Thế giới an ninh mạng không ngừng phát triển với các hình thức đe dọa và lỗ hổng bảo mật mới. Nhưng ransomware tỏ ra là một loài động vật khác – phá hoại nhất, dai dẳng, khét tiếng thách thức để ngăn chặn và không có dấu hiệu chậm lại.
Trở thành nạn nhân của một cuộc tấn công ransomware có thể gây ra mất mát dữ liệu đáng kể, vi phạm dữ liệu, thời gian ngừng hoạt động, khôi phục tốn kém, hậu quả pháp lý và thiệt hại về danh tiếng.
Trong câu chuyện này, chúng tôi đã đề cập đến mọi thứ bạn cần biết về ransomware và cách nó hoạt động.
Ransomware là gì?
Ransomware là một chương trình độc hại giành quyền kiểm soát thiết bị bị nhiễm, mã hóa tệp và chặn quyền truy cập của người dùng vào dữ liệu hoặc hệ thống cho đến khi trả được một khoản tiền hoặc tiền chuộc.
Kế hoạch của kẻ lừa đảo bao gồm một ghi chú tiền chuộc — với số tiền và hướng dẫn về cách trả tiền chuộc để đổi lại khóa giải mã — hoặc giao tiếp trực tiếp với nạn nhân.
Trong khi ransomware tác động đến các doanh nghiệp và tổ chức ở mọi quy mô và loại hình, những kẻ tấn công thường nhắm mục tiêu vào các lĩnh vực chăm sóc sức khỏe, giáo dục, CNTT, chính phủ và tài chính với túi tiền sâu hơn — gây ra thiệt hại từ hàng trăm triệu đến hàng tỷ đô la.
Các cuộc tấn công ransomware bắt đầu xảy ra vào năm 2012 và kể từ đó, nó đã trở thành cuộc tấn công mạng phổ biến nhất trên toàn thế giới.
Ví dụ, HelloKitty ransomware đã tấn công nhà phát triển trò chơi điện tử người Ba Lan CD Projekt Red vào tuần trước với một chiến thuật khá phổ biến, tức là những kẻ tấn công đe dọa công ty làm rò rỉ mã nguồn của các trò chơi, bao gồm Cyberpunk 2077, Witcher 3, Gwent và cùng với các tệp bí mật trong công ty.
Và nó đã thực sự xảy ra! Sau khi CD Projekt thông báo rằng họ sẽ không trả tiền chuộc, những kẻ tấn công đã tạo ra một cuộc đấu giá cho dữ liệu bị đánh cắp trên một diễn đàn hacker.
Và nó không phải là ví dụ duy nhất. Ransomware luôn là một trong những loại mẫu độc hại phổ biến nhất được tải lên hộp cát phân tích phần mềm độc hại ANY.RUN. Hơn 124.00 phiên tương tác với ransomware chỉ được phân tích trực tuyến trong năm 2020.
Từ tủ đồ đến xí nghiệp
Một trong những cách để bảo vệ khỏi các cuộc tấn công là nhận thức. Chúng tôi tin rằng các giám đốc điều hành doanh nghiệp và nhân viên phải hiểu được loại mối đe dọa này.
Trong bài viết này, chúng ta sẽ xem xét lịch sử của ransomware:
Phần mềm tống tiền đầu tiên
Cuộc tấn công ransomware đầu tiên được biết đến là vào năm 1989 bởi một nhà nghiên cứu AIDS, Joseph Popp, người đã phân phát 20.000 đĩa mềm độc hại cho các nhà nghiên cứu AIDS trên 90 quốc gia, tuyên bố rằng các đĩa này chứa một chương trình khảo sát. Kể từ đó, mối đe dọa ransomware đã phát triển rất nhiều và có nhiều tính năng hơn.
Locker ransomware
Năm 2007, Locker ransomware, một loại phần mềm độc hại ransomware mới, đã xuất hiện, không mã hóa tệp; thay vào đó, nó khóa nạn nhân khỏi thiết bị của họ, ngăn họ sử dụng nó.
Tương tự như vậy, WinLock yêu cầu 10 đô la tiền chuộc cho mã mở khóa. Sau đó, Citadel, Lyposit và con sâu Reveton đã điều khiển một màn hình với thông điệp tốt đẹp từ một cơ quan thực thi pháp luật giả mạo.
Điều này thường diễn ra dưới hình thức khóa giao diện người dùng của máy tính hoặc thiết bị và sau đó yêu cầu người dùng trả phí để khôi phục quyền truy cập vào nó.
Scareware
Trong những năm sau đó, những kẻ tấn công đã thay đổi chiến lược của họ để tận dụng nỗi sợ hãi bằng cách phát tán các ứng dụng giả mạo và chương trình chống vi-rút (AV). Cuộc tấn công liên quan đến một thông báo bật lên hiển thị cho các nạn nhân nói rằng máy tính của họ đã bị nhiễm vi rút. Nó thu hút nạn nhân đến một trang web nơi họ yêu cầu tiền để trả cho phần mềm để khắc phục sự cố. Mọi thứ đều đáng tin cậy: biểu trưng, cách phối màu và các tài liệu có bản quyền khác.
Từ thời điểm đó, bọn tội phạm hiểu rằng việc xâm nhập một số trang web, tập trung vào lừa đảo và tự động hóa toàn bộ quy trình sẽ dễ dàng hơn nhiều.
Crypto ransomware
Vào năm 2013, CryptoLocker nổi lên như là phần mềm độc hại mã hóa đầu tiên thường đến dưới dạng tệp đính kèm email. Mạng botnet Gameover ZeuS chịu trách nhiệm cho các cuộc tấn công này. CryptoLocker mã hóa các tệp và sau đó, một khoản thanh toán bitcoin được yêu cầu để mở khóa chúng.
Nếu không nhận được tiền chuộc trong 3 ngày, số tiền chuộc sẽ tăng gấp đôi. CryptorBit, CryptoDefense, CryptoWall, WannaCry đã mở rộng các biến thể mồi nhử và thậm chí sử dụng các điểm yếu của hệ thống để lây nhiễm máy tính.
Bước tiến mới nhất trong quá trình phát triển đó là sự xuất hiện của ransomware-as-a-service, xuất hiện lần đầu vào năm 2015 với sự ra mắt của bộ công cụ Tox. Nó đã cho tội phạm mạng tùy chọn để phát triển các công cụ ransomware tùy chỉnh với khả năng trốn tránh tiên tiến.
Phần mềm tống tiền doanh nghiệp
Những kẻ tấn công ransomware đã lên cấp và chuyển sang giai đoạn doanh nghiệp. Họ thích giao dịch với các tổ chức lớn và lo sợ về khả năng bùng phát.
Ví dụ: một mục tiêu nhận được email với mối đe dọa tấn công từ chối dịch vụ (DDoS) phân tán. Để tránh nó, các nạn nhân cần phải trả tiền chuộc.
Thêm một trường hợp nữa là đòi tiền chuộc xâm nhập dữ liệu. Tội phạm đe dọa một mục tiêu để khai thác thông tin bị xâm phạm cho công chúng trừ khi một khoản tiền chuộc được trả. Chiến thuật sau đây hiệu quả ở cấp độ doanh nghiệp, vì các công ty không muốn đặt danh tiếng của mình vào tình thế nguy hiểm.
Bây giờ rõ ràng là phần mềm độc hại sẽ tiếp tục phát triển. Và có thể nó sẽ thu được các cuộc tấn công lai, bao gồm các họ phần mềm độc hại khác.
Tấn công chi tiết
Như chúng ta đã biết lịch sử và các loại ransomware, bây giờ đã đến lúc hiểu cách thức hoạt động của nó.
- Triển khai: Trong bước đầu tiên, những kẻ tấn công phân phối các thành phần thiết yếu được sử dụng để lây nhiễm, mã hóa hoặc khóa hệ thống, được tải xuống mà người dùng không biết, sử dụng lừa đảo hoặc sau khi khai thác các lỗi hệ thống được nhắm mục tiêu.
- Cài đặt: Khi tải trọng được tải xuống, bước tiếp theo là lây nhiễm. Phần mềm độc hại làm rơi một tệp nhỏ thường có khả năng trốn tránh phòng thủ. Phần mềm tống tiền thực thi và cố gắng giành được sự bền bỉ trên hệ thống bị nhiễm bằng cách tự đặt nó để tự động chạy các khóa đăng ký, cho phép những kẻ tấn công từ xa kiểm soát hệ thống.
- Command-and-Control: Sau đó, phần mềm độc hại kết nối với máy chủ chỉ huy và kiểm soát (C2) của kẻ tấn công để nhận hướng dẫn và chủ yếu là để gửi khóa mã hóa riêng tư bất đối xứng ngoài tầm với của nạn nhân.
- Sự phá hủy: Sau khi các tệp được mã hóa, phần mềm độc hại sẽ xóa các bản sao gốc trên hệ thống và cách duy nhất để khôi phục chúng là giải mã các tệp được mã hóa.
- Tống tiền: Đây là ghi chú tiền chuộc. Nạn nhân biết rằng dữ liệu của mình bị xâm phạm. Phạm vi thanh toán thay đổi tùy theo loại mục tiêu. Để làm nạn nhân bối rối và sợ hãi, những kẻ tấn công có thể xóa một số tệp khỏi máy tính. Tuy nhiên, nếu người dùng trả tiền chuộc, điều đó không đảm bảo rằng thông tin sẽ được khôi phục hoặc bản thân phần mềm tống tiền sẽ bị xóa.
Các gia đình và nhà điều hành phổ biến
Một số loại phần mềm độc hại nổi tiếng trong thế giới ransomware. Hãy xem qua chúng và nói về các toán tử phổ biến nổi bật trong lịch sử phần mềm độc hại:
1) GandCrab ransomware là một trong những bản phát hành ransomware khét tiếng nhất trong vài năm qua, thu được gần 2 tỷ đô la tiền thanh toán từ các nạn nhân của nó.
Được cho là sản phẩm của một nhóm hacker Nga, GandCrab được phát hiện vào năm 2018 như một phần của Ransomware-as-a-Service (RaaS) được bán cho các tội phạm mạng khác.
Mặc dù GandCrab đã thông báo “nghỉ hưu” vào năm 2019, một số nhà nghiên cứu cho rằng nó quay trở lại với một chủng mới, được gọi là Sodinokibi, với cơ sở mã tương tự. Sodinokibi nhắm mục tiêu các hệ thống Microsoft Windows và mã hóa tất cả các tệp ngoại trừ các tệp cấu hình.
2) Tiếp theo, mê cung ransomware, gây xôn xao dư luận trong hai năm qua, được biết đến với việc tung ra công chúng dữ liệu bị đánh cắp nếu nạn nhân không trả tiền để giải mã.
Đây là cuộc tấn công ransomware đầu tiên kết hợp mã hóa dữ liệu với đánh cắp thông tin. Hơn nữa, họ còn đe dọa sẽ công khai dữ liệu nếu tiền chuộc không được trả. Khi COVID-19 bắt đầu, Maze thông báo rằng họ sẽ để bệnh viện yên. Nhưng sau đó, họ cũng đã phá vỡ lời hứa đó.
Vào năm 2020, Maze thông báo họ ngừng hoạt động. Nhưng có nhiều khả năng họ vừa chuyển sang một phần mềm độc hại khác.
3) Netwalker đã sử dụng làm rỗng quy trình và làm xáo trộn mã để nhắm mục tiêu các nạn nhân của công ty. Nhưng vào tháng 1 năm 2021, các cơ quan thực thi pháp luật đã hợp tác chống lại Netwalker và tiếp quản các miền trong một trang web tối được sử dụng bởi các phần mềm độc hại.
4) Muốn khóc lây lan tự động từ máy tính này sang máy tính khác bằng cách sử dụng EternalBlue, một phương thức khai thác được cho là do NSA phát triển và sau đó bị tin tặc đánh cắp.
Đây là loại ransomware được tải lên nhiều nhất trong dịch vụ ANY.RUN vào năm 2020. Nó tấn công phần mềm độc hại hàng đầu với 1930 nhiệm vụ. Bạn có thể điều tra chúng trong thư viện đệ trình công cộng, tìm kiếm theo thẻ “wannacry”.
5) Malspam của Avaddon thường chứa mặt cười duy nhất để thu hút người dùng tải xuống tệp đính kèm. Phần mềm độc hại cũng kiểm tra ngôn ngữ của người dùng trước khi lây nhiễm. Nếu đó là tiếng Nga hoặc tiếng Cherokee, Avaddon không mã hóa hệ thống.
6) Babuk là một phần mềm độc hại mới nhắm mục tiêu đến các doanh nghiệp vào năm 2021. Babuk bao gồm mã hóa an toàn khiến không thể khôi phục tệp miễn phí.
Mục tiêu của các cuộc tấn công ransomware
Có một số lý do khiến những kẻ tấn công chọn loại tổ chức mà chúng muốn nhắm mục tiêu bằng ransomware:
- Dễ dàng né tránh phòng thủ. Các trường đại học, công ty nhỏ có đội bảo vệ nhỏ là một mục tiêu dễ dàng. Chia sẻ tệp và một cơ sở dữ liệu mở rộng làm cho việc xâm nhập trở nên đơn giản đối với những kẻ tấn công.
- Khả năng thanh toán nhanh chóng. Một số tổ chức buộc phải nhanh chóng trả tiền chuộc. Các cơ quan chính phủ hoặc cơ sở y tế thường cần truy cập ngay vào dữ liệu của họ. Các công ty luật và các tổ chức khác có dữ liệu nhạy cảm thường muốn giữ bí mật về một thỏa hiệp.
Và một số ransomware tự động lây lan và bất kỳ ai cũng có thể trở thành nạn nhân của nó.
Sự phát triển nhanh chóng của Ransomware
Lý do chính khiến loại phần mềm độc hại này trở nên thành công là các cuộc tấn công mang lại kết quả cho tội phạm mạng. Thị trường cho phép kẻ gian mua ransomware tiên tiến để kiếm tiền.
Các tác giả phần mềm độc hại cung cấp một số cách để đóng gói ransomware. Phần mềm độc hại mã hóa hệ thống một cách nhanh chóng và lén lút. Ngay sau khi nhận được tiền chuộc, không có gì khó khăn để che dấu vết. Những điểm này dẫn đến một sự gia tăng đáng kể.
Giờ đây, bọn tội phạm đang hói và mong đợi nhận được hàng trăm hoặc hàng nghìn đô la vì các công ty không muốn gặp rủi ro mất dữ liệu và ngừng hoạt động.
Phương thức phân phối ransomware
Dưới đây là một số cách thức lây lan của ransomware:
- Email (thư rác)
- Tấn công lỗ tưới nước
- Quảng cáo độc hại
- Bộ dụng cụ khai thác
- USB và phương tiện di động
- Ransomware như một dịch vụ
- 0 ngày
Phân tích ransomware trong ANY.RUN
Hãy điều tra một mẫu ransomware cùng với nhau.
Đây là một nhiệm vụ với phần mềm độc hại Sodinokibi. Nhờ tương tác ANY.RUN, chúng tôi có thể theo dõi đường dẫn của người dùng:
Trước hết, chúng tôi đợi chương trình độc hại hoàn tất quá trình mã hóa tệp trên đĩa. Đặc điểm nổi bật của Sodinokibi là hình nền máy tính với văn bản.
Sau đó, chúng tôi mở một tệp văn bản trên màn hình nền. Có, chúng tôi có thể tương tác với các tệp và thư mục trong Máy ảo trong quá trình thực thi tác vụ.
Ở đó chúng ta có thể xem hướng dẫn với địa chỉ URL. Chúng tôi có thể sao chép nó và mở nó trong trình duyệt. Trên trang mới, chúng ta cần nhập khóa; mỗi khóa là duy nhất cho mỗi Máy bị nhiễm.
Có của chúng tôi trong tệp văn bản để chúng tôi có thể nhập nó. Và sau đó, một trang có tổng số tiền chuộc xuất hiện và một bộ đếm ngược. Cuối cùng, chúng tôi mở tệp có hình ảnh để giải mã thử nghiệm và mở nó.
Các biện pháp phòng ngừa
Năm 2021 bắt đầu với các vụ bắt giữ các băng đảng ransomware. Nhóm hacker Egregor đã bị cảnh sát Pháp và Ukraine triệt hạ vào tuần trước.
Đó là một xu hướng tốt mà các cơ quan thực thi pháp luật tiếp tục đánh bại các tác nhân phần mềm độc hại. Tuy nhiên, chúng ta cũng cần phải thận trọng và cố gắng ngăn chặn các cuộc tấn công.
Để bảo vệ khỏi phần mềm tống tiền, các công ty nên có một kế hoạch chi tiết chống lại phần mềm độc hại, bao gồm cả dữ liệu sao lưu. Vì ransomware rất khó phát hiện và chiến đấu, nên sử dụng các cơ chế bảo vệ khác nhau.
ANY.RUN là một trong số chúng giúp xác định sớm phần mềm độc hại và ngăn ngừa lây nhiễm. Bên cạnh đó, bảo vệ quan trọng nhất là đào tạo đội ngũ nhân viên. Họ cần tránh bất kỳ liên kết hoặc tệp đáng ngờ nào. Những nhân viên biết rằng ransomware tồn tại và cách thức hoạt động của nó có thể phát hiện ra những cuộc tấn công như vậy.
