Đang tải... (xem toàn văn)
Cùng sự xúc tiến của công nghệthông tin, mã độc đã len lỏi vào mọi lĩnh vực của đời sống, gây thiệt hại rất lớn cả về kinhtế và an ninh, quốc phòng.Một số máy tính tại Việt Nam gần đây đ
lOMoARcPSD|38895030 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN VĂN - - TIỂU LUẬN CUỐI KÌ Môn: Bảo mật và an toàn thông tin Giảng viên: ThS Đặng Trần Long Mã lớp học phần: LIB3123 Đề bài : Nghiên cứu mã độc RANSOMWARE và biện pháp phòng tránh Nhóm 9 Cù Cẩm Tú 20031380 Tòng Thị Phượng 20031362 Vũ Thanh Phúc 20031359 Tôn Thùy Trang 20031376 Hà Nội, tháng 4 năm 2023 1 Downloaded by BACH VAN (bachvan12@gmail.com) lOMoARcPSD|38895030 DANH SÁCH THÀNH VIÊN VÀ PHÂN CHIA CÔNG VIỆC Tên thành viên + Công việc Xếp STT Mức độ hoàn thành MSV loại Cù Cẩm Tú – 1 Làm chương 2: Nhóm trưởng, tham gia chọn 1 2 Tổng hợp bài và sửa đề tài, nhắc nhở các thành A 20031380 tất cả các phần viên hoàn thành nhiệm vụ 1 Làm chương 1 Tham gia chọn đề tài, Chuẩn Tòng Thị Phượng - bị nội dung tốt, hoàn thành 2 20031362 A đúng hạn Tích cực tham gia công việc 1 Làm giới thiệu đề tài Vũ Thanh Phúc - 2 Thông tin đầu ra đầu Tham gia chọn đề tài Hoàn 3 20031359 vào của hệ thống thành nhiệm vụ được giao A 3 Xác định các chức Nộp bài đúng hạn năng của hệ thống Tôn Thùy Trang - 1 Vẽ sơ đồ Usecase Tham gia chọn đề tài Hoàn 4 20031376 2 Tham gia tổng hợp thành nhiệm vụ được giao A bài Nộp bài đúng hạn 2 Downloaded by BACH VAN (bachvan12@gmail.com) lOMoARcPSD|38895030 MỤC LỤC MỞ ĐẦU 4 1 Lý do chọn đề tài 4 2 Tổng quan nghiên cứu 4 3 Mục tiêu nghiên cứu .5 4 Đối tượng và phạm vi nghiên cứu 6 NỘI DUNG 7 1 Tổng quan về mã độc RANSOMWARE 7 1.1 Giới thiệu chung về mã độc 7 1.1.1 Khái niệm 7 1.1.2 Phân loại và cách thức phân tán .7 1.2 Mã độc Ransomware 8 1.2.1 Khái niệm 8 1.2.2 Lịch sử phát triển 9 1.2.3 Phân loại 11 1.3 Nguyên tắc hoạt động của RANSOMWARE .13 1.3.1 Nguyên nhân lây nhiễm mã độc 14 1.3.2 Biểu hiện bị nhiễm mã độc Ransomware 14 1.3.3 Mã hóa và giải mã .16 1.3.4 Đối tượng tấn công của Ransomware 18 1.3.5 Tình hình phát tán mã độc Ransomware 19 2 Giải pháp phòng chống mã độc RANSOMWARE .21 2.1 Con người 22 2.1.1 Nâng cao nhận thức về an toàn thông tin .22 2.1.2 Đào tạo kỹ thuật an toàn thông tin .22 2.1.3 Thay đổi mật khẩu mặc định trên tất cả các điểm truy cập 23 2.2 Công nghệ 23 2.2.1 Sao lưu dữ liệu 23 2.2.2 Thường xuyên cập nhật phần mềm 24 2.2.3 Sử dụng tường lửa .24 KẾT LUẬN 26 3 Downloaded by BACH VAN (bachvan12@gmail.com) lOMoARcPSD|38895030 MỞ ĐẦU 1 Lý do chọn đề tài Phần mềm mã độc cũng không nằm ngoài sự thay đổi và tăng trưởng nhanh chóng của thế giới trong mọi lĩnh vực, đặc biệt là trong lĩnh vực kinh doanh công nghệ thông tin Phải mất hơn ba thập kỷ kể từ khi John von Neuman (1903-1957) phát triển ý tưởng tự nhân bản của phần mềm máy tính cho đến khi virus đầu tiên ra đời, nhưng cùng với sự bùng nổ của Internet mã độc cũng bùng nổ tương ứng Cùng sự xúc tiến của công nghệ thông tin, mã độc đã len lỏi vào mọi lĩnh vực của đời sống, gây thiệt hại rất lớn cả về kinh tế và an ninh, quốc phòng Một số máy tính tại Việt Nam gần đây đã bị tấn công bằng các dạng Ransomware mới như CTB Locker/Critroni hay Onion Đây là loại mã độc cực kỳ nguy hiểm có thể gây thất thoát dữ liệu đáng kể trong các cơ quan, doanh nghiệp và cá nhân, đặc biệt nếu bị nhiễm mã độc và tài liệu bị mã hóa không thể lấy lại được Liệu Hiện nay, một số hệ thống mạng nội bộ (LAN) của các đơn vị đã bị tấn công bằng Ransomware dẫn đến mất quyền kiểm soát, thu thập thông tin, thậm chí bị mã hóa máy tính đầy đủ 2 Tổng quan nghiên cứu Ransomware, giống như các dạng virus có hại khác, xâm nhập vào máy tính của người dùng thông qua tệp đính kèm email, phần mềm lấy từ Internet hoặc chỉ duyệt các trang web Sau khi xâm nhập thành công vào máy tính, phần mềm độc hại sẽ mã hóa các tệp và yêu cầu tiền chuộc Hơn nữa, theo các nghiên cứu của Cisco và hãng bảo mật Symantec, Ransomware ngày càng tinh vi và nguy hiểm hơn trong các chiến lược hoạt động của nó Theo CPR, tần suất các cuộc tấn công bằng mã độc tống tiền đã tăng 57% kể từ đầu năm 2021, do các lỗ hổng Microsoft Exchange bị lộ Gần đây, Colonial Pipeline, một tập đoàn xăng dầu lớn của Mỹ, là nạn nhân của một cuộc tấn công như vậy vào năm 2020, theo Cybersecurity Ventures dự đoán rằng Ransomware gây hại cho các doanh nghiệp trên toàn cầu 20 tỷ USD - số tiền lớn hơn 70% so với năm 2019 Các nhà nghiên cứu CPR đã chứng kiến trung bình hơn 1000 công ty bị Ransomware tấn công mỗi tuần kể từ tháng 4 Downloaded by BACH VAN (bachvan12@gmail.com) lOMoARcPSD|38895030 Tư Điều này xảy ra sau sự gia tăng lớn về số lượng doanh nghiệp bị ảnh hưởng cho đến năm 2021 - 21% trong quý đầu tiên của năm và 7% kể từ tháng Tư Những phát triển này đã dẫn đến sự gia tăng đáng kinh ngạc 102% về số lượng doanh nghiệp bị Ransomware tấn công kể từ đầu năm 2020 Lĩnh vực chăm sóc sức khỏe có số lần tấn công Ransomware mỗi công ty nhiều nhất mỗi tuần với trung bình 109 lần mỗi tuần, tiếp theo là lĩnh vực tiện ích với 59 vụ tấn công và bảo hiểm/pháp lý với 34 vụ Như đã thấy ở trên, mức độ đáng báo động của Ransomware đã được cảnh báo từ trước nhưng các tổ chức, doanh nghiệp vẫn còn thiếu thông tin chuyên sâu để tự bảo vệ trước hiểm họa này Chủ đề làm thế nào để tránh Ransomware là một vấn đề cực kỳ quan trọng và cấp bách hiện nay, trước những rủi ro mà nó đã, đang và sẽ tạo ra Các phương pháp ngăn chặn ransomware tập trung vào quản lý rủi ro, công nghệ và yếu tố con người Vì Ransomware yêu cầu một số công cụ và giai đoạn tấn công để thành công nên phương pháp bảo mật hợp lý là sử dụng chiến lược bảo vệ nhiều lớp chống lại phần mềm độc hại có hại này Điều chính cần nhớ là Ransomware không thể đoán trước và liên tục thay đổi hành vi của nó Do đó, không có giải pháp duy nhất nào có thể bảo vệ dữ liệu khỏi mã độc hại Ransomware mà chỉ có phương tiện kết hợp nhiều phương pháp trong đó điểm mạnh của một kỹ thuật vượt trội hơn những thiếu sót của kỹ thuật kia Sau đó, các cá nhân, tổ chức và doanh nghiệp có thể cải thiện khả năng tự bảo vệ mình trước mã độc hại Ransomware 3 Mục tiêu nghiên cứu Bài nghiên cứu về mã độc Ransomware được thực hiện với các mục tiêu nghiên cứu chính như sau: Chỉ ra được các khái niệm, đặc điểm, cách thức tấn công; kỹ thuật phát tán, kỹ thuật mã hóa và giải mã của mã độc Ransomware Phân loại các loại mã độc Ransomware Đưa ra các giải pháp phòng chống mã độc Ransomware 5 Downloaded by BACH VAN (bachvan12@gmail.com) lOMoARcPSD|38895030 4 Đối tượng, phạm vi nghiên cứu Đối tượng nghiên cứu: Các cách xâm nhập của mã độc, cách thức hoạt động của Ransomware , đối tượng mà mã độc này hướng đến cách phát tán, mã hóa và những giải pháp phòng trách, giải mã của mã độc Ransomware Phạm vi nghiên cứu: Nghiên cứu được thực hiện trong phạm vi tìm hiểu các kỹ thuật, các giải pháp, các công nghệ phòng chống mã độc Ransoware 6 Downloaded by BACH VAN (bachvan12@gmail.com) lOMoARcPSD|38895030 NỘI DUNG 1 Tổng quan về mã độc RANSOMWARE 1.1 Giới thiệu chung về mã độc 1.1.1 Khái niệm Mã độc hay phần mềm độc hại (Malware), là một chương trình được phát triển và chèn vào một cách bí mật nhằm thực hiện hành vi gây hại đến hệ thống Chúng thường được các tin tặc dùng để thâm nhập, vô hiệu hóa thiết bị điện tử; lấy cắp thông tin; gây hại cho hệ thống Giống như bệnh cảm cúm ở người, chúng cản trở việc hoạt động và “gây bệnh” cho thiết bị máy1 Tuy mã độc không thể làm hỏng phần cứng hệ thống hoặc thiết bị mạng, nhưng chúng vẫn có thể đánh cắp, mã hóa hoặc xóa dữ liệu của người dùng, thay đổi hoặc chiếm quyền điều khiển các chức năng máy tính và theo dõi hoạt động máy tính mà không có sự cho phép của họ 1.1.2 Phân loại và cách thức phân tán Virus: Thực chất virus và mã độc vẫn thường bị nhầm lẫn với nhau Về bản chất thì virus là một dạng mã độc nhưng có khả năng tự lây lan Nó có thể làm hỏng ổ cứng, gây gián đoạn, đánh cắp thông tin cá nhân người dùng (mã số thẻ tín dụng, số điện thoại, …)2 Worm: Worm sở hữu khả năng tự nhân bản Chủ yếu được phát tán dưới dạng email với nội dung hấp dẫn hoặc tự tìm cách lan truyền qua các lỗ hổng của hệ điều hành Máy bị 1 "What Is Malware? Definition And How To Tell If You're Infected | Malwarebytes" Malwarebytes, 2023, https://www.malwarebytes.com/malware 2 Quỳnh, Nguyễn "Mã Độc Là Gì? Phân Loại Và Phòng Tránh Mã Độc Như Thế Nào - BKNS" Nhà Cung Cấp Hosting - Tên Miền - Cloud VPS | BKNS, 2022, https://www.bkns.vn/ma-doc-la-gi.html#Ma_doc_la_gi 7 Downloaded by BACH VAN (bachvan12@gmail.com) lOMoARcPSD|38895030 nhiễm sẽ bị đánh cắp dữ liệu nhạy cảm, bị phá mạng thông tin và cản trở việc hệ thống hoạt động Trojans: Tương tự như Virus, nhưng Trojans không có khả năng tự nhân bản mà phải dùng phần mềm khác để phát tán Trojans thường được phân tán qua các email hoặc các phần mềm miễn phí có đính kèm mã độc Loại chương trình này phần lớn được tin tặc sử dụng để thu thập dữ liệu về thói quen và hành vi khi sử dụng Internet của cá nhân Spyware: Cũng là loại mã độc với mục đích theo dõi thông tin và hành vi người dùng Thường thì Spyware được chèn trong các phần mềm ứng dụng miễn phí hoặc một file Có thể khiến kết nối Internet và máy tính nạn nhân bị chậm Adware: Thường được đính kèm với một tin quảng cáo, phân tán dưới hình thức là một app miễn phí hoặc phiên bản dùng thử Chúng được cài đặt vào máy tính người dùng một cách bí mật khi lướt web, sau đó theo dõi hành vi sử dụng mạng rồi gửi đến những quảng cáo phù hợp với người dùng Ngoài ra còn có Ransomware, một trong năm loại mã độc phổ biến làm ảnh hưởng đến hơn 3 triệu máy tính tại Việt Nam năm 2022.3 1.2 Mã độc Ransomware 1.2.1 Khái niệm Là một phần mềm sử dụng mã hóa để vô hiệu hóa quyền truy cập của mục tiêu vào dữ liệu của họ cho đến khi trả tiền chuộc Mã độc tống tiền có khả năng lây lan đến thiết bị lưu trữ khác trên mạng nếu máy tính của mục tiêu được kết nối chung mạng Nạn nhân sẽ 3 "5 Loại Mã Độc Hoành Hành Tại Việt Nam 2022" Vnexpress.Net, 2023, https://vnexpress.net/5-loai-ma-doc- hoanh-hanh-tai-viet-nam-2022-4548724.html 8 Downloaded by BACH VAN (bachvan12@gmail.com) lOMoARcPSD|38895030 không thể hoạt động một phần hoặc toàn bộ cho đến khi thanh toán, nhưng không có gì đảm bảo rằng khoản thanh toán sẽ giúp nhận được khóa giải mã cần thiết hoặc khóa giải mã được cung cấp sẽ hoạt động bình thường Mã độc Ransomware hạn chế hoặc từ chối quyền truy cập của người dùng vào thiết bị, hệ điều hành hoặc dữ liệu của thiết bị Một số sử dụng cơ chế khóa để ngăn người dùng tiếp tục sử dụng, trong khi một số khác mã hóa dữ liệu để người dùng không thể mở tập tin trong máy Bitcoin thường được sử dụng làm phương thức thanh toán để che giấu danh tính và xóa hồ sơ Tuy nhiên, không có gì đảm bảo rằng tin tặc sẽ cấp lại quyền ngay cả khi nạn nhân trả tiền Một số phần mềm tống tiền nguy hiểm hơn vì nó có thể truy cập Master Boot Record (MBR) của máy tính Theo cách tiếp cận này, Ransomware sẽ làm tê liệt toàn bộ hệ thống bằng cách ngăn hệ điều hành hoạt động.4 Ví dụ: Năm nay, thành phố Baltimore đã bị tấn công bởi một loại ransomware có tên RobbinHood, khiến mọi hoạt động của thành phố bị tạm dừng, bao gồm thu thuế, chuyển nhượng tài sản và email của chính phủ trong nhiều tuần Cuộc tấn công này đã gây thiệt hại cho thành phố hơn 18 triệu đô la Loại phần mềm độc hại tương tự đã được sử dụng để chống lại thành phố Atlanta vào năm 2018, dẫn đến chi phí 17 triệu đô la 1.2.2 Lịch sử phát triển Ban đầu, ransomware được thiết kế để hạn chế người dùng truy cập hợp pháp vào máy tính, buộc họ phải trả tiền chuộc để khôi phục quyền kiểm soát Sau đó, nhiều biến thể khác nhau của phần mềm độc hại độc hại này đã được tạo ra, mã hóa các tệp và dữ liệu hệ thống bằng các phương pháp phức tạp hơn hoặc tấn công trên nhiều 4 "12 Types Of Malware + Examples That You Should Know" Crowdstrike.Com, 2023, https://www.crowdstrike.com/cybersecurity-101/malware/types-of-malware/ 9 Downloaded by BACH VAN (bachvan12@gmail.com) lOMoARcPSD|38895030 thiết bị và nền tảng Ở Nga, ransomware ban đầu được xác định vào năm 2005 với biệt danh TROJ_CRYZIP.A Khi phần mềm độc hại nguy hiểm xâm nhập vào máy tính, nó sẽ nhanh chóng mã hóa, bảo vệ bằng mật khẩu các tệp hệ thống và tạo các thông báo có nội dung Yêu cầu nạn nhân trả một khoản tiền chuộc cụ thể Sau đó, Ransomware lan rộng ra ngoài nước Nga, ảnh hưởng đến các tệp văn bản và dữ liệu ở các định dạng như.docx,.xlsx,.jpg, or.pdf bằng các chiến thuật thông minh và thuật toán mã hóa phức tạp Trong thập kỷ qua, Ransomware đã phát triển thành một số dạng mới, phức tạp và tinh vi hơn, bao gồm: Phần mềm tống tiền AIDS và PC Cyborg chủ yếu nhắm vào các máy tính trong ngành y tế Mạo danh khảo sát nguy cơ nhiễm HIV trong đĩa 5,25 inch Thông báo đòi tiền chuộc được in trên máy in của máy tính nạn nhân Năm 2011, giới thông tin chứng kiến sự ra đời của một loại Ransomware khác có tên SMS Ransomware SMS Ransomware ngoài đặc điểm điển hình là gửi tin nhắn yêu cầu khách hàng liên hệ với hacker qua số điện thoại chỉ định cho đến khi giao tiền theo yêu cầu Virus WinLock lần đầu tiên xuất hiện ở Nga vào tháng 8 năm 2010 WinLock không mã hóa dữ liệu mà thay vào đó hạn chế quyền truy cập hệ thống bằng cách hiển thị hình ảnh khiêu dâm và nhắc người dùng viết tin nhắn Để lấy mã mở khóa, hãy gửi một tin nhắn SMS có tính phí (khoảng $10 USD) Người dùng ở Nga và các quốc gia lân cận gặp phải một số vấn đề và tình huống trở nên trầm trọng hơn do cuộc tấn công này; băng đảng đứng sau nó được cho là đã tạo ra 16 triệu đô la từ Ransomware Vào ngày 12 tháng 5 năm 2017, một biến thể mới của ransomware được gọi là WannaCry đã bắt đầu nhắm mục tiêu vào các 10 Downloaded by BACH VAN (bachvan12@gmail.com) lOMoARcPSD|38895030 Bitcoin) để giải mã các tệp và đưa hệ thống CNTT bị ảnh hưởng hoạt động bình thường Để có thêm quyền kiểm soát thiết bị của nạn nhân, ransomware đôi khi được triển khai cùng với virus 1.3.1 Nguyên nhân lây nhiễm mã độc Mã độc Ransomware ẩn nấp tinh vi trong các phần mềm đường liên kết , đường link tập tin người dùng và người dùng có thể bị nhiễm loại mã độc này qua các thao tác sau: Sử dụng các phần mềm crack Bấm vào các quảng cáo Truy cập vào các trang web giả mạo hoặc web đen Bấm vào các file đính kèm qua email spam Tải về thiết bị các phần mềm lạ, không rõ nguồn gốc Các lỗ hổng của hệ thống mạng hoặc thiết bị bị cài Ransomware tự động thông qua USB 1.3.2 Biểu hiện bị nhiễm mã độc Ransomware Loại mã độc này có thể xuất hiện ở bất cứ đâu , nếu không có sự cẩn trọng trong các thao tác người dùng có thể dễ dàng bị nghiễm mã độc Các chuyên gia về an ninh mạng khuyên người dùng nên kiểm tra thiết bị thường xuyên để phát hiện điều bất thường Tuy nhiên để nhận biết được máy tính đã bị nhiễm mã độc sẽ có một số đặc điểm và biểu hiện như sau: 1.3.2.1 Nhận được thông báo, tin nhắn lạ Phần mềm độc hại có thể được gửi qua tệp đính kèm, liên kết trong email hoặc tin nhắn trong chương trình trò chuyện Phần lớn các cảnh báo này rất ấn tượng, hấp dẫn và đơn giản để mọi người kết nối và nhấp vào Khi đối mặt với những tình huống này, người tiêu dùng nên cảnh giác và kiểm 14 Downloaded by BACH VAN (bachvan12@gmail.com) lOMoARcPSD|38895030 tra kỹ thông tin do người gửi cung cấp Người dùng không nên mở file hoặc click vào link nếu phát hiện có gì bất thường 1.3.2.2 Máy tính chạy chậm, hoạt động không ổn định Phần mềm độc hại vô tình xâm nhập vào máy có thể làm gián đoạn hoạt động của hệ thống Khi người dùng thường xuyên gặp phải và nhận được lỗi khi truy cập các tập tin trong đĩa, đây là một triệu chứng đáng lo ngại rằng máy đã bị nhiễm các chương trình có hại 1.3.2.3 Liên tục nhận được các cảnh báo giả Khi truy cập các trang web, thường có các cửa sổ bật lên không mong muốn với thông tin thương mại hiển thị ở nhiều vị trí trên màn hình Các cửa sổ này có thể chứa phần mềm độc hại có khả năng phá hủy dữ liệu và đánh cắp thông tin cá nhân của bạn Điều này cũng có thể xảy ra nếu máy bị phần mềm độc hại xâm nhập Bạn nên thường xuyên chạy trình quét vi-rút trên thiết bị của mình và xóa mọi tệp nghi vấn 1.3.2.4 Ổ cứng nhanh hết dung lượng trống Nếu ổ cứng của bạn đột nhiên hết dung lượng khi bạn chưa cài đặt bất kỳ phần mềm mới nào, có thể máy tính của bạn đã bị phần mềm độc hại xâm nhập, phần mềm độc hại này đã tự động tải các tệp độc hại mà bạn không hề hay biết 1.3.2.5 Hoạt động mạng tăng cao bất thường Nếu số liệu thống kê sử dụng dữ liệu mạng quá cao ngay cả khi thiết bị không được sử dụng, có thể một số phần mềm đáng ngờ đang hoạt động ẩn trên thiết bị, làm hao pin và khiến dữ liệu gặp nguy hiểm 15 Downloaded by BACH VAN (bachvan12@gmail.com) lOMoARcPSD|38895030 1.3.2.6 Những thay đổi trên trình duyệt Một dấu hiệu phổ biến khác của việc nhiễm mã độc là trang chủ của trình duyệt bị thay đổi bất ngờ, một thanh công cụ mới xuất hiện ngay cả khi người dùng không cài đặt và các trang web được tự động truy cập ngay cả khi không nhập URL Khi mã nguy hiểm xâm nhập vào máy tính, phần mềm độc hại sẽ tìm kiếm và mã hóa dữ liệu theo thời gian Do đó, phản ứng nhanh với các sự cố có thể giúp hạn chế tổn hại dữ liệu trên máy tính của bạn và tăng khả năng khôi phục dữ liệu được mã hóa Cụ thể cần thực hiện các thao tác sau: Tắt nhanh máy tính bằng cách rút nguồn Không khởi động lại máy tính bình thường mà khởi động từ một hệ điều hành sạch (ưu tiên Linux) bằng cách khởi động từ CD, USB, , sau đó kiểm tra các tệp dữ liệu; Dữ liệu không được mã hóa nên được sao lưu; thông tin được mã hóa khó giải mã hơn Tuy nhiên, trong một số ít trường hợp, phần mềm khôi phục dữ liệu như FTK, EaseUS, R-STUDIO, v.v có thể được sử dụng để khôi phục các tệp gốc đã bị xóa; Cài đặt lại toàn bộ hệ thống, cài đặt phần mềm diệt vi- rút và bật chế độ cập nhật phiên bản tự động 1.3.3 Mã hóa và giải mã Sử dụng thuật toán mã hóa khóa bí mật: Ransomware sử dụng mã hóa đối xứng, thông thường ransomware sẽ tạo ra một khóa trên máy tính bị nhiễm và gửi về cho kẻ tấn công Việc hacker sử dụng mã hóa đối xứng để mã hóa các file dữ liệu vì khi sử dụng loại mã hóa này thì thời gian mã hóa rất nhanh và rất an toàn Crypto 16 Downloaded by BACH VAN (bachvan12@gmail.com) lOMoARcPSD|38895030 ransomware nhanh chóng tìm kiếm và mã hóa một số lượng lớn các tập tin, do đó hiệu suất là điều cần thiết để mã hóa tập tin trước khi nạn nhân nhận biết được mối đe dọa Thuật toán mã hóa đối xứng điển hình thường được ransomware áp dụng là AES 128 bit hoặc AES 256 bit Sử dụng thuật toán mã hóa khóa công khai: Tuy nhiên, một số loại ransomware sử dụng khóa bất đối xứng để mã hóa dữ liệu của nạn nhân Mã hóa bất đối xứng sử dụng hai khóa: khóa công khai được sử dụng để mã hóa dữ liệu và khóa riêng được sử dụng để giải mã dữ liệu được mã hóa Chỉ có khóa riêngtương ứng mới có thể được sử dụng để giải mã dữ liệu Crypto ransomware có thể sử dụng mã hóa bất đối xứng bằng cách mã hóa các tập tin của người dùng với các khóa công khai và giữ khóa riêng cho bản thân Tuy nhiên trong thực tế, rất hạn chế sử dụng một khóa công khai để mã hóa số lượng lớn các tập tin, bởi mã khóa công khai rất chậm hơn nhiều so với mã hóa khóa bí mật Phải mất một thời gian lớn để hoàn thành việc mã hóa do đó rất dễ bị nạn nhân phát hiện khi đang tiến hành mã hóa dữ liệu Thuật toán mã hóa bất đối xứng thường được xử dụng là thuật toán RSA 1024 bit hoặc RSA 2048 bit Sử dụng kết hợp giải thuật mã hóa khóa đối xứng và bất đối xứng: Nhiều crypto ransomware tiên tiến thường sử dụng kết hợp kỹ thuật mã hóa đối xứng và bất đối xứng Các biến thể mà sử dụng mã hóa bất đối xứng cũng có thể tạo ra cặp khóa công khai- riêng cho mỗi máy tính bị nhiễm Điều này cho phép kẻ tấn công để giải mã các tập tin trên một máy tính bị nhiễm mà không tiết lộ khóa riêng Khóa riêng này có thể là khóa chung để giải mã dữ liệu trên máy tính của nhiều nạn nhân Thuật toán mã hóa đối xứng và bất đối 17 Downloaded by BACH VAN (bachvan12@gmail.com) lOMoARcPSD|38895030 xứng thường được sử dụng trong một số biến thể mới của ransomware là AES 256 bit và RSA 2048 bit 1.3.4 Đối tượng tấn công của Ransomware Cá nhân: Đã có nhiều vụ tấn công ransomware nhắm tới những người mà kẻ xấu tin là có tiền, những CEO – Founder – Manager của các công ty, tập đoàn lớn Tuy nhiên, điều đó không có nghĩa là những cá nhân bình thường sử dụng Internet thì không có nguy cơ bị tấn công bởi ransomware Trên thực tế, bất cứ ai cũng có thể trở thành nạn nhân của ransomware Bởi hiện nay có rất nhiều loại ransomware có thể tự động lan rộng khắp Internet Chỉ một cú click đơn giản cũng có thể làm “tê liệt” máy tính người dùng Khối doanh nghiệp: Các doanh nghiệp là mục tiêu hàng đầu của phần mềm tống tiền Không ngạc nhiên khi hacker chọn những doanh nghiệp đang phát triển nhưng có hệ thống bảo mật lỏng lẻo để tấn công ransomware Những công ty này có tài chính tốt, và thường sẽ chi trả cho hacker khi đứng trước những lời đe dọa xóa hoặc mã hóa dữ liệu khách hàng Tổ chức y tế - chính phủ - giáo dục: Bên cạnh đó, một số tổ chức cũng có thể trở thành đối tượng bị tấn công vì hacker cho rằng họ có khả năng sẽ trả tiền chuộc trong thời gian ngắn Ví dụ như các cơ quan chính phủ hay các cơ sở, dịch vụ y tế – những đơn vị phải thường xuyên truy cập vào cơ sở dữ liệu Các công ty luật hoặc các tổ chức sở hữu nhiều dữ liệu nhạy cảm cũng sẽ sẵn sàng bỏ tiền ra để kẻ tấn công giữ 18 Downloaded by BACH VAN (bachvan12@gmail.com) lOMoARcPSD|38895030 im lặng Hacker cũng có thể nhắm đến các trường đại học vì các đơn vị này thường có đội ngũ bảo mật nhỏ, trong khi lại sở hữu một nền tảng thông tin người dùng lớn Từ những lý do trên có thể thấy rằng quy mô và hình thức phát tán của mã độc ransomware không có giới hạn và phạm vi 1.3.5 Tình hình phát tán mã độc Ransomware Đông Nam Á là nơi có nhiều vụ tấn công mã độc bắt cóc dữ liệu tống tiền trong năm 2022 được ngăn chặn thành công Theo thống kê trong năm 2022, hơn 300.000 cuộc tấn công ransomware (mã độc bắt cóc dữ liệu tống tiền) đã diễn ra tại Đông Nam Á, trong đó có hơn 57.000 vụ được phát hiện và ngăn chặn thành công tại Việt Nam Kể từ năm 2016, những tác nhân độc hại đằng sau mối đe dọa này đã chuyển mục tiêu từ người dùng sang các doanh nghiệp lớn hơn 19 Downloaded by BACH VAN (bachvan12@gmail.com) lOMoARcPSD|38895030 Các sự cố có tác động lớn được biết đến bao gồm Wannacry Ransomware, với hậu quả ước tính trị giá 4 tỉ đô la Mỹ Hiện tại, những tin tặc đứng đằng sau những cuộc tấn công bằng ransomware ngày càng cải thiện các chiến thuật và công cụ của chúng để kiếm thêm tiền, đặc biệt nhắm đến các doanh nghiệp, gây nên thiệt hại lớn, trong đó có khu vực Đông Nam Á Chẳng hạn năm ngoái, nhóm ransomware Lockbit đã tấn công 115 doanh nghiệp trong khu vực, buộc một số nạn nhân ở Malaysia, Singapore bỏ ra 50 triệu USD tiền chuộc Theo thống kê của công ty an ninh mạng Kaspersky, đã có 304.904 cuộc tấn công ransomware nhắm vào các doanh nghiệp tại khu vực Đông Nam Á đã bị chặn ngăn chặn thành công trong năm 2022 Indonesia ghi nhận số lượng vụ tấn công được giải quyết bằng các giải pháp bảo vệ an ninh mạng cao nhất (131.779 vụ), tiếp theo là Thái Lan (82.438 vụ) và Việt Nam (57.389 vụ) Philippines đã ghi nhận tổng cộng 21.076 cuộc tấn công ransomware trong khi Malaysia có 11.750 vụ và Singapore có 472 vụ 20 Downloaded by BACH VAN (bachvan12@gmail.com)