan sẽ thay thế tệp AUTOEXEC.BAT trong hệ thống. Tập tin này sau đó được AIDS dùng để đếm số lần máy tính khởi động. Khi số lần khởi động đạt đến 90, ransomware sẽ ẩn các thư mục và mã hóa tên của tất cả các tệp trên ổ cứng, khiến hệ thống không thể hoạt động được.

    Sau đó, nạn nhân sẽ nhận được một yêu cầu “gia hạn giấy phép” và phải liên hệ với PC Cyborg Corporation để thanh toán tiền chuộc ($189). Tiến sỹ Popp cuối cùng được tuyên bố là không đủ điều kiện để hầu tòa. Tuy nhiên, ông hứa sẽ quyên góp lợi nhuận từ ransomware để tài trợ cho các nghiên cứu về AIDS.

    6.2. WannaCry

    WannaCry, một loại ransomware mã hóa máy tính, lần đầu xuất hiện vào ngày 12 tháng 5 năm 2017. WannaCry còn được gọi là WannaCrypt, WCry, Wana Decrypt0r 2.0, WannaCrypt0r 2.0 và Wanna Decryptor. Tiền chuộc nạn nhân phải trả dao động từ $300 đến $600 và phải được thanh toán bằng Bitcoin. WannaCry nhắm vào các máy tính đang chạy hệ điều hành Microsoft Windows phiên bản lỗi thời bằng cách khai thác lỗ hổng EternalBlue trong giao thức Server Message Block (SMB). 

    Một nhóm tin tặc có tên The Shadow Brokers đã khai thác EternalBlue từ Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) vài tháng trước khi xảy ra cuộc tấn công mạng. Sự cố này đã được NSA phát hiện nhưng họ không hề thông báo cho Microsoft. Đó là lý do NSA bị chỉ trích rất nhiều sau đó. 

    Mặc dù đã được vá nhanh chóng nhưng WannaCry vẫn lây lan sang khoảng 200.000 máy tính trên 150 quốc gia, gây thiệt hại hàng tỷ đô.

    6.3. CryptoLocker

    CryptoLocker, một Trojan horse mã hóa, xuất hiện từ ngày 5 tháng 9 năm 2013 đến cuối tháng 5 năm 2014. Trojan này nhắm mục tiêu vào các máy tính chạy Microsoft Windows, lây lan qua các tệp đính kèm của email bị nhiễm và thông qua mạng botnet Gameover ZeuS hiện có. Tiếp đó, CryptoLocker hiển thị một thông báo đòi tiền chuộc đề nghị giải mã dữ liệu nếu thanh toán bằng Bitcoin hoặc chứng từ tiền mặt trả trước. Tin tặc cũng đe dọa xóa khóa giải mã nếu quá hạn. 

    Như các loại ransomware khác, không có gì đảm bảo dữ liệu sẽ được “mở khóa” khi nạn nhân thanh toán tiền chuộc. Tuy nhiên, số lượng nạn nhân trả tiền chuộc để “cứu” dữ liệu vẫn rất nhiều. Theo một số nguồn tin, tin tặc đã tống tiền được khoảng 3 triệu đô sau phi vụ này. 

    6.4. Petya

    Petya là một loại ransomware được phát hiện lần đầu tiên vào năm 2016. Petya lây nhiễm vào bản ghi khởi động chính (MBR) của máy tính, ghi đè bộ nạp khởi động Windows và kích hoạt khởi động lại. Khi khởi động, tải trọng sẽ mã hóa hệ thống tệp NTFS, sau đó hiển thị thông báo tiền chuộc yêu cầu thanh toán bằng Bitcoin. 

    Petya bản gốc yêu cầu người dùng cung cấp các đặc quyền quản trị. Một biến thể khác kèm Petya là Mischa sẽ được kích hoạt nếu Petya không cài đặt được. Mischa là một ransomware mã hóa tài liệu người dùng và các tệp thực thi mà không cần đặc quyền quản trị. Các phiên bản đầu tiên của Petya được ngụy trang dưới dạng PDF, phát tán qua các tệp đính kèm email.

    Đến tháng 6 năm 2017, một biến thể mới được gọi là NotPetya đã được phát hiện đang lây lan, giống như WannaCry thông qua EternalBlue. 

    6.5. Bad Rabbit

    Bad Rabbit được người dùng ở Nga và Ukraine phát hiện vào ngày 24 tháng 10 năm 2017. Nó tương tự như WannaCry và Petya, mã hóa các tệp tin của người dùng và yêu cầu họ thanh toán bằng Bitcoin để được giải mã.

    Bad Rabbit lây lan thông qua một bản cập nhật không có thật cho Adobe Flash và lây nhiễm sang Interfax, Sân bay Quốc tế Odessa, Tàu điện ngầm Kiev và Bộ Cơ sở hạ tầng Ukraine. Bat Rabbit còn lan các quốc gia khác bao gồm Thổ Nhĩ Kỳ, Đức, Ba Lan, Nhật Bản, Hàn Quốc và Hoa Kỳ. Các chuyên gia tin rằng Bat Rabbit có liên quan đến cuộc tấn công Petya ở Ukraine. Bởi mã của Bad Rabbit có nhiều yếu tố trùng lặp và tương tự với mã của Petya / NotPetya.

    6.6. TeslaCrypt

    TeslaCrypt là một trojan hiện không còn tồn tại, lây lan thông qua việc khai thác Angler Adobe Flash. Ở dạng ban đầu, TeslaCrypt đã tìm kiếm 185 tệp mở rộng tệp liên quan đến 40 trò chơi khác nhau, bao gồm Call of Duty, World of Warcraft, Minecraft và World of Tanks và mã hóa các tệp. Các tệp này liên quan đến việc lưu dữ liệu, hồ sơ người chơi, bản đồ tùy chỉnh và bản mod trò chơi được lưu trữ trên ổ cứng của nạn nhân.

    Các biến thể mới hơn của TeslaCrypt cũng mã hóa Word, PDF, JPEG và các phần mở rộng tệp khác. Để giải mã các tệp, nạn nhân phải trả tiền chuộc khoảng $500 bằng Bitcoin. Vào tháng 5 năm 2016, các nhà phát triển của TeslaCrypt đã “chấm dứt” ransomware này và phát hành khóa giải mã chính.

    6.7. Locky

    Locky được phát hành vào năm 2016 và được phát tán qua email với một tài liệu Microsoft Word bị lây nhiễm chứa macro . Khi người dùng mở tài liệu, sẽ có một thông báo hiện lên “Bật macro nếu mã hóa dữ liệu không chính xác”. Nếu người dùng bật macro, Word sẽ lưu và tải xuống Trojan, mã hóa tất cả các tệp với một phần mở rộng cụ thể. 

    Các phiên bản tiếp theo đã sử dụng các tệp mở rộng tệp khác bao gồm .zepto, .odin, .aesir, .thor và .zzzzz. Phiên bản hiện tại, được phát hành vào tháng 12 năm 2016, sử dụng phần mở rộng .osiris cho các tệp được mã hóa. Sau khi mã hóa, một thông báo sẽ được hiển thị trên màn hình của người dùng hướng dẫn họ tải xuống Tor và truy cập trang web dark web để biết thêm thông tin. Trang web có hướng dẫn thanh toán từ 0,5 đến 1 Bitcoin. Các khóa giải mã của Locky được tạo từ phía máy chủ, khiến cho việc giải mã thủ công là không thể.

    7. Cách thức phòng chống ransomware triệt để

    Phòng bệnh hơn chữa bệnh. Đừng để đến khi thiệt hại nặng nề mới tìm giải pháp. Hãy phòng chống ransomware xâm nhập ngay từ hôm nay bằng cách thực hiện các biện pháp sau:

    • Cân nhắc khi click vào bất cứ email lạ nào. Khi nhìn thấy email lạ, có dấu hiệu giả mạo thì không nên click vào email đó. Đặc biệt là không click vào các liên kết hoặc tải các file đính kèm trong email.
    • Sử dụng dịch vụ đánh giá an ninh mạng để phát hiện và khắc phục sớm các mối đe dọa như ransomware đang nhăm nhe tấn công doanh nghiệp.
    • Sao lưu dữ liệu thường xuyên. SecurityBox gợi ý doanh nghiệp nên sao lưu quy tắc 3-2-1. Theo quy tắc này, doanh nghiệp nên sao lưu ít nhất ba bản dữ liệu trên ít nhất hai phương tiện lưu trữ khác nhau. Trong đó, một bản sao lưu được đặt tại một địa điểm ngoài doanh nghiệp.
    • Liên hệ với những đơn vị an ninh mạng như SecurityBox trong trường hợp gặp sự cố để được tư vấn tốt nhất.

    Xem thêm: 10 bước đối phó với tấn công ransomware

    Nếu doanh nghiệp muốn bảo vệ hệ thống mạng khỏi ransomware, hãy đăng ký để nhận tư vấn từ SecurityBox.

    Bài viết đề xuất || Recommended
    Theo một báo cáo từ Kaspersky, một nhóm các hacker của Triều Tiên có tên gọi BlueNoroff, đang chủ yếu nhắm mục tiêu vào các công ty khởi nghiệp tiền điện...
    Panasonic vừa xác nhận rằng, tin tặc đã truy cập được vào thông tin cá nhân của các ứng viên tuyển dụng, trong một cuộc tấn công mạng diễn ra từ tháng...
    1. Về sự cố một tổng công ty bị rao bán  Gần đây, hacker có biệt danh "cityofhanporridge" đã rao bán dữ liệu được cho là của Tổng công ty Tân Cảng...