Vụ việc VNDirect và điều gì làm cho Ransomware nguy hiểm?
Vào ngày 24/03/2024, Công ty Chứng khoán VNDirect tại Việt Nam đã trở thành điểm nóng mới nhất trên bản đồ của các cuộc tấn công ransomware quốc tế.Vụ tấn công này không phải trường hợp cá biệt.
Ransomware, loại phần mềm độc hại được thiết kế để mã hóa dữ liệu trên hệ thống nạn nhân và đòi tiền chuộc để giải mã, đã trở thành một trong những mối đe dọa an ninh mạng phổ biến và nguy hiểm nhất thế giới hiện nay. Sự phụ thuộc ngày càng tăng vào dữ liệu số và công nghệ thông tin trong mọi lĩnh vực của đời sống xã hội khiến cho các tổ chức và cá nhân trở nên dễ bị tổn thương trước những cuộc tấn công này.
Nguy hiểm của ransomware không chỉ nằm ở khả năng mã hóa dữ liệu mà còn ở cách thức lan truyền và yêu cầu tiền chuộc, tạo ra một kênh giao dịch tài chính mà qua đó, hacker có thể thu lợi bất chính. Sự tinh vi và khó lường của các cuộc tấn công ransomware khiến chúng trở thành một trong những thách thức lớn nhất đối với an ninh mạng hiện nay.
Vụ tấn công vào VNDirect là một lời nhắc nhở mạnh mẽ về tầm quan trọng của việc hiểu biết và phòng chống ransomware. Chỉ khi hiểu rõ về cách thức hoạt động và mối đe dọa từ ransomware, chúng ta mới có thể thiết lập được các biện pháp bảo vệ hiệu quả, từ việc giáo dục người dùng, áp dụng các giải pháp kỹ thuật, đến xây dựng chiến lược phòng ngừa toàn diện để bảo vệ dữ liệu và hệ thống thông tin quan trọng.
Cách thức hoạt động của Ransomware
Ransomware, một mối đe dọa đáng sợ trong thế giới an ninh mạng, hoạt động theo một quy trình tinh vi và đa dạng, gây ra hậu quả nghiêm trọng cho nạn nhân. Để hiểu rõ hơn về cách thức hoạt động của ransomware, chúng ta cần đi sâu vào từng bước của quá trình tấn công.
Lây nhiễm
Cuộc tấn công bắt đầu khi ransomware lây nhiễm vào hệ thống. Có nhiều cách thức phổ biến mà ransomware sử dụng để xâm nhập vào hệ thống của nạn nhân, bao gồm:
Email lừa đảo (Phishing): Các email giả mạo có đính kèm file độc hại hoặc liên kết tới trang web chứa mã độc; Khai thác lỗ hổng bảo mật:Tận dụng các lỗ hổng trong phần mềm chưa được vá để tự động cài đặt ransomware mà không cần sự tương tác của người dùng; Quảng cáo độc hại (Malvertising): Sử dụng quảng cáo trên internet để phân phối mã độc; Tải về từ các trang web độc hại: Người dùng tải về phần mềm hoặc nội dung từ các trang web không đáng tin cậy.
Mã hóa
Sau khi lây nhiễm, ransomware bắt đầu quá trình mã hóa dữ liệu trên hệ thống của nạn nhân. Mã hóa là quá trình chuyển đổi dữ liệu thành định dạng không thể đọc được mà không có khóa giải mã. Ransomware thường sử dụng các thuật toán mã hóa mạnh mẽ, đảm bảo rằng dữ liệu bị mã hóa không thể khôi phục mà không có khóa cụ thể.
Yêu cầu tiền chuộc
Sau khi mã hóa dữ liệu, ransomware hiển thị một thông báo trên màn hình của nạn nhân, yêu cầu tiền chuộc để giải mã dữ liệu. Thông báo này thường chứa hướng dẫn về cách thức thanh toán (thường là qua Bitcoin hoặc các loại tiền mã hóa khác để giấu danh tính của tội phạm), cũng như một thời hạn thanh toán. Một số phiên bản ransomware cũng đe dọa sẽ xóa dữ liệu hoặc công bố chúng nếu không nhận được tiền chuộc.
Giao dịch và giải mã (hoặc không)
Nạn nhân sau đó phải đối mặt với quyết định khó khăn: trả tiền chuộc và hy vọng lấy lại dữ liệu, hoặc từ chối và mất dữ liệu mãi mãi. Tuy nhiên, việc trả tiền không đảm bảo dữ liệu sẽ được giải mã. Thực tế, việc này còn có thể khuyến khích tội phạm tiếp tục hành động.
Cách thức hoạt động của ransomware không chỉ cho thấy sự tinh vi trong kỹ thuật mà còn phản ánh một thực tế đáng buồn: sự sẵn lòng lợi dụng sự dễ tin và thiếu hiểu biết của người dùng. Điều này nhấn mạnh tầm quan trọng của việc nâng cao nhận thức và kiến thức về an ninh mạng, từ việc nhận biết email lừa đảo đến việc duy trì các phần mềm bảo mật được cập nhật. Đối mặt với một mối đe dọa không ngừng phát triển như ransomware, việc giáo dục và phòng ngừa trở nên quan trọng hơn bao giờ hết.
Các biến thể phổ biến của Ransomware
Trong thế giới đầy rẫy mối đe dọa của ransomware, một số biến thể nổi bật vì sự phức tạp, khả năng lan truyền mạnh mẽ, và tác động nghiêm trọng đến các tổ chức trên toàn cầu. Dưới đây là mô tả về bảy biến thể phổ biến và cách thức hoạt động của chúng.
REvil (còn được gọi là Sodinokibi)
Đặc điểm: REvil là một biến thể của Ransomware-as-a-Service (RaaS), cho phép các tội phạm mạng “thuê” nó để thực hiện các cuộc tấn công của riêng mình. Điều này làm tăng đáng kể khả năng lan truyền và số lượng nạn nhân của ransomware này.
Phương thức lan truyền: Phân phối thông qua các lỗ hổng bảo mật, email lừa đảo, và các công cụ tấn công từ xa. REvil cũng sử dụng các phương pháp tấn công để tự động mã hóa hoặc đánh cắp dữ liệu.
Ryuk
Đặc điểm: Ryuk chủ yếu nhắm vào các tổ chức lớn để tối đa hóa tiền chuộc. Nó có khả năng tự tùy chỉnh cho mỗi cuộc tấn công, giúp nó trở nên khó phát hiện và loại bỏ.
Phương thức lan truyền: Thông qua email lừa đảo và mạng lưới đã bị nhiễm bởi malware khác, như Trickbot và Emotet, Ryuk lan truyền và mã hóa dữ liệu mạng.
Robinhood
Đặc điểm: Robinhood được biết đến với khả năng tấn công vào các hệ thống chính phủ và tổ chức lớn, sử dụng một chiến thuật mã hóa tinh vi để khóa các file và yêu cầu tiền chuộc lớn.
Phương thức lan truyền: Phát tán qua các chiến dịch phishing cũng như khai thác các lỗ hổng bảo mật trong phần mềm.
DoppelPaymer
Đặc điểm: DoppelPaymer là một biến thể ransomware độc lập với khả năng gây ra thiệt hại nghiêm trọng bằng cách mã hóa dữ liệu và đe dọa sẽ công bố thông tin nếu không nhận được tiền chuộc.
Phương thức lan truyền: Lan truyền thông qua các công cụ tấn công từ xa và email lừa đảo, đặc biệt là nhắm vào các lỗ hổng trong phần mềm không được vá.
SNAKE (còn gọi là EKANS)
Đặc điểm: SNAKE được thiết kế để tấn công các hệ thống kiểm soát công nghiệp (ICS). Nó không chỉ mã hóa dữ liệu mà còn có thể gây rối loạn các quy trình công nghiệp.
Phương thức lan truyền: Qua các chiến dịch lừa đảo và khai thác lỗ hổng, nhấn mạnh vào việc nhắm mục tiêu vào các hệ thống công nghiệp cụ thể.
Phobos
Đặc điểm: Phobos có nhiều điểm tương đồng với Dharma, một biến thể ransomware khác, và thường được sử dụng để tấn công các doanh nghiệp nhỏ thông qua RDP (Remote Desktop Protocol).
Phương thức lan truyền: Chủ yếu qua RDP bị lộ hoặc yếu kém, cho phép kẻ tấn công truy cập từ xa và triển khai ransomware.
LockBit
LockBit là một biến thể ransomware phổ biến khác, hoạt động dưới mô hình Ransomware-as-a-Service (RaaS), và nổi tiếng với các cuộc tấn công vào doanh nghiệp và tổ chức chính phủ. LockBit thực hiện các cuộc tấn công của mình qua ba giai đoạn chính: khai thác lỗ hổng, xâm nhập sâu vào hệ thống, và triển khai payload mã hóa.
Giai đoạn 1 – Khai thác: LockBit khai thác lỗ hổng trong mạng bằng cách sử dụng các kỹ thuật như social engineering, chẳng hạn qua email lừa đảo, hoặc tấn công brute force vào máy chủ intranet và hệ thống mạng.
Giai đoạn 2 – Xâm nhập: Sau khi xâm nhập, LockBit sử dụng công cụ “post-exploitation” để tăng cấp độ truy cập và chuẩn bị hệ thống cho cuộc tấn công mã hóa.
Giai đoạn 3 – Triển khai: LockBit triển khai payload mã hóa trên mọi thiết bị có thể truy cập trong mạng, mã hóa tất cả các tệp hệ thống và để lại một ghi chú đòi tiền chuộc.
LockBit còn sử dụng một số công cụ tự do và mã nguồn mở trong quá trình xâm nhập, từ công cụ quét mạng đến phần mềm quản lý từ xa, để thực hiện việc thăm dò mạng, truy cập từ xa, đánh cắp thông tin đăng nhập và exfiltration dữ liệu. Trong một số trường hợp, LockBit còn đe dọa sẽ công bố dữ liệu cá nhân của nạn nhân nếu yêu cầu về tiền chuộc không được đáp ứng.
Với sự phức tạp và khả năng lan truyền rộng rãi, LockBit đại diện cho một trong những mối đe dọa lớn nhất trong thế giới ransomware hiện đại. Các tổ chức cần phải áp dụng một loạt các biện pháp bảo mật toàn diện để bảo vệ mình khỏi loại ransomware này và các biến thể khác.
Đào Trung Thành
Bài 2: Từ vụ tấn công VNDirect đến chiến lược chống ransomware