Mã độc tống tiền - Sự phát triển qua các giai đoạn, kỹ thuật sử dụng và biện pháp giảm thiểu nguy cơ

SỰ PHÁT TRIỂN CỦA RANSOMWARE QUA CÁC GIAI ĐOẠN

Ransomware là một loại phần mềm độc hại tấn công và mã hóa dữ liệu, buộc nạn nhân phải trả tiền để lấy lại quyền truy cập. Nó được phát triển từ những hình thức đơn giản trong giai đoạn đầu đến các công cụ rất tinh vi được sử dụng bởi tội phạm mạng hiện nay. Sự tiến hóa này đã khiến ransomware trở thành một mối nguy hiểm thực sự đối với cá nhân, các tổ chức lớn và chính phủ.

Ransomware sơ khai

Ransomware đầu tiên thực sự xuất hiện vào năm 1989 là AIDS Trojan PC. Dr. Joseph Popp, một nhà sinh học tại Harvard đã gửi ransomware này qua 20.000 đĩa mềm tại hội nghị của Tổ chức Y tế Thế giới về AIDS. Mã độc này tự ẩn mình, có thể được kích hoạt sau 90 lần khởi động lại và tiến hành mã hóa các tệp trên ổ cứng [1]. Mặc dù AIDS Trojan không phức tạp so với các biến thể hiện nay và đã nhanh chóng bị vô hiệu hóa, nhưng nó đã đem đến khái niệm cơ bản của ransomware sơ khai.

Ransomware hiện đại

Gpcode (2004): Thay vì dựa vào mã hóa AES, Gpcode sử dụng mã hóa RSA, khiến người dùng không thể giải mã nếu không thực hiện giao dịch. Gpcode đã tiên phong cho việc yêu cầu nạn nhân thanh toán tiền chuộc qua Bitcoin, một phương pháp hiệu quả để che giấu giao dịch.

Archivius (2006): Archivius minh chứng khả năng mã hóa mạnh mẽ của ransomware bằng cách sử dụng mô hình mã hóa RSA-1024 thông qua phương thức phishing, đánh lừa người dùng mở email giả mạo.

Ransomware thế hệ mới

CryptoLocker (2013): CryptoLocker được mô tả là "thế hệ thứ hai" của ransomware. Nó sử dụng mã hóa RSA-2048 và AES-256 để mã hóa các tệp và yêu cầu trả tiền chuộc bằng Bitcoin, nhờ vào khả năng giữ bí mật danh tính và thuận tiện bất kể quốc gia nào của đồng tiền điện tử này.

CryptoWall (2014): CryptoWall sử dụng các thuật toán mã hóa tương tự nhưng có thêm các tính năng ẩn mình để vượt qua phần mềm bảo mật.

Sự phát triển của Ransomware-as-a-Service (RaaS)

Tox (2015): Tox là một trong những nền tảng RaaS đầu tiên, giúp bất kỳ ai có thể phân phối ransomware và đòi tiền chuộc.

Cerber (2016): Cerber là một ví dụ điển hình của RaaS với mã hóa cao cấp và các bản cập nhật thường xuyên, thường được phân phối qua email, phishing và bộ khai thác lỗ hổng [1].

Chiến dịch tống tiền kép

Ngoài việc mã hóa dữ liệu, nhóm ransomware Maze, hoạt động từ năm 2019 còn đánh cắp thông tin nhạy cảm và yêu cầu tiền chuộc để không tiết lộ thông tin. Ngoài ra, trong những năm 2010- 2020, ransomware thường nhắm mục tiêu vào các tổ chức lớn, bệnh viện và các cơ quan chính phủ... Những cuộc tấn công này được lên kế hoạch tỉ mỉ, với sự trinh sát kỹ lưỡng như vụ tấn công vào Colonial Pipeline (2021).

Các cuộc tấn công ransomware lớn tại Việt Nam năm 2024

Năm 2024 chứng kiến một số cuộc tấn công ransomware lớn tại Việt Nam, gây ra nhiều thiệt hại cho các tổ chức như cuộc tấn công vào VNDIRECT và PVOIL, Bệnh viện mắt Trung ương, VNPost...

Theo thống kê của aag-it.com tháng 6/2024 [5]: Việt Nam đứng thứ 3 trong số các quốc gia bị ảnh hưởng nhiều nhất bởi ransomware.

SỰ PHÁT TRIỂN CỦA CÁC KỸ THUẬT TẤN CÔNG RANSOMWARE

Các kỹ thuật sơ khai

Các ransomware đầu tiên như AIDS Trojan, sử dụng mã hóa khá đơn giản và dễ bị bẻ khóa hơn. Về phương thức lây nhiễm, các ransomware sơ khai này được phát tán qua đĩa mềm nhiễm virus và các email đơn giản với các phương pháp tấn công phi kỹ thuật đơn giản.

Mã hóa nâng cao

Theo sự phát triển của ransomware, kẻ tấn công sử dụng các thuật toán mã hóa tiên tiến như RSA và AES, khiến việc giải mã trở nên gần như không thể nếu không trả tiền chuộc.

Ngoài ra, các ransomware hiện đại kết hợp mã hóa đối xứng (AES) và bất đối xứng (RSA), làm cho việc bẻ khóa mã hóa càng trở nên khó khăn.

Ransomware dưới dạng dịch vụ (RaaS)

Sự xuất hiện của các nền tảng RaaS cho phép những kẻ tấn công dù không có kiến thức kỹ thuật sâu vẫn có thể triển khai ransomware dễ dàng [3].

Phương thức lây nhiễm nâng cao

Phishing là phương thức tấn công phổ biến nhất, với 93% các cuộc tấn công ransomware bắt đầu từ các email độc hại được thiết kế để lừa người dùng truy cập trang web hoặc mở tệp tin bị nhiễm.

Bộ khai thác lỗ hổng (Exploit Kits): Đây là bộ công cụ trên nền tảng web, tự động quét để tìm lỗ hổng và thực thi ransomware, thường được phát tán qua các trang web bị xâm nhập hoặc quảng cáo độc hại.

Tấn công qua giao thức RDP (Remote Desktop Protocol): Là một giao thức giúp kết nối và điều khiển máy tính từ xa, kẻ tấn công khai thác các thông tin đăng nhập RDP yếu để truy cập trái phép vào hệ thống, từ đó thực thi ransomware từ xa, thường nhắm vào các doanh nghiệp lớn.

Chiến thuật tống tiền kép

Tống tiền kép: Ngoài việc mã hóa tệp, kẻ tấn công còn đánh cắp dữ liệu nhạy cảm và yêu cầu nạn nhân trả tiền chuộc để tránh việc dữ liệu bị công khai trên các trang web công khai.

Mục tiêu của các cuộc tấn công

Ransomware ngày càng nhắm vào các tổ chức lớn như bệnh viện, ngân hàng và cơ quan chính phủ, những nơi mà việc tạm dừng hoạt động sẽ gây tổn thất rất lớn.

Kỹ thuật lẩn tránh

Làm rối (obfuscation), mã hóa và lẩn tránh Sandbox: Kẻ tấn công sử dụng các phương pháp mã hóa và che giấu để tránh bị phần mềm diệt virus phát hiện, như mã hóa payload, hay không thực thi khi gặp môi trường phân tích.

Vô hiệu hóa các tính năng bảo mật: Một số ransomware vô hiệu hóa phần mềm diệt virus, tường lửa và dịch vụ sao lưu trên hệ thống nạn nhân, tăng cường khả năng lây lan và khó bị phát hiện [4].

BIỆN PHÁP GIẢM THIỂU NGUY CƠ TỪ CÁC CUỘC TẤN CÔNG RANSOMWARE

Phòng chống chủ động

- Cập nhật phần mềm: Cập nhật định kỳ tất cả phần mềm, hệ điều hành và ứng dụng để loại bỏ các lỗ hổng bảo mật có thể bị khai thác.
- Chính sách mật khẩu: Sử dụng mật khẩu mạnh và khác biệt cho mọi tài khoản giúp giảm thiểu nguy cơ lộ lọt.
- Xác thực đa yếu tố: Yêu cầu nhiều yếu tố xác minh để truy cập vào hệ thống, giúp giảm thiểu rủi ro vi phạm tài khoản ngay cả khi mật khẩu bị đánh cắp.

Bảo vệ người dùng

- Phát hiện và phản hồi đầu cuối (EDR): Các giải pháp EDR giám sát và phân tích hoạt động tại máy người dùng, nhận diện và xử lý mối đe dọa.
- Phần mềm diệt virus: Sử dụng phần mềm diệt virus để nhận diện và ngăn chặn ransomware dựa trên cơ sở dữ liệu cập nhật thường xuyên.
- Danh sách ứng dụng tin cậy: Chỉ cho phép các chương trình tin cậy chạy trên hệ thống.

Bảo mật mạng

- Cài đặt tường lửa và hệ thống phát hiện xâm nhập (IDS/IPS): Giám sát và kiểm tra lưu lượng mạng, phát hiện và ngăn chặn xâm nhập từ các máy chủ độc hại.
- Phân đoạn mạng: Giới hạn sự lây lan của ransomware bằng cách phân đoạn mạng, tạo ra các khu vực độc lập cho các hệ thống quan trọng.
- Truy cập từ xa an toàn: Sử dụng công nghệ VPN và Zero Trust Network Access (ZTNA) để truy cập an toàn vào mạng từ xa [2].

Sao lưu và khôi phục dữ liệu

- Sao lưu định kỳ: Đảm bảo sao lưu dữ liệu thường xuyên để có thể khôi phục thông tin quan trọng sau khi bị tấn công.
- Kiểm tra kế hoạch sao lưu và khôi phục lại khi có sự cố: Thường xuyên kiểm tra tính khả thi của sao lưu và đảm bảo tổ chức có thể nhanh chóng khôi phục hoạt động sau khi bị tấn công.

Nâng cao nhận thức người dùng

- Cập nhật thông tin về các mối đe dọa: Thường xuyên cập nhật về các nguy cơ bảo mật như cách nhận diện email lừa đảo và duyệt web an toàn.
- Diễn tập: Giúp người dùng làm quen với các cuộc tấn công phishing thực tế và cách xử lý nhằm giảm thiểu rủi ro từ các cuộc tấn công ransomware dựa trên phishing.

Kế hoạch ứng cứu sự cố

- Kế hoạch ứng cứu sự cố (Incident Response Plan): Thiết lập quy trình rõ ràng để báo cáo và phản ứng kịp thời khi phát hiện các mối đe dọa.
- Đội ứng cứu sự cố (Incident Response Team): Có đội ngũ chuyên trách để xử lý và giảm thiểu hậu quả của các cuộc tấn công ransomware.
- Điều tra sự cố: Sau sự cố, tiến hành phân tích kỹ thuật số để xác định điểm tấn công và mức độ rò rỉ dữ liệu, giúp cải thiện các biện pháp bảo mật sau này.

Săn tìm mối nguy cơ từ sớm

- Chia sẻ thông tin về các mối nguy cơ: Tham gia vào các trung tâm chia sẻ thông tin các mối nguy cơ như ISACs để cập nhật các mối đe dọa mới nhất.
- Săn tìm mối nguy cơ: Chủ động tìm kiếm các dấu hiệu của ransomware trong môi trường tổ chức để ngăn chặn các cuộc tấn công trước khi chúng xảy ra.
- Honeypots: Sử dụng công nghệ đánh lừa để tạo ra các môi trường bẫy, thu hút kẻ tấn công và thu thập thông tin về cách thức hoạt động của chúng.

KẾT LUẬN

Ransomware đại diện cho một trong những mối đe dọa nguy hiểm nhất, đã phát triển thành một vũ khí mạng mạnh mẽ. Những phát triển mới trong công nghệ cùng với lợi nhuận cao mà kẻ tấn công nhận được từ ransomware đã góp phần vào việc làm cho chúng trở nên phức tạp và phổ biến hơn. Bài viết này xem xét sự phát triển của ransomware qua các khía cạnh khác nhau, từ lịch sử phát triển, các tiến bộ trong chiến thuật và kỹ thuật đến các phương pháp giảm thiểu nguy cơ. Bằng cách sử dụng một chiến lược toàn diện, kết hợp các biện pháp chủ động phòng thủ và kế hoạch ứng cứu sự cố, các cơ quan, tổ chức có thể giảm đáng kể rủi ro và tác động của các cuộc tấn công ransomware.

TÀI LIỆU THAM KHẢO

[1]. Gourav Nagar (2024). The Evolution of Ransomware: Tactics, Techniques, and Mitigation Strategies. International Journal of Scientific Research and Management (IJSRM) , Vol. 12 No. 06 (2024).
[2]. McIntosh, T., Kayes, A. S. M., Chen, Y. P. P., Ng, A., & Watters, P. (2021). Ransomware mitigation in the modern era: A comprehensive review, research challenges, and future directions. ACM Computing Surveys (CSUR), 54(9), 1-36.
[3]. Oz, H., Aris, A., Levi, A., & Uluagac, A. S. (2022). A survey on ransomware: Evolution, taxonomy, and defense solutions. ACM Computing Surveys (CSUR), 54(11s), 1-37.
[4]. Hamad, M., & Eleyan, D. (2021). Survey on ransomware evolution, prevention, and mitigation Int. J. Sci. Technol. Res., 10(02), 271-280.
[5]. https://aag-it.com/the-latest-ransomware-statistics/.