'Thời gian ngừng hoạt động trung bình sau một cuộc tấn công mã độc là 24 ngày'

HỮU BẬT

18:01 31/03/2024

Theo Pure Storage, thời gian ngừng hoạt động trung bình sau một cuộc tấn công bằng mã độc là 24 ngày. Nếu trả tiền chuộc, có thể mất thêm vài ngày để nhận được khóa giải mã và đảo ngược quá trình mã hóa. Dù vậy, không có gì đảm bảo rằng kẻ tấn công sẽ khôi phục dữ liệu hoặc giữ lời hứa.

Screen Shot 2024-03-31 at 6.04.27 PM — *Rủi ro từ những cuộc tấn công mã độc. Ảnh: Shutterstock*

Tội phạm mạng ngày nay ngày càng trở nên tinh vi hơn, chúng có nhiều dạng mã độc (ransomware) để thực hiện cuộc tấn công vào các tổ chức. Ngay cả khi các doanh nghiệp, tổ chức phát triển nhiều biện pháp hiệu quả hơn để đối phó, tội phạm mạng vẫn có thể điều chỉnh các chiến lược và công cụ để phá hoại.

Tấn công bằng mã độc nghe có vẻ bí ẩn, nhưng cơ bản sẽ tuân theo cấu trúc cơ bản như nhau. Hiểu về cách thức hoạt động của ransomware sẽ giúp doanh nghiệp chuẩn bị những chiến lược hiệu quả giảm thiểu rủi ro một toàn diện hơn, qua đó tăng khả năng phục hồi hệ thóng mạng, và phần nào đó giúp giảm bớt những cuộc tấn công này.

Dưới đây là những đánh giá sâu hơn về cấu trúc một cuộc tấn công bằng mã độc, bao gồm cách kẻ tấn công giành được quyền truy cập và làm lây nhiễm một hệ thống.

Sự lây nhiễm và phân phối của các "Vector"

Mã độc được hiểu là một loại phần mềm độc hại, dùng để mã hóa các tập tin quan trọng của máy tính hoặc những dữ liệu, thông tin quan trọng. Các tội phạm sử dụng loại mã độc này thường với mục đích đòi tiền chuộc.

Bài liên quan

Chủ tịch VNDirect lần đầu xin lỗi về sự cố 'sập' hệ thống

Sự lây nhiễm xảy ra khi phần mềm độc hại ransomware được tải xuống và cài đặt trên các thiết bị trên mạng của doanh nghiệp.

Những mã độc này có thể truy cập vào hệ thống mục tiêu theo nhiều cách khác nhau. Vào năm 2023, với những tiến bộ vượt bậc của khoa học, công nghệ, các trí tuệ nhân tạo và các nền tảng dịch vụ mã độc, tin tặc đã có thể hợp lý hóa khả năng thực hiện các cuộc tấn công mã độc. Hiện nay, email lừa đảo vẫn là hình thức tấn công phổ biến nhất.

Email lừa đảo thường chứa liên kết đến một trang web bị xâm nhập hoặc tệp đính kèm có phần mềm độc hại được nhúng trong đó. Khi người dùng nhấp vào liên kết hoặc tệp đính kèm, phần mềm độc hại sẽ được tải xuống và thực thi trên hệ thống máy tính.

Giao thức máy tính từ xa (RDP - Remote Desktop Protocol) là một dạng Vector tấn công phổ biến khác vì nó dễ sử dụng và có thể cấp cho kẻ tấn công quyền truy cập cấp cao nếu chúng có thể truy cập thông tin xác thực hợp pháp. Những hacker dạng này có thể sử dụng nhiều thủ đoạn khác nhau. Quyền truy cập và xâm phạm RDP có thể được mua trên các "web đen" (những trang web bất hợp pháp).

Mã hóa

Sau khi mã độc được cài đặt trên hệ thống mục tiêu, nhiệm vụ của nó là chờ đợi, âm thầm thu thâp dữ liệu và lây nhiễm vào nhiều hệ thống nhất có thể. Sau đó, mã độc này sẽ đánh cắp và/hoặc mã hóa các dữ liệu có giá trị nhất của doanh nghiệp. Các phần mềm tống tiền kiểu này thường có thể phá hủy các bản sao lưu hoặc đánh cắp dữ liệu. Do đó, điều quan trọng là các bản sao lưu của doanh nghiệp phải an toàn và không thể thay đổi.

Bây giờ, hãy xem xét kỹ hơn một số loại và biến thể của ransomware.

Phần mềm ransomware mã hóa mã hóa các tập tin, làm xáo trộn nội dung và khiến không thể đọc được các tập tin/nội dung này. Cần có khóa giải mã để khôi phục các tệp về định dạng có thể đọc được. Tội phạm mạng theo đó sẽ đưa ra yêu cầu tiền chuộc, và hứa sẽ giải mã dữ liệu hoặc giải phóng khóa giải mã sau khi đáp ứng yêu cầu.

Locker ransomware (hay còn gọi là Non-encrypting) là loại phần mềm không mã hóa file của nạn nhân. Tội phạm mạng sau đó yêu cầu tiền chuộc để mở khóa thiết bị. Nói chung, có thể khôi phục hoặc tránh được một cuộc tấn công mã độc nếu có sẵn bản sao lưu tốt. Dù vậy, nhìn chung sẽ là khá khó và tốn kém để phục hồi hệ thống sau một cuộc tấn công mã độc. Ngay cả khi đã sao lưu dữ liệu, các thiết bị cũng phải được thay thế hoàn toàn.

Mục tiêu phổ biến của cuộc tấn công bằng mã độc là tống tiền, nhưng các tổ chức có thể từ chối thanh toán, đặc biệt khi họ có sẵn hệ thống sao lưu và phục hồi tốt. Vì lý do này, nhiều tin tặc đe dọa sẽ làm rò rỉ thông tin lên mạng hoặc bán cho người trả giá cao nhất. Thậm chí, tồi tệ hơn, những tin tặc này có thể tống tiền cả bên thứ ba bị ảnh hưởng.

Cuối cùng là mã độc dưới dạng dịch vụ (RaaS) sử dụng mô hình phân phối dịch vụ ứng dụng phần mềm. Đây là dịch vụ mà người dùng phải trả tiền để sử dụng, nó sẽ cung cấp cho họ quyền truy cập vào các công cụ mã độc được phát triển trước đó. Họ dùng chúng để thực hiện những cuộc tấn công và thu được tỷ lệ phần trăm từ mỗi khoản "tống tiền" thu được.

Những yêu cầu và đòi tiền chuộc

Sau khi mã độc đã được triển khai thành công vào hệ thống mạng mục tiêu, yêu cầu tiền chuộc sẽ được đưa ra. Tin tặc cảnh báo nạn nhân rằng một cuộc tấn công đã xảy ra và nêu chi tiết số tiền chuộc. Yêu cầu đòi tiền chuộc được hiển thị trên màn hình máy tính hoặc để lại trong ghi chú trong thư mục chứa các tập tin được mã hóa.

Yêu cầu tiền chuộc thường chứa thông tin chi tiết về số tiền chuộc, phương thức thanh toán được yêu cầu và thời hạn thanh toán cũng như lời hứa trả lại quyền truy cập vào các tệp được mã hóa sau khi tiền chuộc được trả. Nếu việc đánh cắp dữ liệu đã xảy ra, tin tặc cũng có thể đồng ý không làm rò rỉ dữ liệu và đưa ra bằng chứng cho thấy những dữ liệu này đã bị phá hủy. Thanh toán thường được yêu cầu bằng tiền điện tử (ví dụ: Bitcoin).

Tuy nhiên, ngay cả khi tin tặc nhận tiền chuộc, không có gì đảm bảo rằng kẻ tấn công sẽ khôi phục dữ liệu hoặc giữ lời hứa. Họ có thể giữ một bản sao của dữ liệu bị đánh cắp để sử dụng sau này. Khóa giải mã có thể không hoạt động hoàn toàn, khiến một số dữ liệu bị mã hóa hoặc có thể chứa phần mềm độc hại bổ sung mà kẻ tấn công có thể sử dụng trong tương lai.

Đàm phán: Trả hay không trả?

Quyết định trả hay không trả yêu cầu tiền chuộc phụ thuộc vào một số yếu tố: Mức độ ảnh hưởng của hành vi vi phạm đến hoạt động kinh doanh như thế nào? Nhân viên sẽ phải nghỉ việc? Phải nghỉ nhiều không và nghỉ trong bao lâu? Nguy cơ lộ dữ liệu lớn đến mức nào?

Nếu hệ thống sao lưu và khôi phục dữ liệu không bị ảnh hưởng bởi phần mềm mã độc, doanh nghiệp có thể hoàn toàn không phải trả tiền chuộc (tùy thuộc vào loại phần mềm mã độc ảnh hưởng). Nhưng nếu việc trả tiền chuộc thực sự là lựa chọn duy nhất, doanh nghiệp/tổ chức hoặc các cá nhân nên thuê một nhóm ứng phó sự cố có kinh nghiệm để hỗ trợ đàm phán và hỗ trợ thanh toán.

Hậu quả: Khôi phục và phục hồi

Thời gian ngừng hoạt động trung bình sau một cuộc tấn công bằng mã độc là 24 ngày. Nếu trả tiền chuộc, có thể mất thêm vài ngày để nhận được khóa giải mã và đảo ngược quá trình mã hóa.

Lưu ý rằng một số biến thể của phần mềm tống tiền sẽ xác định và hủy các bản sao lưu trên hệ thống mạng bị xâm nhập. Nếu bản sao lưu đã bị hủy hoặc mã hóa, quá trình khôi phục có thể trở nên phức tạp hơn. Nhưng ngay cả khi các bản sao lưu có thể sử dụng được thì việc khôi phục vẫn có thể là một quá trình kéo dài, tùy thuộc vào loại hệ thống sao lưu và khôi phục.

Cho dù bên bị hại đã trả tiền chuộc hay cố gắng tự mình khôi phục dữ liệu, việc lên kế hoạch cho toàn bộ quá trình khôi phục sẽ mất vài ngày, và có những tổn thất tài chính như: Chi phí ứng phó sự cố, doanh thu bị mất do thời gian ngừng hoạt động.

(The Pure Storage)

Bài liên quan