Các bài nổi bật

Vũ khí hóa phần mềm tống tiền

Tháng Mười 19, 2020
47 13 minute read

Câu hỏi không còn là trả tiền hay không

Tiến sĩ Inez Miyamoto Trung tâm Nghiên cứu An ninh khu vực Châu Á-Thái Bình Dương Daniel K. Inouye

Các cuộc tấn công vũ trang bằng phần mềm tống tiền (ransomware) vào các tổ chức tư nhân và công cộng đang ngày một gia tăng trên toàn cầu. Phần mềm tống tiền là một loại phần mềm độc hại được sử dụng để khóa không cho nạn nhân truy cập vào hệ thống của mình.

Tin tặc vũ khí hóa phần mềm tống tiền thông qua chiến thuật tống tiền kép để đe dọa và buộc nạn nhân phải trả những khoản tiền chuộc lớn. Âm mưu bao gồm hai bước. Các tin tặc đầu tiên hứa sẽ giải mã hệ thống máy tính của nạn nhân nếu nạn nhân trả tiền. Sau đó, chúng tiếp tục gây áp lực lên nạn nhân bằng cách đe dọa công khai phát hành các tệp tin nhạy cảm, thường là với những yêu sách ngày càng tăng. 

Có hai loại phần mềm tống tiền: mã hóa (crypto) và tủ khóa (locker). Phần mềm tống tiền mã hóa (Crypto ransomware) chuyển các tệp dữ liệu trên hệ thống sang một loại mật mã không đọc được và yêu cầu nạn nhân trả tiền để có được chìa khóa giải mã giúp khôi phục các tệp dữ liệu. Phần mềm tống tiền dạng tủ khóa (locker ransomware) ngăn không cho người bị tấn công đăng nhập hoặc truy cập tệp, sau đó yêu cầu nạn nhân phải trả tiền chuộc để có mật mã mở khóa.

Một số công ty bị tấn công đầu hàng những yêu sách của tin tặc và trả tiền chuộc. Vào ngày 31 tháng 12 năm 2019, tin tặc đã sử dụng phần mềm tống tiền Sodinokibi/REvil để tấn công Travelex, một công ty buôn bán ngoại hối. Trước khi đòi khoản tiền chuộc 6 triệu đô la Mỹ, các tin tặc đã truy cập vào máy chủ của Travelex trong vài tháng và đã lấy ra 5 gigabyte dữ liệu nhạy cảm, theo tường thuật của BBC vào ngày 7 tháng 1 năm 2020. Cuối cùng, Travelex đã trả khoản tiền chuộc khoảng 2,3 triệu đô la Mỹ, theo một phóng sự trên Thời báo Phố Wall ra ngày 9 tháng 4 năm 2020.

Các nhân viên theo dõi kiểm tra màn hình tại Văn phòng Công nghệ của Thống đốc tiểu bang Colorado trụ sở tại Denver. Tổ chức này có nhiệm vụ bảo vệ tiểu bang khỏi các cuộc tấn công mạng. THE ASSOCIATED PRESS

Những công ty không chịu trả tiền chuộc thì phải gánh chịu hậu quả của việc bị tiết lộ dữ liệu. Năm 2019, tin tặc đã sử dụng phần mềm tống tiền Maze để tấn công một công ty quản lý nhân viên bảo vệ, Allied Universal, và đòi 300 bitcoin tiền chuộc, tương đương khoảng 2,3 triệu đô la Mỹ. Công ty Allied Universal không biết rằng các tin tặc đã lấy cắp một lượng lớn dữ liệu bí mật trước khi mã hóa hệ thống mạng của công ty này.

Nhóm tin tặc Maze sau đó đã tăng sức ép lên Allied Universal bằng cách liên hệ với BleepingComputer, một trang web trợ giúp máy tính, cùng các chi tiết về những dữ liệu vừa đánh cắp được. Các tin tặc đe dọa sẽ công bố 700 megabyte tài liệu mật của Allied Universal theo như tin đăng ngày 21 tháng 11 năm 2019 trên BleepingComputer. Nhóm đối tượng tăng số tiền chuộc lên 3,8 triệu đô la Mỹ nhưng Allied Universal không trả. Cuộc tấn công trở nên công khai khi các tin tặc đăng thông tin trên diễn đàn tin tặc và phần mềm độc hại của Nga. 

Cuộc tấn công sử dụng phần mềm tống tiền Maze nhắm vào công ty Allied Universal là vụ việc đầu tiên được ghi lại sử dụng chiến thuật tống tiền kép. Trước khi xảy ra vụ việc này, các nạn nhân không nghĩ rằng bị tấn công bằng phần mềm tống tiền cũng đồng nghĩa với việc bị mất trộm dữ liệu. Ngay sau đó, các nhóm tin tặc Clop, Nemty và DoppelPaymer bắt đầu áp dụng các chiến thuật tương tự. 

Hệ quả xảy ra khi chiến thuật thay đổi

Các tổ chức có các gói bảo hiểm an ninh mạng có thể trở thành mục tiêu dễ dàng hơn để tin tặc tống tiền vì các công ty bảo hiểm thường thuyết phục nạn nhân trả tiền chuộc, theo một bài báo đăng ngày 17 tháng 9 năm 2019 trên trang web tin tức công nghệ kinh doanh ZDNet. Các công ty bảo hiểm an ninh mạng muốn hạn chế chi phí cho các yêu cầu bồi thường liên quan tới phần mềm tống tiền và sẽ đề nghị khách hàng trả tiền chuộc ngay cả khi các tổ chức bị tấn công này vẫn có thể khôi phục dữ liệu từ các bản sao lưu vì việc đó thường là tốn kém hơn so với việc trả tiền chuộc. Chính vì thế, các công ty bảo hiểm cũng góp phần làm tăng các cuộc tấn công bằng phần mềm tống tiền khi đồng ý cho các khách hàng của mình trả tiền chuộc. Báo cáo ngày 27 tháng 8 năm 2019 của ProPublica, một tổ chức truyền thông phi lợi nhuận và độc lập, đã chỉ ra điểm này. Tin tặc thu lợi từ những khoản tiền chuộc được thông qua bởi các công ty bảo hiểm nên càng đổ thêm dầu vào lửa cho tội phạm sử dụng phần mềm tống tiền.

Để phá vỡ vòng luẩn quẩn này, 225 thị trưởng ở Hoa Kỳ đã ký một nghị quyết tháng 7 năm 2019 nhằm ngừng trả tiền chuộc cho tin tặc. Vào tháng 10 năm 2019, Cục Điều tra Liên bang Hoa Kỳ đã đưa ra một dịch vụ công cộng chống tại các phần mềm tống tiền bằng cách khuyến khích các nạn nhân, bao gồm cả các tổ chức trong khu vực tư nhân cũng như chính quyền địa phương, ngừng trả tiền chuộc. Đến tháng 11 năm 2019, tin tặc bắt đầu sử dụng chiến thuật tống tiền kép, bao gồm việc đánh cắp những dữ liệu nhạy cảm.

Bổ sung tính năng xâm nhập dữ liệu vào các phần mềm tống tiền là một sự thay đổi về bản chất. Trước đây, các nạn nhân không coi việc bị tấn công bởi các phần mềm tống tiền là đồng thời các dữ liệu của mình cũng bị đánh cắp bởi các cuộc tấn công này đã chỉ khiến nạn nhân không truy cập được vào hệ thống của mình do các thông tin đã bị mã hóa. Giờ đây, với chiến thuật tống tiền kép mà tin tặc thâm nhập vào những dữ liệu nhạy cảm thì các công ty bị tấn công phải tuân theo các quy định pháp luật hiện hành về việc trình báo và cân nhắc đến khả năng phải chịu trách nhiệm do làm lộ thông tin của bên thứ ba. 

Trách nhiệm pháp lý bên thứ ba bao gồm tổn hại tới những người khác, chẳng hạn như khách hàng hoặc nhà cung cấp, và có thể bao hàm các khiếu nại cho lỗi vi phạm hợp đồng hoặc bị phạt bởi các công ty thẻ thanh toán. Ví dụ như nhóm tin tặc Sodinokibi/REvil tuyên bố rằng nhóm này đã tấn công một công ty luật về ngành giải trí ở New York tên là Grubman Shire Meiselas & Sacks. Nhóm này đăng ảnh chụp màn hình các hợp đồng pháp lý của các nghệ sĩ bao gồm cả hợp đồng của Madonna và Christina Aguilera trên web đen và đe dọa sẽ tiết lộ thông tin trong qua 9 giai đoạn. Trang web chuyên về ngành công nghiệp tiền điện tử Cointelegraph đăng tin này vào ngày 8 tháng 5 năm 2020.

Cuộc tấn công vào Grubman Shire Meiselas & Sacks khiến người ta chú ý đến việc một công ty luật có thể phải chi trả trách cho nhiệm pháp lý đối với bên thứ ba do để thông tin của các khách hàng bị xâm hại. Tin tặc có thể sử dụng dữ liệu đánh cắp, chẳng hạn như email, số điện thoại và thông tin về các mối quan hệ để tấn công chuỗi cung ứng của công ty luật đó, bao gồm những khách hàng, công ty luật khác và các công ty truyền thông khác, hoặc để bán những thông tin này trên web đen. Những hành động này làm tăng trách nhiệm pháp lý với bên thứ ba của nạn nhân và do đó tăng yêu cầu bồi thường từ các công ty bảo hiểm.

Các nhà cung cấp các gói bảo hiểm an ninh mạng đang phải trả chi phí cao hơn do những thay đổi gần đây trong chiến thuật sử dụng phần mềm tống tiền. Kết quả là chi phí bảo hiểm mạng tại Hoa Kỳ tăng tới 25% do sự gia tăng thiệt hại từ các phần mềm tống tiền, Reuters đưa tin ngày 22 tháng 1 năm 2020.

Việc thâm nhập dữ liệu đòi hỏi trình độ cao để có thể lẻn vào hệ thống và đánh cắp các dữ liệu nhạy cảm. Vì thế, một số tin tặc chuyên sử dụng phần mềm tống tiền bắt đầu kết hợp với những tin tặc cực kỳ lành nghề để thực hiện một kiểu tấn công mới không chỉ nhắm tới hệ thống riêng lẻ của nạn nhân mà mở rộng tới hệ thống của toàn bộ chuỗi cung ứng của tổ chức bị tấn công. Công ty chống lừa đảo AdvIntel cho biết thông tin này vào ngày 21 tháng 11 năm 2019. Những tin tặc lành nghề sử dụng các chiến thuật tấn công liên tục và tinh vi để xâm nhập một mạng lưới trong thời gian dài mà không bị phát hiện. Mục tiêu chính của chúng là ăn cắp dữ liệu nhạy cảm nhưng chúng cũng có thể phá hủy các bản sao lưu mạng cũng như đánh cắp thông tin bảo mật và gây lây lan qua các cập nhật phần mềm để khai thác chuỗi cung ứng của nạn nhân. Sau đó các tin tặc chuyên sử dụng phần mềm tống tiền sẽ tung ra phần mềm mã hóa dữ liệu của nạn nhân để đòi một khoản tiền chuộc hậu hĩnh. Trong khi đó, các tin tặc lành nghề thu thập thông tin để khai thác khách hàng và các nhà cung cấp của nạn nhân, khiến họ có nguy cơ bị tấn công bởi những bên khác.

Ngay cả những người không có kỹ năng cũng có thể kiếm tiền từ các phần mềm tống tiền bằng cách thuê hoặc mua những bộ dụng cụ do các tin tặc chuyên về phần mềm tống tiền phân phối. Cụ thể, các tin tặc sử dụng một mô hình kinh doanh được gọi là ransomware-as-a-service (RaaS) (Dịch vụ phần mềm tống tiền) để kiếm tiền từ các cá nhân không có kỹ năng, hay còn được gọi là chân rết. Để đổi lại quyền truy cập vào các phần mềm tống tiền
(ví dụ như cơ sở hạ tầng, cập nhật và hỗ trợ kỹ thuật), các chân rết sẽ phân chia khoản tiền chuộc với các tin tặc. Các chân rết sử dụng dịch vụ phần mềm tống tiền có xu hướng tấn công vào những công ty nhỏ hơn và đòi số tiền chuộc nhỏ hơn (hầu hết là ít hơn 5.000 đô la Mỹ), theo báo cáo ngày 23 tháng 1 năm 2020 của công ty phân tích blockchain Chainalysis. Tuy số tiền chuộc có thể thấp hơn nhưng các cuộc tấn công lại rộng hơn, tạo ra lợi nhuận cho các tin tặc sử dụng dịch vụ phần mềm tống tiền. Để trốn tránh cơ quan hành pháp, dịch vụ phần mềm tống tiền chỉ được bán trên các diễn đàn mạng đen, mua bán bằng tiền điện tử.

Để mua dịch vụ phần mềm tống tiền hoặc trả tiền chuộc, các tin tặc chuyên về phần mềm tống tiền chỉ chấp nhận tiền điện tử vì các giao dịch không để lại dấu vết. Một số loại tiền điện tử có thể truy được dấu vết, theo báo cáo của CipherTrace ngày 15 tháng 10 năm 2019. Bitcoin và Ethereum sử dụng sổ cái giao dịch công khai chứa địa chỉ ví người gửi và người nhận, cho phép các bên hành pháp có thể lần theo theo các giao dịch thanh toán. Khác với Bitcoin và Ethereum, Monero là một loại tiền điện tử có tính ẩn danh cao với thông tin giao dịch được mã hóa. Vào tháng 3 năm 2020, các tin tặc Sodinokibi/REvil bắt đầu hoàn toàn sử dụng Monero, theo báo cáo ngày 11 tháng 4 năm 2020 của BleepingComputer. Các loại tiền có tính ẩn danh cao khác được sử dụng bởi tin tặc phần mềm tống tiền bao gồm Dash và Zcash. 

Phần mềm tống tiền trong thời COVID-19

Trong khi đại dịch COVID-19 đang diễn ra, tin tặc từ các nhóm phần mềm tống tiền khác nhau tuyên bố sẽ không tấn công các tổ chức y tế và chăm sóc sức khỏe, theo báo cáo của BleepingComputer ngày 18 tháng 3 năm 2020. Tuyên bố này trái với sự thật. Vào tháng 3 năm 2020, nhóm tin tặc Maze đã tấn công một trung tâm xét nghiệm COVID-19 của Anh, Trung tâm Nghiên cứu Thuốc Hammersmith. Nhóm tin tặc Sodinokibi tấn công một công ty công nghệ sinh học của Hoa Kỳ chuyên nghiên cứu về COVID-19 được gọi là 10x Genomics. 

Đến tháng 4 năm 2020, Tổ chức Cảnh sát chống tội phạm quốc tế (Interpol) đã đưa ra cảnh báo vì các cuộc tấn công sử dụng phần mềm tống tiền nhắm vào các tổ chức y tế quan trọng ngày càng tăng. Để đảm bảo sự vận hành của các cơ sở y tế trong đại dịch, các công ty an ninh mạng như Emsisoft và Coveware đã cung cấp dịch vụ hỗ trợ miễn phí nhằm phục hồi dữ liệu sau khi bị phần mềm tống tiền tấn công.

Phục hồi sau khi bị phần mềm tống tiền tấn công

Các công ty trả tiền chuộc sẽ nhận được chìa khóa để giải mã những dữ liệu của họ, nhưng không phải lúc nào chìa khóa giải mã cũng công hiệu. Một số phần mềm tống tiền có tỷ lệ khôi phục thành công có thể thấp tới mức 40%, trong khi các phần mềm tống tiền biến thể khác có khả năng khôi phục là 100%, theo báo cáo ngày 29 tháng 4 năm 2020 của Coveware. Bởi vì các nạn nhân sẽ không biết liệu chìa khóa giải mã có hiệu quả không, nên nạn nhân luôn cần có các bản sao lưu để có thể phục hồi từ các vụ tấn công sử dụng phần mềm tống tiền.

Những nạn nhân với chiến lược dự phòng 3-2-1 sẽ ở vị trí thuận lợi nhất để khôi phục sau những cuộc tấn công dạng này. Chiến lược này nghĩa là mỗi tổ chức cần có ba bản sao lưu toàn bộ dữ liệu, được cất giữ ở hai nơi, thông thường là một bản trong ổ cứng, một bản trên đám mây và giữ một bản sao thứ ba ở chỗ khác, không phải nơi làm việc. Ngay cả với các bản sao dự phòng, nạn nhân sẽ vẫn bị ảnh hưởng bởi quãng thời gian hệ thống ngừng hoạt động chờ phục hồi.

Thời gian ngừng hoạt động chờ phục hồi kéo dài trung bình khoảng 15 ngày, theo báo cáo tháng 4 của Coveware. Nạn nhân có thể giảm thiểu tối đa thời gian ngừng hoạt động và những ảnh hưởng tiêu cực bằng cách lên kế hoạch đề phòng trường hợp bị tấn công. Các tổ chức cần lên kế hoạch cụ thể – ứng phó với sự cố, duy trì hoạt động kinh doanh và khắc phục thảm họa – rồi chạy thử bản kế hoạch này.

Mọi tổ chức công, tư và phi lợi nhuận đều có nguy cơ bị tấn công bằng phần mềm tống tiền, nhưng có thể giảm thiểu rủi ro bằng những biện pháp duy trì an ninh và vệ sinh mạng. Với việc tin tặc sử dụng phần mềm tống tiền như một thứ vũ khí tấn công, các tổ chức nên cân nhắc áp dụng các bước sau:

  • Coi tất cả các cuộc tấn công sử dụng phần mềm tống tiền là hành vi đánh cắp dữ liệu.
  • Hiểu và chuẩn bị cho những chiến thuật đe dọa dai dẳng và tinh vi.
  • Xác định, lập bản đồ và bảo vệ dữ liệu nhạy cảm của tổ chức.
  • Xác định, lập bản đồ và bảo vệ chuỗi cung ứng của tổ chức (khách hàng, nhà cung cấp, đối tác, ứng dụng phần mềm, v.v.).
  • Chuẩn bị cho các cuộc tấn công bắt nguồn từ chuỗi cung ứng của tổ chức (moi thông tin, cập nhật phần mềm, v.v.).

Nhiều nguồn thông tin để tìm hiểu thêm về phần mềm tống tiền có sẵn trên mạng. Cơ quan An ninh Cơ sở hạ tầng & An ninh mạng Hoa Kỳ cung cấp những gợi ý chống lại phần mềm tống tiền (ST19-001) thông qua trang web của tổ chức (www.us-cert.gov). Trang web No More Ransom (www.nomoreransom.org) là một sáng kiến ​​của Đơn vị quốc gia chống tội phạm công nghệ cao của cảnh sát Hà Lan, Trung tâm tội phạm mạng Châu Âu của Europol và các công ty an ninh mạng Kaspersky và McAfee. Trang web này cung cấp thông tin về các phần mềm tống tiền và hỗ trợ nạn nhân phục hồi dữ liệu sau khi bị tấn công bởi một số biến thể phần mềm tống tiền. Trang web MalwareHunterTeam (https: //malwarehunterteam.com) cung cấp thông tin về hơn
600 biến thể phần mềm tống tiền và hỗ trợ nhận dạng phần mềm tống tiền.  

Các nguồn thông tin về phần mềm tống tiền

Viện Kỹ thuật Phần mềm Đại học Carnegie Mellon khuyến nghị: https://insights.sei.cmu.edu/sei_blog/2017/05/ransomware-best-practices-for-prevention-and-response.html

Viện Tiêu chuẩn và Công nghệ Quốc gia đã phát hành một bản dự thảo hướng dẫn cho việc ứng phó với phần mềm tống tiền và các sự kiện phá hoại khác vào tháng 1 năm 2020: https://www.nccoe.nist.gov/sites/default/files/library/sp1800/di-detect-respond-nist-sp1800-26-draft.pdf

Trung tâm An ninh Internet cung cấp phần mềm sơ cấp chống phần mềm tống tiền: https://www.cisecurity.org/white-papers/security-primer-ransomware/

Emsisoft xác định các chiến lược để phát hiện và giảm thiểu việc xâm nhập dữ liệu:  https://blog.emsisoft.com/en/35235/ransomware-data-exfiltration-detection-and-mitigation-strategies/

Trung tâm An ninh Internet cung cấp các hướng dẫn cấu hình để bảo vệ hệ thống: https://www.cisecurity.org/cis-benchmarks/

Để nhận được hướng dẫn về kiểm soát bảo mật và quyền riêng tư trên các hệ thống của chính phủ, hãy tham khảo Ấn phẩm Đặc biệt 800-53 Bản sửa đổi số 4 của Viện Quốc gia về Tiêu chuẩn và Công nghệ:  https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf

Tháng Mười 19, 2020
47 13 minute read

Những bài viết liên quan

Phù hợp với Mục đích

Tháng Ba 7, 2024

Chnd Trung Hoa Vũ Khí Hóa Tài Nguyên Nước

Tháng Ba 6, 2024

Quan hệ đối tác bền vững trong không gian mạng

Tháng Ba 6, 2024

Tầm Nhìn Chung

Tháng Ba 6, 2024

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

© Copyright 2024, All Rights Reserved  |  Indo-Pacific Defense FORUM
Giới thiệu | Chính sách Bảo mật
Back to top button