Ransomware (hay còn gọi là mã độc tống tiền) là phần mềm độc hại chuyên mã hóa dữ liệu của người dùng để đòi tiền chuộc. Dữ liệu quan trọng của người dùng hoặc tổ chức được mã hóa để họ không thể truy cập tệp, cơ sở dữ liệu hoặc ứng dụng. Sau đó, các tin tặc sẽ đòi một khoản tiền chuộc để cung cấp quyền truy cập trở lại cho người dùng.
Ransomware thường được thiết kế để lây lan trên mạng và nhắm mục tiêu đến cơ sở dữ liệu và máy chủ, do đó có thể nhanh chóng làm tê liệt toàn bộ tổ chức. Mối đe dọa do ransomware gây ra ngày càng tăng, gây ra thiệt hại và chi phí đáng kể cho các doanh nghiệp và tổ chức chính phủ.
Một báo cáo về ransomware quý 3 năm 2023 do Cyble - một công ty chuyên thu thập và phân tích thông tin về các cuộc tấn công mạng hiện tại và tiềm năng của Mỹ cho thấy, ngày càng có nhiều lỗ hổng bảo mật được tin tặc khai thác để phát tán ransomware và phần mềm độc hại khác trong những tháng gần đây.
Sau đây là một số xu hướng tấn công ransomware dự báo sẽ diễn ra trong thời gian tới được Trung tâm nghiên cứu an ninh mạng Cyble Research & Intelligence Labs (CRIL) của Cyble công bố:
1. Lĩnh vực chăm sóc sức khỏe đang trong tầm ngắm của ransomware
Trong khi nửa đầu năm chứng kiến sự gia tăng các cuộc tấn công bằng ransomware vào lĩnh vực sản xuất thì các xu hướng gần đây cho thấy sự thay đổi trọng tâm sang lĩnh vực chăm sóc sức khỏe. Điều này đã đẩy chăm sóc sức khỏe vào top 5 lĩnh vực được các nhóm ransomware nhắm tới nhiều nhất, chiếm gần 1/4 tổng số vụ tấn công bằng ransomware.
Những cuộc tấn công này có động cơ cụ thể, nhằm thu thập dữ liệu về Thông tin sức khỏe được bảo vệ (PHI) và dữ liệu nhạy cảm khác mà các nhà cung cấp dịch vụ chăm sóc sức khỏe và tổ chức có quyền truy cập, sau khi thu thập được nguồn dữ liệu này, tin tặc sẽ rao bán nó trên các trang web đen (darkweb).
Theo báo cáo về ransomware của Cyble, lĩnh vực chăm sóc sức khỏe đặc biệt dễ bị tấn công bởi ransomware vì nó có bề mặt tấn công cực kỳ lớn trải rộng trên nhiều trang web, cổng thông tin, hàng tỷ thiết bị internet vạn vật (IoT) trong y tế và một mạng lưới lớn các đối tác và nhà cung cấp trong chuỗi cung ứng. Do đó, bắt buộc phải có một kế hoạch an ninh mạng được tiêu chuẩn hóa cho lĩnh vực này để bảo mật dữ liệu quan trọng này và đảm bảo các chức năng chăm sóc sức khỏe quan trọng hoạt động trơn tru.
Cùng với chăm sóc sức khỏe, các lĩnh vực được nhắm mục tiêu nhiều nhất trong quý 3 năm 2023 theo báo cáo của Cyble là các dịch vụ chuyên nghiệp, công nghệ thông tin và xây dựng.
2. Các tổ chức có thu nhập cao là tâm điểm chú ý của ransomware
Những kẻ điều hành ransomware thường nhắm mục tiêu vào các tổ chức có thu nhập cao và quản lý các nguồn dữ liệu nhạy cảm. Điều này không chỉ giúp nâng cao danh tiếng của kẻ điều hành ransomware như một mối đe dọa nghiêm trọng mà còn đảm bảo khả năng thu được tiền chuộc cao hơn.
Vì các tổ chức có thu nhập cao có đủ điều kiện về kinh tế để trả những khoản tiền chuộc lớn mà tin tặc yêu cầu đồng thời các tổ chức này cũng dễ bị ảnh hưởng hơn khi hình ảnh của họ bị xấu đi do bị tấn công mạng.
3. Mỹ là quốc gia bị ransomware nhắm tới nhiều nhất
Kết quả báo cáo của Cyble cho thấy, Mỹ là quốc gia được các nhà khai thác ransomware nhắm tới nhiều nhất. Điều này được chứng minh bằng việc chỉ riêng trong quý 3 năm 2023, Mỹ phải đối mặt với nhiều cuộc tấn công ransomware hơn 10 quốc gia tiếp theo cộng lại.
Lý giải cho điều này, các chuyên gia của Cyble cho rằng, nguyên nhân là do vai trò đặc biệt của Mỹ trong việc trở thành một quốc gia được số hóa cao với mức độ tham gia và tiếp cận toàn cầu rất lớn. Do các yếu tố địa chính trị, Mỹ cũng là mục tiêu hàng đầu của các nhóm theo chủ nghĩa tin tặc (Hacktivist) lợi dụng ransomware để đạt được mục tiêu do nhận thức được sự bất công xã hội hoặc để phản đối các chính sách đối nội và đối ngoại.
Các quốc gia có số lượng các cuộc tấn công bằng ransomware cao sau Mỹ trong quý 3 năm 2023 là Vương quốc Anh, Ý và Đức.
4. Ransomware LockBit vẫn là một mối đe dọa tiềm tàng
Mặc dù ransomware LockBit bắt đầu là một dòng ransomware duy nhất, nhưng kể từ đó nó đã phát triển nhiều lần, với phiên bản mới nhất được gọi là "LockBit 3.0". LockBit bao gồm một nhóm các chương trình ransomware, hoạt động bằng mô hình ransomware như một dịch vụ (Ransomware-as-a-Service: RaaS).
RaaS là một mô hình kinh doanh liên quan đến việc người dùng trả tiền để truy cập vào một loại ransomware nhất định để họ có thể sử dụng nó cho các cuộc tấn công riêng của họ. Thông qua điều này, người dùng đó trở thành chi nhánh và khoản thanh toán của họ có thể bao gồm một khoản phí cố định hoặc một dịch vụ dựa trên đăng ký. Nói tóm lại, những người tạo ra LockBit đã tìm ra cách để kiếm thêm lợi nhuận từ việc sử dụng nó bằng cách sử dụng mô hình RaaS này và thậm chí có thể nhận được một khoản tiền chuộc do nạn nhân trả.
Mặc dù tổng số vụ tấn công của ransomware LockBit thấp hơn một chút so với quý trước, giảm 5%, nhưng chúng vẫn nhắm vào số lượng nạn nhân cao nhất, với 240 nạn nhân được xác nhận trong quý 3 năm 2023.
Trong quý 3 năm 2023 đã chứng kiến sự gia tăng các cuộc tấn công từ các nhóm ransomware mới hơn như Cactus, INC Ransom, Metaencryptor, ThreeAM, Knight Ransomware, Cyclop Group và MedusaLocker, cho thấy rằng các nhóm này tuy không có cùng hồ sơ và sự hiện diện toàn cầu như những nhóm lớn như LockBit, nhưng vẫn là những mối đe dọa tiềm tàng.
5. Việc áp dụng ngôn ngữ lập trình Rust và GoLang ngày càng tăng trong các biến thể ransomware mới hơn
Các nhóm ransomware luôn cố gắng làm cho hoạt động của chúng trở nên khó khăn hơn hoặc thậm chí không thể phát hiện hoặc phân tích. Điều này khiến nạn nhân, chuyên gia an ninh mạng và chính phủ gặp khó khăn trong việc phân tích và nghiên cứu phần mềm ransomware, phương thức lây nhiễm và phương thức hoạt động của chúng để đưa ra các giải pháp khắc phục tương ứng.
Tuy nhiên, các mẫu gần đây mà Cyble quan sát được cho thấy mức độ phổ biến ngày càng tăng của hai ngôn ngữ lập trình Rust và GoLang trong số các nhóm ransomware nổi tiếng như Hive, Agenda, Luna và RansomExx.
Lý do mà tin tặc sử dụng ngôn ngữ lập trình Rust và GoLang là vì khi sử dụng các ngôn ngữ lập trình này thì việc phân tích hoạt động của ransomware trên hệ thống nạn nhân trở nên khó khăn hơn và dễ dàng tùy chỉnh hơn để nhắm mục tiêu vào nhiều hệ điều hành đồng thời tăng mức độ lây nhiễm.
Các tổ chức đã phản ứng thế nào với sự gia tăng tấn công ransomware?
Việc gia tăng các cuộc tấn công bằng ransomware gần đây đã thu hút sự chú ý của chính phủ và các cơ quan quản lý trên toàn thế giới, những người đã đưa ra các biện pháp giúp giảm thiểu tác động và tỷ lệ xảy ra các cuộc tấn công bằng ransomware. Các công ty cũng đã tự mình giải quyết vấn đề bằng cách thực hiện các biện pháp ngăn chặn rủi ro và giảm thiểu tác động của các cuộc tấn công bằng ransomware.
1. Tập trung vào việc đào tạo nhân viên
Lực lượng lao động của một tổ chức thường là tuyến phòng thủ đầu tiên chống lại bất kỳ cuộc tấn công nào và ransomware cũng không ngoại lệ. Theo đó, các công ty đã đẩy mạnh các chương trình đào tạo và nâng cao nhận thức về an ninh mạng, triển khai các buổi đào tạo bắt buộc về an ninh mạng và thúc đẩy văn hóa nhận thức về không gian mạng. Các ví dụ điển hình về điều này bao gồm đào tạo về cách xác định các nỗ lực lừa đảo, xử lý các tệp đính kèm đáng ngờ và xác định các nỗ lực lừa đảo qua mạng.
2. Lập kế hoạch ứng phó sự cố
Bất chấp những nỗ lực ngăn chặn, các cuộc tấn công của ransomware vẫn có thể xảy ra do nhiều yếu tố khác nhau. Các tổ chức đã tính đến điều này và tăng cường tập trung vào việc phát triển khả năng ứng phó toàn diện với những sự cố như vậy. Chẳng hạn như lập các kênh liên lạc để kịp thời thông báo cho cơ quan chức năng, tăng cường bảo mật nội bộ, đánh giá phản hồi của nhóm an toàn thông tin và cách ly mọi hệ thống/sản phẩm bị ảnh hưởng.
3. Khôi phục và sao lưu nâng cao
Các cuộc tấn công bằng ransomware có hai mục đích chính đó là chiếm quyền truy cập vào dữ liệu nhạy cảm và mã hóa dữ liệu này để khiến các tổ chức mục tiêu không thể sử dụng được. Để giải quyết rủi ro này, các tổ chức đã bắt đầu tập trung nhiều hơn vào việc sao lưu dữ liệu nhạy cảm và tạo các quy trình khôi phục toàn diện cho dữ liệu khi bị tấn công mạng.
4. Triển khai mô hình bảo mật không tin tưởng ai (zero-trust) và xác thực đa yếu tố
Các nhóm ransomware trước đây đã khai thác yếu tố con người để kích hoạt hoặc tăng cường các cuộc tấn công ransomware thông qua các tác nhân đe dọa và các cuộc tấn công lừa đảo,... Để đáp lại, các công ty đã triển khai mô hình bảo mật không tin tưởng ai (zero-trust) và xác thực đa yếu tố trên tất cả các nền tảng và dữ liệu quan trọng, yêu cầu nhiều cấp độ xác thực được xác minh để cấp quyền truy cập vào dữ liệu nhạy cảm.
5. Chia sẻ thông tin và hợp tác với cơ quan thực thi pháp luật
Các tổ chức trong cùng ngành đã tạo ra các trung tâm phân tích và chia sẻ thông tin để giúp tập hợp tài nguyên và thông tin của họ nhằm giúp chống lại các nỗ lực của phần mềm tống tiền trong tương lai. Họ cũng đang hợp tác chặt chẽ với các cơ quan thực thi pháp luật và các cơ quan quản lý để báo cáo các nỗ lực ransomware và giúp chẩn đoán các thiếu sót về bảo mật.
6. Tăng cường áp dụng/sử dụng nền tảng thông tin về mối đe dọa
Nhờ áp dụng các công nghệ mới như trí tuệ nhân tạo (AI) và học máy (machine learning) vào các nền tảng thông tin về mối đe dọa, các tổ chức có thể nâng cao kiến thức chuyên môn, phát hiện bất thường và phân tích hành vi nhằm thu thập thông tin về mối đe dọa theo thời gian thực qua đó giúp giảm thiểu các cuộc tấn công bằng ransomware.
7. Tập trung vào quản lý lỗ hổng bảo mật
Trong thời gian qua, nhiều lỗ hổng bảo mật đã được phát hiện, trong đó đáng chú ý là lỗ hổng liên quan đến giải pháp truyền tệp tin MOVEit Transfer có thể cho phép kẻ tấn công đánh cắp thông tin cơ sở dữ liệu của khách hàng hoặc lỗ hổng liên quan đến phần mềm quản lý in phổ biến PaperCut – đây là phần mềm quản lý in có khoảng 100 triệu người dùng từ hơn 70.000 công ty trên toàn thế giới. Vì vậy, các tổ chức đã triển khai các giao thức và quản lý lỗ hổng bảo mật để đảm bảo tất cả phần mềm quan trọng đều được cập nhật và vá lỗi thường xuyên.
8. Đảm bảo chuỗi cung ứng và quản lý rủi ro từ nhà cung cấp
Trong trường hợp tội phạm điều hành ransomware không thể xâm phạm một tổ chức, việc chúng nhắm mục tiêu vào chuỗi cung ứng của tổ chức đó thông qua các nhà cung cấp, đối tác và bên thứ ba là điều bình thường. Vì vậy, các tổ chức đã triển khai các biện pháp đánh giá rủi ro của nhà cung cấp để đảm bảo rằng toàn bộ chuỗi cung ứng của họ được an toàn và được bảo vệ thống nhất trước các nỗ lực tấn công ransomware tiềm ẩn.
