Ransomware là một biến thể mới của mã độc, khác với các mã độc khác khi đã tấn công vào hệ thống máy tính thì tìm cách đánh cắp các dữ liệu hoặc lây nhiễm cho toàn bộ hệ thống, Ransomwar
T ng quan vấấn đềề cấền nghiền c u ổ ứ
Ransomware, giống như nhiều loại mã độc khác, xâm nhập vào máy tính thông qua email có dữ liệu đính kèm, phần mềm tải từ Internet hoặc các trang web mà người dùng đã truy cập Sau khi lây nhiễm, ransomware sẽ mã hóa dữ liệu và yêu cầu người dùng trả tiền chuộc để khôi phục lại thông tin.
Không dừng lại ở đó, theo nghiên cứu của Cisco và hãng bảo mật Symantec, mã độc Ransomware ngày càng sở hữu phương thức hoạt động tinh vi, nguy hiểm
CPR đã báo cáo vào tháng 3 rằằng sốố l ng các cu c tấốn cống bằằng mã đ c tốống ượ ộ ộ tiềằn đã tằng 57% k t đấằu nằm 2021 trong bốối c nh các lốỗ h ng Microsoft ể ừ ả ổ
Exchange b tiềốt l ị ộ Gấằn đấy nhấốt, Colonial Pipeline , m t cống ty nhiền li u l n ộ ệ ớ c a Hoa Kỳ, là n n nhấn c a m t cu c tấốn cống nh v y và vào nằm 2020, theo ủ ạ ủ ộ ộ ư ậ
Cybersecurity Ventures ước tính rằng ransomware đã khiến các doanh nghiệp trên toàn thế giới thiệt hại khoảng 20 tỷ USD, con số cao hơn gần 75% so với năm 2019 Đến tháng 4, các nhà nghiên cứu từ CPR đã ghi nhận sự gia tăng trung bình trong các cuộc tấn công ransomware.
Trong năm 2021, số lượng các tổ chức bị ảnh hưởng bởi ransomware đã gia tăng đáng kể, với 21% trong quý đầu tiên và 7% trong tháng 4 Sự gia tăng này dẫn đến mức tăng tổng thể ấn tượng lên đến 102% so với năm 2020.
Các lĩnh vực công nghiệp hiện đang đối mặt với số lượng tấn công ransomware cao nhất trên toàn cầu, trong đó lĩnh vực chăm sóc sức khỏe ghi nhận trung bình 109 cuộc tấn công mỗi tuần Tiếp theo là lĩnh vực tài chính với 59 cuộc tấn công và lĩnh vực bảo mật/pháp lý với 34 cuộc tấn công.
Mặc dù mức độ nguy hiểm của mã độc Ransomware đã được cảnh báo, nhưng nhiều tổ chức, cá nhân và doanh nghiệp vẫn thiếu kiến thức cần thiết để tự bảo vệ mình Việc phòng chống mã độc Ransomware trở thành một vấn đề cấp thiết trong bối cảnh hiện nay, do những mối đe dọa mà nó gây ra Các biện pháp phòng ngừa cần được xây dựng dựa trên quản lý rủi ro, công nghệ và yếu tố con người Trong khuôn khổ luận văn này, học viên sẽ tập trung nghiên cứu và tìm hiểu các giải pháp phòng chống mã độc Ransomware.
Ransomware trên phương diện công nghệ.
Mã độc Ransomware yêu cầu nhiều công cụ và giai đoạn tấn công để đạt hiệu quả, do đó, giải pháp bảo mật hiệu quả là áp dụng chiến lược phòng thủ đa tầng Việc triển khai các biện pháp bảo vệ đa dạng là rất cần thiết để chống lại loại mã độc này.
Ransomware luôn biến đổi và thay đổi phương thức hoạt động, do đó không có giải pháp duy nhất nào có thể bảo vệ dữ liệu khỏi loại mã độc này.
Ransomware là một mối đe dọa nghiêm trọng, và để bảo vệ hiệu quả, cần tích hợp nhiều giải pháp khác nhau Sự kết hợp này giúp phát huy sức mạnh của từng phương pháp, đồng thời bù đắp cho những nhược điểm của các phương pháp khác Nhờ đó, cá nhân, tổ chức và doanh nghiệp có thể nâng cao khả năng bảo vệ trước mã độc.
Đốấi t ượ ng nghiền c u và ph m vi nghiền c u ứ ạ ứ
Đốối t ượ ng nghiên c u ứ
Các cách xâm nhập, đối tượng Ransomware hướng đến, phát tán mã hóa và giải mã của mã độc Ransomware.
Ph m vi nghiên c u ạ ứ
Các kỹ thuật, các giải pháp, các công nghệ phòng chống mã độc Ransoware.
CHƯƠNG 1: T NG QUAN VÊẦ MÃ Đ C RANSOMWAREỔ Ộ
Gi i thi u chung vềề mã đ c ớ ệ ộ
Mã độc là chương trình được cài đặt bí mật vào hệ thống nhằm gây hại cho tính bí mật, tính toàn vẹn và tính sẵn sàng của hệ thống Các loại mã độc bao gồm virus máy tính, worm, trojan, spyware, cùng với các công cụ tấn công như backdoor, rootkit và key-logger Mặc dù mã độc là phần mềm giống như các ứng dụng thông thường, nhưng nó mang tính chất độc hại, khác biệt với các phần mềm bình thường mà người dùng sử dụng hàng ngày.
Mã độc được phân loại dựa trên cơ chế, hình thức lây nhiễm và phương pháp phá hoại, trong đó hai tiêu chí phổ biến nhất là phân loại theo hình thức lây nhiễm và phân loại của NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia).
- Phân loại theo hình thức lây nhiễm: Dựa vào hình thức phân loại này thì mã độc gồm
Có hai loại phần mềm độc hại chính: loại đầu tiên cần một chương trình chủ để tồn tại và lây nhiễm, bao gồm các tập tin dữ liệu, ứng dụng hoặc chương trình thực thi Loại thứ hai có khả năng tồn tại độc lập mà không cần chương trình chủ, cho phép chúng lập trình và chạy trực tiếp trên hệ điều hành Phần mềm độc hại cần chương trình chủ không thể hoạt động độc lập và phải được kích hoạt bởi chương trình chủ trước khi có thể chạy.
Hình 1.1 Phân loại mã độc theo hình thức lây nhiễm
1.1.3 Cách th c phát tán mã đ cứ ộ
Hiện nay, mã độc lây nhiễm vào hệ thống thông tin chủ yếu thông qua việc khai thác nhận thức và tâm lý của người dùng Chúng thường xâm nhập vào máy tính qua các tập tin đính kèm trong thư điện tử, thường là từ người lạ hoặc thư giả mạo từ các tổ chức uy tín.
Các tổ chức nghiên cứu về bảo mật thông tin đã chỉ ra rằng máy trạm, hay còn gọi là thiết bị đầu cuối, là một trong những nguyên nhân chính dẫn đến sự phát tán của mã độc Máy trạm bao gồm bất kỳ thiết bị máy tính nào kết nối với mạng của tổ chức, chẳng hạn như máy tính để bàn, laptop, hoặc các thiết bị điện tử có khả năng lưu trữ và kết nối với địa chỉ IP Những thiết bị này đóng vai trò quan trọng trong việc phát tán mã độc.
Từ mạng xã hội: Hiện nay trên thế giới có hàng trăm mạng xã hội khác nhau như
Mạng xã hội như MySpace, Facebook, Zingme, YuMe, Zalo và Twitter không chỉ là công cụ giao tiếp hiệu quả mà còn là môi trường tiềm ẩn nguy cơ lây lan mã độc Người dùng thường phải cung cấp thông tin cá nhân để kết nối và chia sẻ, điều này làm tăng khả năng bị kẻ xấu lợi dụng Nhiều ứng dụng trên các nền tảng mạng xã hội có thể chứa mã độc, khiến người dùng dễ dàng trở thành nạn nhân của các cuộc tấn công mạng.
Sự bùng nổ của thiết bị di động hiện nay đã dẫn đến sự gia tăng mã độc trên nền tảng này Các thiết bị di động thông minh phát triển nhanh chóng, cùng với kho ứng dụng phong phú do lập trình viên phát triển Mã độc thường lây nhiễm qua các ứng dụng mà người dùng tải về và cài đặt trên thiết bị cá nhân Những loại mã độc này có thể được kiểm soát bởi người dùng hoặc bị chặn bởi nhà cung cấp hệ điều hành nếu chúng yêu cầu các hành vi có thể bị nhận diện là nguy hiểm.
Gi i thi u vềề mã đ c Ransomware ớ ệ ộ
Ransomware, thuật ngữ được giới thiệu bởi Adam L Young và Moti Yung tại Đại học Columbia vào năm 1996, là một loại phần mềm độc hại sử dụng mã hóa để đòi tiền chuộc từ nạn nhân Khi dữ liệu quan trọng của người dùng hoặc tổ chức bị mã hóa, họ không thể truy cập vào tệp, cơ sở dữ liệu hoặc ứng dụng của mình Sau đó, kẻ tấn công yêu cầu một khoản tiền chuộc để khôi phục quyền truy cập Ransomware thường lây lan qua mạng và nhắm đến cơ sở dữ liệu và máy chủ, có thể nhanh chóng làm tê liệt toàn bộ tổ chức Đây là một mối đe dọa ngày càng gia tăng, gây thiệt hại hàng tỷ đô la cho các doanh nghiệp và tổ chức chính phủ.
Vụ tấn công ransomware xuất hiện lần đầu tiên vào năm 1989 với tên gọi “AIDS
Mã độc ransomware đầu tiên, được gọi là “Trojan”, được viết bởi Joseph Popp và đã xuất hiện tại Nga vào năm 2005 – 2006 Mã độc này, mang số hiệu TROJ_CRYZIP.A, nén các tập tin quan trọng của người dùng thành một tập tin zip và xóa các tập tin gốc Để mở tập tin zip, người dùng cần có password, và mã độc này còn tạo ra một tập tin văn bản làm "thư tống tiền", yêu cầu người dùng trả 300$ để nhận password Đến tháng 6 năm 2008, một biến thể mới mang tên Gpcode.AK đã được phát hiện, sử dụng thuật toán mã hóa RSA.
Vào năm 2010, tấn công bằng mã độc WinLock tại Nga đã gây ra nhiều khó khăn cho người dùng, khi nó không sử dụng mã hóa mà chỉ hạn chế truy cập vào hệ thống bằng cách hiển thị hình ảnh khiêu dâm và yêu cầu người dùng gửi tin nhắn SMS với phí khoảng 10 USD để nhận mã mở khóa Vụ tấn công này đã mang lại cho nhóm tội phạm 16 triệu USD Đến năm 2011, ransomware tiếp tục tấn công hệ điều hành Windows, thông báo cho người dùng rằng cần kích hoạt lại hệ thống do "là nạn nhân của gian lận" Năm 2012, ransomware TROJ_RANSOM.BOV xuất hiện, đánh dấu sự phát triển của các mối đe dọa bảo mật ngày càng tinh vi.
Vào tháng 2 năm 2013, một ransomware dựa trên bộ công cụ khai thác stamp.ek đã lây lan qua các trang web bán hàng của Pháp, ảnh hưởng đến máy tính của người dùng tại Pháp và Nhật Đến tháng 7 năm 2013, một loại ransomware đặc biệt dành cho OS-X xuất hiện, hiển thị trang web cáo buộc người dùng tải nội dung khiêu dâm Cuối năm 2013, một biến thể ransomware mới ra đời, với khả năng mã hóa tập tin thay vì khóa máy tính như trước đây, dẫn đến việc chúng được gọi bằng cái tên mới.
Tin tặc sử dụng CryptoLocker để buộc người dùng phải trả tiền ngay cả khi đã xóa mã độc bằng công cụ bảo mật, thu về 27 triệu USD từ nạn nhân Cuối năm 2013, một biến thể mới mang tên WORM_CRILOCK.A xuất hiện, có khả năng lây lan qua ổ USB và HDD rời, khiến tốc độ phát tán nhanh hơn các biến thể trước Biến thể nguy hiểm khác là CryptoDefense, cũng gây ra nhiều thiệt hại cho người dùng.
Cryptorbit là một loại ransomware mã hóa nhiều loại dữ liệu như lịch sử duyệt web, cơ sở dữ liệu, hình ảnh, phim, và các tập tin Office Nó có khả năng tìm kiếm và xóa các tập tin backup, buộc người dùng phải trả tiền để nhận khóa giải mã Vào ngày 12 tháng 5 năm 2017, biến thể WannaCry đã tấn công máy tính trên toàn cầu, ghi nhận hơn 45.000 cuộc tấn công tại 99 quốc gia.
1.2.3 Phấn lo iạ và cách th c ho t đ ngứ ạ ộ
Máy tính của người dùng dễ bị nhiễm ransomware chỉ với một thao tác nhỏ không để ý Hacker thường tạo ra các file độc hại có vẻ ngoài giống như file Word, Excel hoặc PDF, nhưng thực chất là file thực thi mã (.exe) Khi người dùng nhấp vào những file này, chúng sẽ ngay lập tức chạy ngầm trên máy tính, gây ra nguy cơ lớn cho dữ liệu và hệ thống.
Ransomware có thể được phân loại thành ba loại chính dựa trên cách thức hoạt động: Encrypting, Non-encrypting và Leakware Hiện nay, ransomware không chỉ giới hạn trên máy tính mà còn lây lan sang các thiết bị di động (Android và iOS), cũng như các thiết bị IoT và máy ảnh DSLR, cho thấy sự phát triển nhanh chóng của loại phần mềm độc hại này.
Encrypting Ransomware, hay còn gọi là Crypto Ransomware, là loại phần mềm tống tiền phổ biến nhất, chuyên mã hóa dữ liệu của người dùng như tệp tin và thư mục Khi xâm nhập vào máy tính, phần mềm này sẽ kết nối âm thầm với server của kẻ tấn công, tạo ra hai chìa khóa: một khóa công khai để mã hóa file và một khóa riêng do hacker giữ để giải mã Các file bị mã hóa sẽ đổi đuôi thành các định dạng nhất định và người dùng sẽ gặp lỗi khi cố gắng mở chúng.
Ransomware không mã hóa (Non-encrypting)
Ransomware không mã hóa, hay còn gọi là Locker, là phần mềm độc hại không mã hóa tệp tin của người dùng nhưng lại khóa thiết bị, ngăn cản họ thực hiện bất kỳ thao tác nào ngoài việc bật và tắt màn hình Trên màn hình sẽ hiển thị hướng dẫn chi tiết về cách thanh toán tiền chuộc để người dùng có thể khôi phục quyền truy cập vào thiết bị của mình.
Reveton (một loại locker ransomware) giả mạo cảnh sát, cáo buộc người dùng truy cập thông tin phạm pháp để đòi tiền chuộc
Một số loại ransomware, được gọi là leakware hoặc doxware, đe dọa công khai dữ liệu nhạy cảm của nạn nhân nếu không được trả tiền chuộc Nhiều người thường lưu trữ ảnh cá nhân và tài liệu quan trọng trên máy tính, dẫn đến hoảng loạn và quyết định trả tiền cho hacker để bảo vệ thông tin của mình.
V i s ph biềốn c a smartphone và xu hớ ự ổ ủ ướng s d ng đi n tho i di đ ng ử ụ ệ ạ ộ th ường xuyền h n diềỗn ra trền toàn cấằu, ransomware đã xuấốt hi n trền mobile.ơ ệ
Mobile Ransomware hiện đang gia tăng, chủ yếu nhắm vào người dùng khi họ truy cập dữ liệu không được mã hóa Thay vì mã hóa dữ liệu, loại ransomware này có khả năng khôi phục thông tin từ thiết bị di động, do dữ liệu trên di động thường dễ dàng bị đồng bộ hóa trực tuyến.
Ransomware di động đang gia tăng trên nền tảng Android, do hệ điều hành này cho phép cài đặt ứng dụng từ bên thứ ba Khi người dùng cài đặt file APK chứa ransomware, có hai kịch bản có thể xảy ra: một là xuất hiện thông báo pop-up yêu cầu người dùng cấp quyền truy cập vào tất cả các ứng dụng khác; hai là sử dụng hình thức "clickjacking" khiến người dùng vô tình cấp quyền quản trị thiết bị Khi đó, ransomware có thể truy cập sâu vào hệ thống và thực hiện các hành vi vi phạm khác Đối với hệ điều hành iOS, kẻ tấn công thường khai thác tài khoản iCloud và sử dụng tính năng "Find my iPhone" để khóa quyền truy cập vào thiết bị.
Nguyền tắấc ho t đ ng c a Ransomware ạ ộ ủ
- Tìm và dùng các phần mềm crack.
- Bấm vào quảng cái kêu gọi hành động.
- Truy cập web đen, đồi trụy.
- Truy cập vào website giả mạo
- Tải và cài đặt phần mềm không rõ nguồn gốc.
- Tải file đính kèm qua email spam.
1.3.2 Dấấu hi u nh n biềất nhiềễm ransomware và x lýệ ậ ử
Theo các chuyên gia VNIST, quá trình phá hủy dữ liệu của mã độc Ransomware diễn ra ngay lập tức, gây ra thiệt hại nghiêm trọng Các dấu hiệu nhận biết bao gồm sự xuất hiện đột ngột của thông báo yêu cầu tiền chuộc và sự không thể truy cập vào dữ liệu quan trọng.
- Đèn báo c ng ho t đ ng liền t c;ổ ứ ạ ộ ụ
- Xuấốt hi n m t sốố thống báo tiềống anh l trền màn hình máy tính;ệ ộ ạ
- M t sốố t p tin khống th m độ ệ ể ở ược;
- Xuấốt hi n m t sốố t p tin có đuối l (ví d : encrypted, frtrss, , ) v.v…ệ ộ ệ ạ ụ
Khi mã độc xâm nhập vào máy tính, nó sẽ tiến hành quét và mã hóa các tập tin trong một khoảng thời gian ngắn Do đó, việc phản ứng nhanh chóng khi phát hiện ra sự cố có thể giúp giảm thiểu thiệt hại cho dữ liệu trên máy tính và tăng khả năng khôi phục dữ liệu bị mã hóa.
C th cấằn th c hi n các thao tác sau:ụ ể ự ệ
- Nhanh chóng tằốt máy tính bằằng cách ngằốt nguốằn đi n;ệ
Không thể khởi động máy tính theo cách thông thường, bạn cần khởi động từ đĩa CD, USB hoặc các thiết bị khác Sau đó, thực hiện kiểm tra các tập tin dữ liệu và sao lưu các dữ liệu quan trọng để tránh mất mát thông tin.
- Các t p tin đã b mã hóa tậ ị ương đốối khó đ gi i mã Tuy nhiền, trong m t sốố ể ả ộ trường h pợ có th s d ng các phấằn mềằm khối ph c d li u nh FTK, EaseUs, ể ử ụ ụ ữ ệ ư
R-STUDIO, đ khốiể ph c các t p tin nguyền b n đã b xóa;ụ ậ ả ị
- Cài đ t l i toàn b h thốống, cài đ t phấằn mềằm di t virus đốằng th i thiềốt l p ặ ạ ộ ệ ặ ệ ờ ậ chềố đ c pộ ậ nh t phiền b n t đ ng.ậ ả ự ộ
1.3.3 Mã hóa và gi i mãả
Xử dụng thuật toán mã hóa khóa bí mật:
Ransomware sử dụng mã hóa đối xứng để mã hóa nhanh chóng và an toàn các tập tin dữ liệu trên máy tính bị nhiễm Thông thường, ransomware tạo ra một khóa trên máy và gửi về cho kẻ tấn công Với khả năng tìm kiếm và mã hóa hàng loạt tập tin, hiệu suất là yếu tố quan trọng để hoàn tất quá trình trước khi nạn nhân nhận ra mối đe dọa Các thuật toán mã hóa đối xứng phổ biến mà ransomware thường áp dụng là AES 128 bit và AES 256 bit.
X d ng thu t toán mã hóa khóa cống khai:ử ụ ậ
Một số loại ransomware sử dụng mã hóa bất đối xứng để mã hóa dữ liệu của nạn nhân, với hai khóa: khóa công khai để mã hóa và khóa riêng để giải mã Chỉ có khóa riêng tương ứng mới có thể giải mã dữ liệu đã mã hóa Crypto ransomware thường mã hóa các tập tin của người dùng bằng khóa công khai và giữ khóa riêng cho bản thân Tuy nhiên, việc sử dụng khóa công khai để mã hóa số lượng lớn tập tin rất hạn chế do tốc độ mã hóa chậm hơn nhiều so với mã hóa khóa bí mật, dẫn đến việc mã hóa dễ bị phát hiện Các thuật toán mã hóa bất đối xứng phổ biến bao gồm RSA 1024 bit và RSA 2048 bit.
X d ng kềất h p gi i thu t mã hóa khóa đốấi x ng và bấất đốấi x ng:ử ụ ợ ả ậ ứ ứ
Nhiều loại ransomware tiền điện tử thường sử dụng kỹ thuật mã hóa đối xứng và bất đối xứng Các biện pháp này cho phép kẻ tấn công tạo ra khóa công khai cho mỗi máy tính bị nhiễm Điều này khiến cho việc giải mã các tập tin trên một máy tính bị nhiễm trở nên khó khăn, vì không thể lấy lại khóa riêng Khóa riêng này có thể là khóa chung để giải mã dữ liệu trên nhiều máy tính khác nhau Thuật toán mã hóa đối xứng và bất đối xứng thường được sử dụng trong một số biến thể của ransomware là AES 256 bit và RSA 2048 bit.
1.3.4 Phân phối và quản lý khóa
Qu n lý khóa v i ransomware s d ng mã hóa đốối x ngả ớ ử ụ ứ
Qu n lý khóa v i ransomware s d ng mã hóa bấốt đốối x ngả ớ ử ụ ứ
Qu n lý khóa v i ransomware s d ng kềốt h p mã hóa khóa đốối x ng và bấốt ả ớ ử ụ ợ ứ đốối x ngứ
- Sinh c p khóa cống khai và khóa riềng máy n n nhấn, sau đó g i khóa ặ ở ạ ử lền server, ho c v i mốỗi ransomware nhiềỗm cho t ng máy tính có nhúng ặ ớ ừ sằỗn m tộ public key.
- Mốỗi khi ransomware ch y seỗ yều cấằu khóa t server, server t o khóa và ạ ừ ạ ch g i khóa cống khai vềằ cho ransomware.ỉ ử
1.3.5 Đốấi t ượng ransomware h ướng đềấn Đốối t ượng tấốn cống c a Ransomware đủ ược chia ra làm ba lo i:ạ
• H gia đình:ộ Ransomware rấốt hi u qu đốối v i cá nhấn khống thống th o v i ệ ả ớ ạ ớ máy tính hay khống có nh n th c vềằ Ransomware và cách th c nó ho t đ ng.ậ ứ ứ ạ ộ
Hệ thống thông tin và công nghệ số đã trở thành yếu tố quyết định sự tồn tại của doanh nghiệp Một doanh nghiệp có khả năng vận hành hiệu quả sẽ tạo ra hàng tỷ lượt giao dịch trên hệ thống, trong khi ransomware có thể gây thiệt hại nghiêm trọng.
• Người dùng cống c ng:ộ Các c quan cống c ng nh t ch c giáo d c, chằm ơ ộ ư ổ ứ ụ sóc s c kh e, t ch c th c thi pháp lu t cũng khống ngo i tr kh nằng b tấốn ứ ỏ ổ ứ ự ậ ạ ừ ả ị cống c aủ
T nh ng lý do trền có th thấốy rằằng quy mố và hình th c phát tán c a mã đ c ừ ữ ể ứ ủ ọ ransomware khống có gi i h n và ph m vi.ớ ạ ạ
1.3.6 Tình hình phát tán mã đ c ransomwareộ
Khu vực Châu Á - Thái Bình Dương (APAC) hiện đang chịu tỷ lệ tấn công ransomware cao nhất, với trung bình 51 vụ tấn công mỗi tuần, tăng 14% so với năm trước Ngược lại, các tổ chức ở Châu Phi đã chứng kiến sự gia tăng tấn công cao nhất, đạt 34% trong tháng 10 Trung bình, một tổ chức Bắc Mỹ trải qua 29 vụ tấn công hàng tuần, trong khi các công ty Châu Âu và Mỹ Latinh ghi nhận 14 vụ, còn các công ty Châu Phi chỉ có 4 vụ tấn công mỗi tuần.
Hình 3: Sốố v tấốn cống ransomware trung bình hàng tuấằn trền mốỗi t ch c ụ ổ ứ theo khu v c – Tháng 4 nằm 2021ự
Ấn Độ dẫn đầu về số lượng cuộc tấn công vào các tổ chức, với trung bình 213 cuộc tấn công hàng tuần từ đầu năm Theo sau là Argentina với 104 cuộc tấn công, Chile với 103, Pháp với 61 và Đài Loan với 50.
Từ tháng 4 năm 2021, bản đồ nhiệt cho thấy các quốc gia chịu ảnh hưởng nặng nề nhất bởi ransomware Năm 2022 chứng kiến 10 cuộc tấn công ransomware lớn nhất, làm nổi bật sự gia tăng của mối đe dọa này trên toàn cầu.
Vào tháng 12 năm 2022, Rackspace đã trải qua một cuộc tấn công mã độc tống tiền nghiêm trọng, dẫn đến sự cố ngừng hoạt động và gián đoạn dịch vụ Hosted Exchange Bắt đầu từ ngày 2 tháng 12, khách hàng không thể truy cập vào dịch vụ thư điện tử của họ, mà Rackspace gọi là "sự cố bảo mật" Đến ngày 6 tháng 12, công ty xác nhận rằng sự cố này là do mã độc tống tiền và đã tiến hành di chuyển khách hàng Hosted Exchange sang Microsoft 365.
Rackspace xác nhận rằng cuộc tấn công ransomware được gây ra bởi phương pháp khai thác mới mang tên "OWASSRF", lần đầu tiên được CrowdStrike phát hiện OWASSRF đã vượt qua các biện pháp bảo vệ đối với lỗ hổng ProxyNotShell trong Microsoft Exchange Server Trong bản cập nhật gần đây, Rackspace cho biết những kẻ đe dọa Play đã truy cập vào Bảng lưu trữ cá nhân (PST) của 27 khách hàng trên Exchange, nhưng CrowdStrike không tìm thấy bằng chứng cho thấy dữ liệu trong PST đã bị xem, lấy hoặc sử dụng sai Rackspace từ chối bình luận về việc có trả tiền chuộc hay không.
Sau cuộc tấn công ransomware vào ngày 3 tháng 10, chuỗi bệnh viện phi lợi nhuận CommonSpirit Health tại Chicago đã phải đưa hệ thống ngoại tuyến để ngăn chặn mối đe dọa, ảnh hưởng đến hồ sơ sức khỏe điện tử và cổng thông tin bệnh nhân Cuộc tấn công này đặc biệt nghiêm trọng do tác động lớn đến lĩnh vực chăm sóc sức khỏe, một mục tiêu thường thấy của các tác nhân ransomware, cùng với quy mô rộng lớn của CommonSpirit, bao gồm 140 bệnh viện và hơn 1.000 địa điểm chăm sóc ở 21 tiểu bang.
Vào ngày 1 tháng 12, CommonSpirit Health đã cập nhật về sự cố CNTT, xác nhận rằng những kẻ tấn công đã truy cập vào một số tệp, bao gồm cả tệp chứa thông tin cá nhân Hiện tại, cuộc điều tra vẫn đang diễn ra, và bệnh viện đã gửi thông báo vi phạm dữ liệu đến các bệnh nhân của Franciscan Medical Group và Franciscan Health tại bang Washington.
CHƯƠNG 2: GI I PHÁP PHÒNG CHÔỐNG MÃ Đ CẢ Ộ
Con ng ườ i
2.1.1 Nấng cao nh n th c vềề an toàn thống tinậ ứ
Không mở những thư điện tử hoặc tập tin đính kèm từ những địa chỉ của người gửi không rõ ràng hoặc có dấu hiệu nghi ngờ.
Không truy cập vào các popup trên trình duyệt mà cảm thấy nghi ngờ hoặc có dấu hiệu bất thường.
Không truy cập vào những trang web có khả năng chứa nội dung độc hại.
Không mở các tập tin với phần mở rộng có khả năng kết hợp với phần mềm độc hại (Ví dụ: bat, exe, pif, vbs ).
Không được vô hiệu hóa các cơ chế kiểm soát an ninh, bao gồm việc tắt phần mềm diệt virus, phần mềm phát hiện gián điệp và tường lửa cá nhân.
Không sử dụng những tài khoản có quyền quản trị cấp cao cho hoạt động thông thường.
Không tải hoặc thực thi các ứng dụng từ các nguồn không tin cậy.
2.1.2 Đào tạo kỹ thuật an toàn thông tin
Các tổ chức cần đào tạo cán bộ về chính sách ổn định và phương pháp ứng dụng để xử lý sự cố bảo mật Ví dụ, cần xác định thiết bị và mã độc đang sử dụng, cũng như cách báo cáo khi máy tính nghi ngờ bị nhiễm mã độc Các nhân viên cần nắm rõ các sự cố liên quan đến mã độc và biện pháp xử lý Khi xảy ra sự cố, cần có hướng dẫn báo cáo chính xác và kịp thời Ngoài ra, các nhân viên cũng cần biết cách thích nghi với môi trường làm việc thay đổi khi có sự cố liên quan đến mã độc, đồng thời thực hiện các biện pháp bảo mật hiệu quả nhằm duy trì hoạt động của tổ chức.
Cống nghệ
Hình 2.1: Các phấằn mềằm Antivirus ph biềốn hi n nay ổ ệ
Phần mềm chống virus là một trong những phương pháp hiệu quả nhất để giảm thiểu rủi ro liên quan đến malware, đặc biệt là mã độc Ransomware Việc sử dụng phần mềm này giúp bảo vệ hệ thống của bạn khỏi các mối đe dọa tiềm ẩn và giữ an toàn cho dữ liệu quan trọng.
M t sốố phấằn mềằm di t Ransomware có th ng d ng:ộ ệ ể ứ ụ
Microsoft Security Essentials (Windows 7 tr lền)ở
2.2.2 B t các cống ngh b o v máy tính t Windows Securityậ ệ ả ệ ừ
B o m t Windows là n i b n qu n lý các cống c b o v thiềốt b và d li u ả ậ ơ ạ ả ụ ả ệ ị ữ ệ c a mình :ủ
Virus & threat protection: Theo dõi các mốối đe d a đốối v i thiềốt b c a ọ ớ ị ủ b n, ch y quét và nh n các b n c p nh t đ giúp phát hi n các mốối đe ạ ạ ậ ả ậ ậ ể ệ d a m i nhấốt.ọ ớ
Account protection: Truy c p tùy ch n đằng nh p và cài đ t tài kho n, ậ ọ ậ ặ ả bao gốằm Windows Hello và khóa đ ng.ộ
Firewall & network protection: Qu n lý cài đ t tả ặ ường l a và giám sát ử nh ng gì đang x y ra v i m ng và kềốt nốối internet c a b n.ữ ả ớ ạ ủ ạ
App & browser control: C p nh t cài đ t cho Microsoft Defender ậ ậ ặ
SmartScreen giúp bảo vệ thiết bị của bạn khi các người dùng, tập tin, và nội dung tải xuống từ web có nguy cơ tiềm tàng Bạn sẽ có bảo vệ an toàn khỏi các cuộc tấn công và bạn có thể tùy chỉnh cài đặt bảo vệ cho thiết bị của mình.
Device security: Xem l i các tùy ch n b o m t tích h p đ giúp b o v ạ ọ ả ậ ợ ể ả ệ thiềốt b c a b n kh i các cu c tấốn cống c a phấằn mềằm đ c h i.ị ủ ạ ỏ ộ ủ ộ ạ
Để đảm bảo hiệu suất và sức khỏe của thiết bị, hãy theo dõi thông tin trạng thái hoạt động của máy tính Điều này giúp bạn luôn cập nhật tình hình hoạt động và khắc phục các vấn đề trên hệ điều hành Windows một cách hiệu quả nhất.
Family options : Theo dõi ho t đ ng tr c tuyềốn c a con b n và các thiềốt ạ ộ ự ủ ạ b trong gia đình b n.ị ạ
Windows cung cấp các tùy chọn bảo mật tích hợp sẵn giúp bảo vệ thiết bị của bạn khỏi các cuộc tấn công từ phần mềm độc hại Để truy cập các tính năng này và đảm bảo một môi trường an toàn, hãy nhấn vào nút Start và chọn "Bảo mật thiết bị".
Core isolation với tính năng Memory integrity sử dụng công nghệ ảo hóa phần cứng và Hyper-V để ngăn chặn mã độc và phần mềm độc hại truy cập vào các tiến trình bảo mật cao khi xảy ra tấn công.
Bộ xử lý bảo mật TPM (Trusted Platform Module) là một chip bảo mật quan trọng, lưu trữ thông tin sinh trắc học, mật khẩu và tài khoản Chip này được sử dụng trong các dịch vụ như mã hóa ổ đĩa BitLocker và Windows Hello, nhằm tạo và lưu trữ các khóa mật mã một cách an toàn TPM cũng đảm bảo rằng hệ điều hành và chương trình cơ sở trên thiết bị của bạn là chính xác và không bị giả mạo.
Secure boot : Ngằn ch n phấằn mềằm đ c h i đặ ộ ạ ượ ạ ảc n p t i khi thiềốt b ị đang kh i đ ng.ở ộ
Bảo vệ ransomware: Kiểm soát quyền truy cập thư mục giúp bảo vệ các thư mục quan trọng của người dùng bằng cách quản lý và ngăn chặn các thay đổi không được xác thực từ các tiến trình không rõ nguồn gốc.
- Lưu trữ các file dữ liệu cần thiết và quan trọng lên các bộ nhớ đám mây uy tín như drive của goolge , onedriver của microsoft,…
- Quan sát các tiến trình lạ nếu thấy sự bất thường từ hệ thống bằng task manager
Tường lửa là một kỹ thuật quan trọng trong mạng máy tính, giúp ngăn chặn truy cập trái phép và bảo vệ thông tin nội bộ của cá nhân, tổ chức, doanh nghiệp và cơ quan chính phủ Có hai loại tường lửa: phần mềm và phần cứng, hoạt động như một rào cản để lọc và bảo vệ hệ thống khỏi những kẻ xâm nhập không mong muốn từ Internet.
Hình 2.5 Mô hình tưởng lửa ngăn chặn hình thức phát tán ransomware
Một số hệ thống tường lửa được tích hợp các giải pháp Gateway Antivirus và Spam
Blocker để chống lại các mẫu của ransomware:
Gateway AntiVirus cung cấp bảo vệ thời gian thực cho hệ thống mạng, hoạt động đồng thời với dịch vụ kiểm soát lớp nội dung Nó quét lưu lượng ở tất cả các giao thức quan trọng, giúp phát hiện và ngăn chặn các mối đe dọa như Ransomware Bằng cách cập nhật các hành vi và chữ ký của các mối nguy, Gateway AntiVirus đảm bảo ngăn chặn mọi loại mã độc hại.
Spam Blocker hoạt động hiệu quả với cả hai giao thức POP và SMTP, cho phép quản trị viên kiểm soát email đến Họ có thể quyết định cho phép hoặc ngăn chặn các email spam, virus, và các tệp đính kèm chứa ransomware, bảo vệ hệ thống khỏi các mối đe dọa tiềm ẩn.
Web Gateway là giải pháp hiệu quả trong việc lọc chặn virus, spyware và phishing, ngăn chặn nguy cơ mất dữ liệu trước khi chúng xâm nhập vào hệ thống Nó tự động bảo vệ người dùng khỏi các mối đe dọa khi truy cập Internet bằng cách kết hợp điều khiển ứng dụng, quét phần mềm độc hại, kiểm tra danh tiếng web theo thời gian thực, lọc URL và phát hiện botnet.
Mail Gateway tích hợp khả năng phòng chống thư rác nhiều lớp và chống lừa đảo, sử dụng bộ lọc mã độc và phần mềm gián điệp Khả năng lọc nội dung của Mail Gateway hỗ trợ tổ chức thiết lập chính sách kiểm soát tuân thủ CNTT, đồng thời ngăn chặn rò rỉ dữ liệu hiệu quả.
2.2.6 Big Data (Dữ liệu lớn)
Trong bối cảnh ransomware ngày càng tinh vi và xuất hiện nhiều biến thể mới, các công nghệ bảo mật như tường lửa, hệ thống SIEM và hệ thống phát hiện xâm nhập gặp khó khăn trong việc phát hiện và cảnh báo Sự phát triển của Big Data đã trở thành xu thế tất yếu, mở ra hướng tiếp cận mới khi kết hợp với các giải pháp bảo mật hiện có, nhằm nghiên cứu và phát triển hiệu quả hơn các giải pháp đảm bảo an toàn thông tin, đặc biệt trong việc phát hiện mã độc ransomware.
Sandbox là môi trường kiểm soát chặt chẽ để chạy phần mềm, giúp cô lập các ứng dụng và ngăn chặn phần mềm độc hại làm hỏng hệ thống máy tính Nó hạn chế chức năng của đoạn mã, chỉ cho phép thực hiện một số chức năng nhất định, từ đó bảo vệ máy tính người dùng khỏi các can thiệp nguy hiểm.
2.3.1 Chính sách an toàn thống tin
Các cơ quan, tổ chức phải có chính sách ngăn chặn các sự cố liên quan đến mã độc.
Chính sách này cần rõ ràng, cho phép khả năng thực hiện một cách nhất quán và hiệu quả.
Chính sách phòng chống mã độc cần được xây dựng một cách tổng quát để đảm bảo tính linh hoạt trong thực hiện và giảm thiểu việc cập nhật thường xuyên Hiện nay, nhiều cơ quan và tổ chức đã thiết lập chính sách riêng về xử lý mã độc, tuy nhiên, một số chính sách này có thể trùng lặp với các quy định khác.
2.3.2 Chính sách quản lý rủi ro