Báo cáo toàn diện này sẽ đi sâu vào sự phức tạp của Ransomware, tập trung vào việc làm rõ các loại Ransomware phổ biến, cách thức chúng hoạt động và phương pháp phát hiện chúng.. Tiểu lu
Giới thiệu
Bối cảnh và tầm quan trọng của vấn đề Ransomware
Trước sự phát triển không ngừng của công nghệ thông tin trên thế giới và sự ứng dụng rộng rãi của nó vào nhiều mặt cuộc sống như kinh doanh, lưu trữ, luân chuyển dữ liệu,… Song với sự phát triển mạnh mẽ đó, ransomware nổi lên như một mối đe dọa đáng lo ngại từ việc lợi dụng các lỗ hổng bảo mật để tấn công vào những hệ thống chứa thông tin quan trọng của các doanh nghiệp, tổ chức và chính phủ trên toàn cầu Năm
2024, ransomware tiếp tục là một trong những mối đe dọa an ninh mạng nghiêm trọng nhất với các cuộc tấn công ngày càng tinh vi hơn.
Mục tiêu chuyên đề
Giúp sinh viên tìm hiểu sâu hơn về phần mềm độc hại ransomware, nâng cao nhận thức về sự nguy hiểm và những hậu quả của ransomware trong môi trường kỹ thuật số doanh nghiệp và cá nhân Điều này bao gồm cả phân tích cách hoạt động, khám phá các công cụ, kỹ thuật và các chiến lược ngăn chặn ransomware, tạo nền tảng cho sinh viên nghiên cứu về các chiến lược phòng thủ mạng tiên tiến, đóng góp vào việc phát triển các giải pháp toàn diện để bảo vệ máy tính và dữ liệu khỏi sự tấn công của phần mềm độc hại, đặc biệt là ransomware
Tìm hiểu về Ransomware
Tiểu luận môn an toàn mạng thông tin
2.1 Định nghĩa và các loại Ransomware (Crypto Ransomware, Locker Ransomeware, Scareware) Định nghĩa: Ransomware là một loại phần mềm độc hại (malware) tấn công vào hệ thống máy tính của người dùng, mã hóa dữ liệu, khóa quyền truy cập vào dữ liệu hoặc toàn bộ hệ thống, và yêu cầu một khoản tiền chuộc (ransom) để khôi phục quyền truy cập Nó có thể lây lan qua các đường dẫn như email, đường link độc hại hoặc các tệp tải về không rõ nguồn gốc
Các loại Ransomware phổ biến:
Crypto Ransomware: Loại này mã hóa các tệp dữ liệu trên máy tính của nạn nhâ, yêu cầu một khoản tiền chuộc để có thể giải mã các tệp Dữ liệu không thể sử dụng được nếu không có khóa giải mã do kẻ tấn công cung cấp sau khi nhận được tiền chuộc
Locker Ransomware: Loại này không mã hóa các tệp, nhưng khóa nạn nhân ra khỏi hệ thống của họ, khiến họ không thể sử dụng máy tính hoặc các thiết bị của mình Nó thường hiển thị một màn hình yêu cầu trả tiền chuộc để mở khóa
Scareware: Đây là loại ransomware thường hiển thị các cảnh báo giả mạo trên màn hình của người dùng, nói rằng máy tính của họ đã bị nhiễm virus hoặc gặp vấn đề bảo mật, và yêu cầu trả tiền để "khắc phục" Tuy nhiên, dữ liệu thường không bị mã hóa hoặc khóa trong trường hợp này
Phân biệt Ransomware vs Virus:
Virus và Ransomware đều là phần mềm độc hại (hay còn gọi là mã độc, tiếng Anh là ‘malware’)
Virus là thuật ngữ chỉ những malware có khả năng phát tán và lây lan cực kỳ nhanh, tới mức không thể kiểm soát nổi
Ransomware là những phần mềm độc hại được thiết kế với mục đích “tống tiền nạn nhân” Thông thường để phát tán Ransomware, kẻ xấu cần sử dụng các phương thức lừa đảo Phishing để dụ người dùng “cắn câu” Tuy nhiên cũng có một số loại Ransomware hiện đại có khả năng tự lây lan trong các mạng nội bộ hoặc qua Internet mà không cần người dùng tương tác
Tiểu luận môn an toàn mạng thông tin
Thường được thiết kế để gây gián đoạn hệ thống, sao chép chính nó và lây lan đến các hệ thống khác
Tống tiền nạn nhân bằng cách khóa hoặc mã hóa dữ liệu và yêu cầu tiền chuộc
Virus sao chép và chèn mã độc vào các chương trình hoặc tệp tin khác để lây lan, gây ra lỗi, phá hoại hệ thống
Ransomware mã hóa dữ liệu hoặc khóa truy cập vào hệ thống và yêu cầu tiền chuộc để giải mã hoặc mở khóa
Virus có thể phá hủy dữ liệu, làm chậm hệ thống, tạo ra các cửa hậu để kẻ tấn công xâm nhập
Ransomware không chỉ làm mất dữ liệu mà còn gây ra tổn thất tài chính cho nạn nhân qua việc đòi tiền chuộc
Hành động yêu cầu từ người dùng
Không yêu cầu trực tiếp từ người dùng, thường lây nhiễm và thực thi mà không cần tương tác
Ransomware sẽ hiển thị yêu cầu trả tiền chuộc rõ ràng đến nạn nhân và yêu cầu họ thực hiện hành động cụ thể
Bảng 1 Phân biệt Ransomware vs Virus
2.2 Cách hoạt động của Ransomware
Tiểu luận môn an toàn mạng thông tin
Hình 2 Cách hoạt động của Ransomware
Quá trình hoạt động của Ransomware thường gồm các bước chính sau:
1 Xâm nhập hệ thống: Ransomware thường xâm nhập vào máy tính qua các email có đính kèm tệp độc hại, các trang web không an toàn, hoặc qua các lỗ hổng bảo mật của hệ thống
Tìm và sử dụng các phần mềm crack, không rõ nguồn gốc
Click vào file đính kèm trong email (thường là file word, PDF)
Click vào các quảng cáo chứa mã độc tống tiền
Truy cập vào website chứa nội dung đồi trụy, không lành mạnh
Truy cập vào website giả mạo
Và còn nhiều cách lây nhiễm ransomware khác do tính sáng tạo của hacker được cải thiện theo thời gian
2 Thực thi mã độc: Khi người dùng vô tình tải và mở tệp độc hại hoặc click vào đường link độc hại, mã độc sẽ bắt đầu hoạt động, tìm kiếm các tệp trên máy tính để mã hóa (crypto ransomware) hoặc khóa hệ thống (locker ransomware)
3 Yêu cầu tiền chuộc: Sau khi mã hóa dữ liệu hoặc khóa máy, ransomware sẽ hiển thị một thông báo yêu cầu nạn nhân phải trả tiền chuộc để có thể khôi phục quyền truy cập Thường thì tiền chuộc sẽ được yêu cầu thanh toán bằng các loại tiền ảo như Bitcoin
4 Giao dịch và giải mã: Nếu nạn nhân đồng ý trả tiền chuộc, kẻ tấn công có thể cung cấp khóa giải mã để khôi phục dữ liệu, nhưng không có gì đảm bảo rằng kẻ tấn công sẽ thực hiện điều này
Tiểu luận môn an toàn mạng thông tin
2.3 Các ví dụ nổi bật (WannaCry, NotPetya, Ryuk, DarkSide)
Xuất hiện vào năm 2017, WannaCry là một trong những cuộc tấn công ransomware lớn nhất lịch sử, nhắm vào các máy tính Windows
WannaCry mã hóa dữ liệu và yêu cầu tiền chuộc bằng Bitcoin
Lợi dụng lỗ hổng EternalBlue của Microsoft để lây lan qua mạng nội bộ, gây ra thiệt hại hàng tỷ USD trên toàn thế giới
Tiểu luận môn an toàn mạng thông tin
NotPetya cũng là một dạng ransomware tấn công vào năm 2017 Nó được cho là có nguồn gốc từ cuộc tấn công nhắm vào Ukraine, nhưng sau đó lan ra toàn cầu
Khác với ransomware thông thường, NotPetya không có mục đích chính là thu tiền chuộc mà là phá hoại Sau khi tấn công, ngay cả khi trả tiền chuộc, nạn nhân cũng không thể khôi phục dữ liệu
Ryuk là một ransomware nhắm vào các tổ chức lớn, bao gồm các cơ quan chính phủ, doanh nghiệp và hệ thống y tế
Tấn công này thường được sử dụng trong các chiến dịch tấn công có mục tiêu cao, yêu cầu số tiền chuộc lớn và có khả năng gây ra thiệt hại lâu dài
Tiểu luận môn an toàn mạng thông tin
DarkSide nổi tiếng với cuộc tấn công vào hệ thống Colonial Pipeline của Mỹ vào năm 2021, làm gián đoạn hoạt động cung cấp xăng dầu cho một phần lớn miền Đông Hoa Kỳ
Sau cuộc tấn công, nhóm DarkSide đã nhận được khoản tiền chuộc lớn, nhưng một phần tiền chuộc đã bị FBI thu hồi sau đó
III, Phương pháp phát hiện ransomware
3.1 Phát hiện dựa trên chữ ký
Mỗi Ransomware có các mẫu chữ ký đặc trưng, bao gồm các chuỗi ký tự, các dòng mã hoặc hành vi độc hại Các chữ ký này được lưu trong cơ sở dữ liệu của các hệ thống bảo mật
Phát hiện ransomware dựa trên chữ ký của nó liên quan đến việc sử dụng các phương pháp phát hiện cụ thể dựa trên việc khớp các mẫu( chữ ký ) phần mềm Ransomware đã biết
Các Công cụ và Kỹ thuật Ngăn chặn Ransomware
4.1 Phần mềm diệt virus và giải pháp bảo mật (Antivirus, BKAV, Malwarebytes…)
Hình 12 Các phần mềm ngăn chặn ransomware
Phần mềm diệt virus (Antivirus) là một trong những công cụ phổ biến nhất để phát hiện và ngăn chặn các loại mã độc, bao gồm cả ransomware Các chương trình này hoạt động bằng cách quét các tập tin, email, và các hoạt động trên máy tính để phát hiện những dấu hiệu bất thường hoặc mã độc đã biết, từ đó đưa ra cảnh báo hoặc ngăn chặn các mối đe dọa
Nguyên tắc hoạt động: Phần mềm diệt virus hoạt động theo hai cách: phát hiện dựa trên chữ ký (signature-based detection) và phát hiện dựa trên hành vi (behavior-based detection) Chữ ký là những mẫu mã độc đã được biết trước và lưu trữ trong cơ sở dữ liệu của phần mềm Phát hiện hành vi giúp phần mềm theo dõi các hành động của phần mềm trên máy tính để xác định xem nó có hành vi giống với mã độc hay không, từ đó ngăn chặn kịp thời các mối đe dọa mới
Giúp phát hiện nhanh chóng các loại mã độc đã được biết trước
Cung cấp bảo vệ theo thời gian thực và giám sát liên tục
Dễ dàng sử dụng với người dùng phổ thông
Không hiệu quả với các dạng ransomware mới hoặc chưa được cập nhật trong cơ sở dữ liệu
Có thể làm giảm hiệu năng của máy tính nếu liên tục chạy nền
Tiểu luận môn an toàn mạng thông tin
Một số phần mềm phổ biến có thể ngăn chặn Ransomware hiện nay:
Bkav: Là phần mềm diệt virus của Việt Nam, được đánh giá cao trong việc phát hiện và ngăn chặn mã độc bao gồm cả Ransomware BKAV tích hợp công nghệ đám mây để phân tích dữ liệu, phát hiện các mối đe dọa mới mà không cần chờ cập nhật cơ sở dữ liệu
Malwarebytes: Đây là giải pháp bảo mật chuyên về chống phần mềm độc hại và đặc biệt mạnh mẽ trong việc ngăn chặn các biến thể ransomware mới
Malwarebytes không chỉ tập trung vào mã độc mà còn cung cấp bảo vệ nâng cao chống lại các loại phần mềm độc hại (malware), bao gồm phần mềm quảng cáo
(adware), spyware và các loại mã độc khác
Tường lửa là một hệ thống bảo mật giám sát và kiểm soát lưu lượng mạng dựa trên một bộ quy tắc bảo mật đã được thiết lập Nó có khả năng lọc và chặn các gói dữ liệu đến và đi từ mạng dựa trên các quy tắc được cấu hình, từ đó giúp ngăn chặn các cuộc tấn công ransomware và các loại mã độc khác
Nguyên tắc hoạt động: Tường lửa hoạt động bằng cách tạo ra một rào cản giữa mạng nội bộ an toàn và các nguồn tài nguyên không an toàn từ bên ngoài Nó sẽ giám sát và phân tích lưu lượng dữ liệu để phát hiện và ngăn chặn các mối đe dọa tiềm tàng trước khi chúng có thể xâm nhập vào hệ thống
Lọc gói tin (Packet Filtering): Tường lửa phân tích các gói dữ liệu đi vào và ra khỏi hệ thống, kiểm tra chúng dựa trên các tiêu chí như địa chỉ IP, cổng và giao thức Nếu gói tin không đáp ứng các yêu cầu bảo mật đã đặt ra, nó sẽ bị chặn
Chặn ứng dụng và lưu lượng không xác định: Tường lửa có thể ngăn
Tiểu luận môn an toàn mạng thông tin chặn các ứng dụng đáng ngờ hoặc chưa được xác minh kết nối với mạng,giúp giảm nguy cơ lây nhiễm ransomware từ các nguồn không an toàn
Tường lửa dựa trên phần mềm: Đây là loại tường lửa chạy trên một thiết bị hoặc máy chủ, thường được sử dụng trên các máy tính cá nhân hoặc mạng nhỏ
Tường lửa dựa trên phần cứng: Là các thiết bị chuyên dụng được lắp đặt trong mạng doanh nghiệp để bảo vệ toàn bộ hệ thống mạng
Ngăn chặn được các cuộc tấn công từ bên ngoài trước khi chúng xâm nhập vào hệ thống
Có thể thiết lập các quy tắc cụ thể để giám sát và ngăn chặn các loại lưu lượng bất thường hoặc nguy hiểm
Tường lửa không bảo vệ được khỏi các cuộc tấn công xuất phát từ bên trong hệ thống
Cần phải thường xuyên cập nhật các quy tắc để đảm bảo hiệu quả
Vai trò của tường lửa trong chống ransomware:
Tường lửa giúp ngăn chặn các cuộc tấn công từ xa của hacker muốn lây nhiễm ransomware qua mạng
Có khả năng chặn các kết nối từ các máy tính đã bị lây nhiễm ransomware, ngăn không cho ransomware liên lạc với máy chủ điều khiển từ xa của hacker
4.3 Hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS)
Tiểu luận môn an toàn mạng thông tin
Hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS) là những công cụ bảo mật có khả năng giám sát và bảo vệ mạng khỏi các hành vi xâm nhập trái phép, bao gồm các cuộc tấn công ransomware
IDS: Là một hệ thống thụ động, chỉ có chức năng giám sát và phát hiện các hành vi xâm nhập Khi phát hiện một hành vi bất thường, IDS sẽ gửi cảnh báo cho quản trị viên hệ thống nhưng không trực tiếp ngăn chặn hành vi đó
IPS: Là một hệ thống chủ động hơn, ngoài chức năng phát hiện còn có khả năng ngăn chặn các cuộc xâm nhập ngay lập tức bằng cách khóa kết nối, chặn lưu lượng, hoặc cài đặt các biện pháp bảo vệ khác
Nguyên tắc hoạt động: Cả IDS và IPS đều hoạt động bằng cách phân tích lưu lượng mạng và tìm kiếm các dấu hiệu xâm nhập như các mẫu mã độc, hành vi bất thường hoặc các cuộc tấn công đã biết IPS có thể can thiệp trực tiếp vào lưu lượng mạng để chặn các mối đe dọa ngay khi chúng được phát hiện
Dựa trên chứ ký (Signature-based IDS): Tương tự như phần mềm diệt virus, IDS cũng sử dụng cơ sở dữ liệu chứa các mẫu tấn công đã biết để so sánh với các hoạt động trên mạng
Chiến lược ngăn chặn Ransomware
Đối mặt với các mối đe dọa ngày một gia tăng đến từ các cuộc tấn công công nghệ cao, việc triển khai các chiến lược ngăn chặn Ransomware đóng vai trò quan trọng trong bảo mật thông tin Một số các chiến lược phổ biến trong quá trình ngăn chặn các cuộc tấn công bằng phương thức Ransomware có thể kể đến như sau:
5.1 Triển khai kiến trúc Zero Trust (Zero Trust Architecture)
Theo Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST), kiến trúc Zero
Trust, hay còn được gọi là Zero Trust Security Model, là một mô hình bảo mật thông tin hoạt động dựa trên nguyên tắc không tin tưởng bất kì ai hay hệ thống nào, và được thiết kế nhằm ngăn chặn những lỗ hổng dữ liệu, đồng thời hạn chế quyền hạn đối với các tác nhân ở cả trong và ngoài hệ thống
Tiểu luận môn an toàn mạng thông tin
Kiến trúc Zero Trust yêu cầu tất cả người dùng, bất kể ở trong hay ngoài hệ thống đều phải được xác thực, ủy quyền và phải liên tục xác nhận cấu hình và tư thế bảo mật trước khi được cấp hoặc giữ quyền truy cập vào dữ liệu và các ứng dụng
Với những thách thức trong việc bảo mật thông tin của người dùng và doanh nghiệp trong thời kì hiện đại, việc áp dụng mô hình bảo mật Zero Trust đóng vai trò to lớn nhằm đảm bảo an toàn cho nhân viên, môi trường đám mây lai và đặc biệt là sự đe dọa từ các cuộc tấn công ransomware
5.1.2 Nguyên tắc cốt lõi của Zero Trust
Một mô hình bảo mật Zero Trust được thiết kế và được triển khai dựa trên các nguyên tắc sau:
Tất cả mọi nguồn dữ liệu, thiết bị và dịch vụ đều được coi là tài nguyên
Một hệ thống có thể là một tập hợp của nhiều loại thiết bị khác nhau, cùng với đó là những thiết bị đặc thù như chip, cảm biến để truyền tải hoặc lưu trữ dữ liệu, hay các phần mềm dịch vụ và vô vàn các chức năng khác Ngoài ra trong các doanh nghiệp, các thiết bị cá nhân có thể được xem là tài nguyên nếu các thiết bị đó có khả năng truy cập vào các nguồn tài nguyên của công ty
Tất cả mọi kết nối trên môi trường mạng đều được bảo mật
Tất cả các yêu cầu kết nối, giao tiếp nội bộ với cơ sở hạ tầng mạng lưới của doanh nghiệp đều phải đáp ứng cùng một mức yêu cầu bảo mật giống với những yêu cầu tới từ bên ngoài mạng lưới Hay nói cách khác, kể cả thiết bị, tài sản có nằm trong hệ thống thông tin thì vẫn cần phải có xác thực, kiểm tra và tuân thủ yêu cầu bảo mật thực
Tất cả các quyền truy cập được cung cấp dựa theo từng phiên làm việc
Khi có người yêu cầu quyền truy cập vào tài nguyên, hệ thống sẽ xác thực danh tính người yêu cầu trước khi cấp quyền và sẽ chỉ được phân quyền tối thiểu, vừa đủ để hoàn thành tác vụ Bên cạnh đó, việc được cấp quyền truy cập vào một tài nguyên sẽ không tự động cấp quyền truy cập vào một tài nguyên khác
Mọi yêu cầu truy cập đều được quy ước theo các nguyên tắc và chính sách bảo mật
Quy chế chính sách bảo mật cần bao gồm danh tính đối tượng, dịch vụ, ứng dụng, tài sản yêu cầu và các môi trường liên quan Những quy tắc và thuộc tính này dựa trên nhu cầu của quá trình kinh doanh và mức độ rủi ro có thể chấp nhận được Quyền truy cập tài nguyên và chính sách cấp phép hành động có thể được thay đổi dựa trên mức độ nhạy cảm của dữ liệu Nguyên tắc đặc quyền tối thiểu được áp dụng để hạn chế cả khả năng hiển thị và khả năng tiếp cận
Tiểu luận môn an toàn mạng thông tin
Tất cả dữ liệu, dù thuộc quyền sở hữu hay không, đều phải được theo dõi, kiểm soát và quản lý khi kết nối tới hệ thống
Khi áp dụng Zero Trust Architecture, cần có sự đảm bảo về khả năng theo dõi trạng thái của thiết bị, phần mềm và cài đặt các bản vá sửa lỗi khi cần thiết Đối với các thiết bị, tài sản không nằm trong quyền sở hữu của doanh nghiệp, vẫn cần phải được kiểm soát thông qua các quy chế, chính sách và phương thức bảo mật nhằm đề phòng các sự cố
Mô hình Zero Trust cần thiết lập được một vòng đời quản lý hệ thống
Vòng đời này bao gồm cho phép truy cập, kiểm tra và kiểm định mối nguy hại, ứng phó và thích ứng, cuối cùng là đánh giá lại các kết nối đang vận hành Do đó, khi áp dụng mô hình Zero trust, những công cụ có chức năng xác thực và liên tục kiểm soát như ICAM (Identity, Credential, and Access Management) và MFA (Multi-factor authentication) luôn luôn phải được áp dụng
Hệ thống dữ liệu áp dụng mô hình Zero Trust cần có phương pháp thu thập thông tin trạng thái hoạt động của hệ thống và các hình thức giao tiếp Từ những thông tin này mà hệ thống có thể cải thiện khả năng bảo mật tốt hơn
Hình 16 Nguyên tắc cốt lõi của kiến trúc bảo mật Zero Trust (Nguồn: Gartner)
Zero Trust Architecture được tích hợp nhiều tính năng nhằm nâng cao tính bảo mật cho tổ chức, doanh nghiệp, cá nhân Các chức năng nổi bật có thể kể đến như:
Tiểu luận môn an toàn mạng thông tin
Thay vì sử dụng hệ thống cô lập, kiến trúc Zero Trust hướng đến việc xác thực quyền truy cập vào toàn bộ tài sản kỹ thuật số Điều này có thể được thực hiện thông qua tính năng mã hóa một cách toàn diện và quản lý danh tính chặt chẽ Nhờ thế chỉ có những cá nhân đã được xác thực danh tính và ủy quyền mới có quyền truy cập dữ liệu và thao tác trên hệ thống
Zero Trust không chỉ tập trung vào các hệ thống trong mạng lưới mà còn giám sát tất cả các thiết bị đang cố gắng truy cập vào mạng lưới của tổ chức Mô hình bảo mật này kiểm tra sự tuân thủ của người dùng và thiết bị Nếu phát hiện các dấu hiệu bất thường, Zero Trust có thể hạn chế quyền truy cập nhằm giảm thiểu rủi ro
Bằng cách thu thập thông tin và xác thực trạng thái bảo mật của các thiết bị, Zero
Trust có thể phân tích dữ liệu một cách tự động, giúp nhận biết các hành vi bất thường trong hệ thống và cung cấp cảnh báo tới quản trị viên theo thời gian thực
Các biện pháp xử lý khi bị tấn công bởi Ransomware
Cô lập và tách mạng, hệ thống : Ngắt kết nối ngay các hệ thống bị nhiễm khỏi mạng để ngăn chặn ransomware lây lan sang các thiết bị khác Điều này giúp ngăn chặn sự lây nhiễm
Xác định thiết bị Patient Zero, đánh giá thiệt hại : Xác định thiết bị nào bị nhiễm đầu tiên ( Patient Zero) và đánh giá mức độ thiệt hại gây ra Điều này bao gồm xác định tệp và hệ thống nào đã bị xâm phạm
Xác định Ransomware, báo cáo cho cục phòng chống an ninh mạng, : Xác định loại ransomware cụ thể liên quan Báo cáo sự cố cho các cơ quan có thẩm quyền, chẳng hạn như Cục Phòng chống An ninh mạng, để được hỗ trợ và hướng dẫn thêm về cách xử lý cuộc tấn công
Tiểu luận môn an toàn mạng thông tin
Tìm bản sao lưu hoặc công cụ giải mã để khôi phục lấy lại dữ liệu : Nếu có bản sao lưu, hãy sử dụng chúng để khôi phục dữ liệu đã mã hóa Ngoài ra, hãy nghiên cứu các công cụ giải mã có sẵn trực tuyến, vì một số biến thể ransomware có giải pháp đã biết để giải mã tệp
Liên hệ chuyên gia bảo mật : Thuê chuyên gia an ninh mạng hoặc nhóm ứng phó sự cố để hướng dẫn bạn trong suốt quá trình khôi phục và giúp bảo vệ hệ thống của bạn khỏi các cuộc tấn công trong tương lai Họ có thể cung cấp thông tin chuyên sâu và chiến lược khắc phục phù hợp với tình huống của bạn.
Nghiên cứu các cuộc tấn công Ransomware và bài học thực tế
7.1 Phân tích các cuộc tấn công Ransomware nổi bật
Trong lịch sử đã có một vài các cuộc tấn công Ransomware nổi tiếng và những thiệt hại chúng để lại được cho là cực kì nghiêm trọng Chính từ những cuộc tấn công trước đó mà các chuyên gia thuộc lĩnh vực an ninh mạng mới có thể nghiên cứu và đưa ra các phương án đối phó nhằm ngăn chặn các cuộc tấn công trong tương lai
WannaCry, hay còn được biết đến với tên gọi WannaDecryptor 2.0, là một phần mềm chứa mã độc tống tiền (ransomware) lan truyền một cách tự động trên các máy tính sử dụng hệ điều hành Windows Nó được sử dụng như một công cụ cho một cuộc tấn công trên không gian mạng có quy mô lớn trong khoảng thời gian từ ngày 12 đến ngày 15/5/2017 Trong thời gian đó đã có 230.000 máy tính ở 150 quốc gia khác nhau đã bị nhiễm Ransomware từ phần mềm này, yêu cầu chủ thiết bị phải thanh toán từ 300-
600 Euro bằng hình thức Bitcoin
Theo như các chuyên gia thì họ cho rằng WannaCry sử dụng phần mềm khai thác lỗ hổng EternalBlue, ban đầu được phát triển bởi Cơ quan An ninh Quốc gia Hoa Kỳ nhưng đã bị rò rỉ và được nhóm tin tặc The Shadow Broker phát hành vào ngày
Phần mềm EternalBlue khai thác lỗ hổng MS17-010 của giao thức SMB (Server
Message Block) trên hệ điều hành Microsoft Windows Mặc dù Microsoft đã phát hành một bản cập nhật để lấp lỗ hổng bảo mật một tháng trước khi cuộc tấn công diễn ra, sự chậm trễ trong việc cập nhật đã khiến cho nhiều người dùng và tổ chức trở thành nạn nhân của WannaCry
Sau khi xâm nhập được vào các máy tính, mã độc WannaCry mã hóa ổ đĩa cứng, sau đó cố gắng khai thác lỗ hổng SMB nhằm mục đích lan truyền mã độc tới các máy
Tiểu luận môn an toàn mạng thông tin tính khác trên Internet một cách ngẫu nhiên, cùng với các máy tính kết nối tới cùng một mạng LAN (Local Area Network)
Hình 17 Máy tính sau khi bị nhiễm Ransomware WannaCry
Khi lây nhiễm được đến một máy tính mới, WannaCry sẽ liên lạc với một trang web từ xa và sẽ chỉ mã hóa các tập dữ liệu nếu như nó nhận ra địa chỉ trang web đó là không thể truy cập được Nhưng trong trường hợp địa chỉ đó có thể được truy cập bằng một cách nào đó, WannaCry sẽ tự xóa đi mã nguồn của chính nó – một khóa an toàn được tạo ra trong trường hợp tin tặc mất quyền kiểm soát phần mềm Sau đó một chuyên gia công nghệ người Anh đã khám phá ra các địa chỉ web này và mua lại tên miền với giá 10 Euro, tạm thời ngăn chặn được cuộc tấn công Tuy nhiên các biến thể của
WannaCry đã được chỉnh sửa và nhanh chóng lây lan trở lại với phiên bản WannaCry
2.0 mà không còn chứa các Kill-Switch như phiên bản đầu tiên
Trên thực tế thì lỗ hổng bảo mật của Windows không phải là lỗ hổng zero-day, đã có những bản vá được tung ra ngay sau khi phát hiện ra lỗ hổng Microsoft cũng đã thúc giục người dùng nhanh chóng cập nhật lên phiên bản có sử dụng giao thức SMB3 với mức độ bảo mật cao hơn, thay vì phiên bản SMB1 trước đó Theo như nhà phân tích công nghệ MalwareTech chia sẻ, tính năng Kill-Switch mà các chuyên gia sử dụng nhằm ngăn chặn cuộc tấn công chỉ nằm ở trong SMB worm chứ không thuộc module của ransomware WannaCry Vì thế mã độc này vẫn sẽ tồn tại và tiếp tục lây lan Những gì mà các chuyên gia có thể làm trong thời điểm đó chỉ là ngăn chặn các biến thể của SMB worm chứ chưa thể loại bỏ hoàn toàn mã độc
Tiểu luận môn an toàn mạng thông tin
Theo ước tính, trên thế giới đã ghi nhận hơn 200.000 nạn nhân và 230.000 máy tính bị nhiễm mã độc tại nhiều quốc gia trên thế giới, với Liên bang Nga phải chịu hậu quả nặng nề nhất Một số các quốc gia cũng ghi nhận trường hợp máy tính bị nhiễm
WannaCry bao gồm Ukraina, Ấn Độ, Đài Loan, Trung Quốc,… Đặc biệt ở Việt Nam cũng ghi nhận 1900 máy tính bị tấn công Tại Anh, cuộc tấn công mã độc đã ảnh hưởng trực tiếp đến nhiều bệnh viện NHS (National Health Service), khiến một số dịch vụ y tế phải ngừng tiếp nhận bệnh nhân, khiến mức độ thiệt hại trở nên nghiêm trọng hơn một bậc bởi nó không chỉ ảnh hưởng đến khía cạnh kinh tế mà còn liên quan tới tính mạng con người
Hình 18 Bản đồ thể hiện các máy tính nhiễm Ransomware ngày 15/5/2017
Một yếu tố quan trọng dẫn đến hậu quả nghiêm trọng của cuộc tấn công
Ransomware năm 2017 đó chính là việc người dùng hay các tổ chức đã chểnh mảng trong việc cập nhật bản vá sửa lỗi và nâng cấp phiên bản hệ điều hành cho các thiết bị của mình Bởi vì bản vá hotfix cho lỗ hổng bảo mật nằm ở giao thức SMB đã được
Microsoft phát hành từ trước khi cuộc tấn công diễn ra và cũng đã có những thông báo được gửi đến người dùng Tuy nhiên tại thời điểm 2017 vẫn có nhiều cá nhân và tổ chức vẫn đang sử dụng hệ điều hành Windows XP và các hệ điều hành cũ hơn nên dễ trở thành mục tiêu của mã độc WannaCry bởi các phương thức bảo mật của hệ điều hành này đã trở nên lạc hậu Việc này khẳng định lại tầm quan trọng trong việc chủ động cập nhật các bản vá hệ thống trong quá trình sử dụng máy tính và Internet
Tiểu luận môn an toàn mạng thông tin
Petya là một phần mềm mã độc được sử dụng để thực hiện các cuộc tấn công
Ransomware theo kiểu Trojan Horse, lần đầu được phát hiện vào năm 2016 Có nhiều biến thể đã được phát hiện, trong đó có một biến thể đã được sử dụng cho một cuộc tấn công mạng toàn cầu lớn vào tháng 6 năm 2017, chưa đầy hai tháng sau sự hoành hành của WannaCry Biến thể mới này được Kaspersky Lab gọi là NotPetya để tách biệt nó với các biến thể được khám phá trước đó
Nguyên nhân và bối cảnh Đầu tiên, Peyta được phát hiện vào tháng 3 năm 2016 và được ghi nhận là ít lây nhiễm các máy tính hơn so với các mã độc tống tiền khác đang hoạt động ở thời điểm đó Chủ yếu nó lây nhiễm thông qua các email có đính kèm các tập tin chứa phần mềm độc hại
Bắt nguồn chỉ từ một công ty phần mềm nhỏ ở Ukraina, NotPetya lây nhiễm đến tập đoàn vận chuyển Maersk và làm tê liệt mọi hoạt động Cụ thể, máy chủ của một công ty phần mềm ở Ukraina đã bị chiếm quyền bởi một nhóm tin tặc với tên Sandworm và mở ra một lối đi ẩn (trojan horse) vào hàng ngàn máy tính có cài đặt phần mềm
Kết luận
Tóm lại, việc phát hiện và ngăn chặn ransomware là một phần không thể thiếu trong chiến lược bảo vệ an ninh mạng, nhất là trong bối cảnh các cuộc tấn công mạng ngày càng phức tạp và tinh vi Ransomware không chỉ gây ra thiệt hại về tài chính mà còn đe dọa đến sự an toàn và bảo mật của các tổ chức lẫn cá nhân Để đối phó với mối đe dọa này, cần phải kết hợp nhiều phương pháp phát hiện như phát hiện dựa trên chữ ký và hành vi, cùng với việc sử dụng các công cụ ngăn chặn như phần mềm diệt virus, tường lửa, và hệ thống phát hiện, ngăn chặn xâm nhập
Các biện pháp phòng ngừa chủ động như triển khai kiến trúc Zero Trust, cập nhật hệ thống, vá lỗ hổng bảo mật, và nâng cao nhận thức người dùng cũng đóng vai trò quan trọng trong việc giảm thiểu rủi ro từ các cuộc tấn công ransomware Bằng cách tích hợp các phương pháp phát hiện và ngăn chặn hiệu quả, tổ chức có thể xây dựng được một hệ thống phòng thủ mạnh mẽ, giảm thiểu tối đa thiệt hại và bảo vệ dữ liệu an toàn trong môi trường số ngày nay.
Tài liệu tham khảo
Cisco Talos, “New Ransomware Varient “Nyeta” Compromises Systems Worldwide,
Scott Rose; Oliver Borchert; Stu Mitchell; Sean Connelly; “NIST SP 800-207: Zero
Cục An toàn Thông tin, “Cẩm nang Ransomware”, 04/2024
Sarah Marsh, “The NHS trusts hit by malware – full list”, The Guardian, 12/5/2017
Alex Hern; Samuel Gibbs “What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?” The Guardian, 12/5/2017
Giles Turner; Volodymyr Verbyany; Stepan Kravchenko,“New Cyberattack Goes
Global, Hits WPP, Rosneft, Maersk” Bloomberg, 27/6/2017
“New ransomware outbreak” Kaspersky Blog Kaspersky Lab, 27/6/2017
Russel Brandom; “A new ransomware attack is hitting airlines, banks and utilities across
Mark Scott; Nicole Perlroth, “New Cyberattack Spreads in Europe, Russia and
U.S.” The New York Times, 27/6/2017 https://cystack.net/vi/blog/ransomware-la-gi https://mstarcorp.vn/6-cach-nhan-biet-ransomware-don-gian-nhanh- chong/?srsltidmBOoq_N- k0YyUkTdrUd9RhfbyEOjlbAXnfTSom_YZgKHPsXGrbEQk5