Dòng Chảy

Thủ pháp phòng chống nạn bắt cóc dữ liệu

14/06/2017
0

Tại hội thảo chuyên sâu về mã độc mã hóa dữ liệu đòi tiền chuộc (ransomware) dành cho doanh nghiệp vừa diễn ra ngày 13/6 tại TPHCM, ông Stefanus Natahusada, Giám đốc Kaspersky Lab Singapore nhấn mạnh, các biến thể ransomware đang tăng lên với cập độ chóng mặt, cách tiếp cận ngày càng tinh vi và có xu hướng nhắm vào doanh nghiệp. Trong số các biến thể đó hiện vẫn chưa có công cụ chính thức để giải mã những chiếc máy tính đã bị nhiễm, như với mã độc Wannacry Ransomware gần đây chẳng hạn.

Hội thảo diễn ra ngày 13/6/2017 tại TPHCM với sự tham gia của hơn 100 khách mời doanh nghiệp.
 
Bùng phát nạn bắt cóc dữ liệu tống tiền doanh nghiệp
 
Số liệu của Kaspersky Lab cho hay, năm 2016 sự tiến hóa của ransomware rất sôi động, với 62 gia đình ransomware mới đã xuất hiện. Số lượng biến thể ransomware đã tăng gấp 11 lần (từ 2.900 biến thể trong tháng 1/tháng 3, lên đến 32.091 trong tháng 7/tháng 9). Các cuộc tấn công vào doanh nghiệp tăng lên gấp ba lần giữa tháng 1 và cuối tháng 9 (trước đây mỗi 2 phút có một cuộc tấn công và sau này là cứ mỗi 40 giây). Đối với cá nhân, tỷ lệ tấn công tăng lên từ mỗi 20 giây thành mỗi 10 giây. 20% doanh nghiệp vừa và nhỏ bị dính mã độc mã hóa dữ liệu đã trả tiền chuộc nhưng không bao giờ lấy lại được dữ liệu.
 
Những kẻ tấn công bây giờ nhắm mục tiêu vào tập tin sao lưu, ổ đĩa cứng và phương pháp thử mật khẩu đúng sai. Các phương pháp tiếp cận mới bao gồm mã hóa đĩa, nơi kẻ tấn công chặn truy cập, hoặc mã hóa, tất cả các tệp cùng một lúc. Petya là một ví dụ về việc này, xáo trộn hiển thị chủ của ổ cứng của người dùng và làm cho không thể khởi động lại. Một Trojan khác, Dcryptor, còn gọi là Mamba, còn nguy hiểm hơn, khóa toàn bộ ổ đĩa cứng. Ransomware này đặc biệt khó chịu, xáo trộn mọi khu vực đĩa bao gồm hệ điều hành, ứng dụng, tập tin chia sẻ và tất cả dữ liệu cá nhân - sử dụng một bản sao của phần mềm DiskCryptor nguồn mở. Vào tháng 8/2016, Kaspersky Lab đã khám phá ra một mẫu của Shade có chức năng độc đáo rằng, nếu một máy tính bị lây nhiễm thuộc về các dịch vụ tài chính, nó sẽ tải về và cài đặt một phần của phần mềm gián điệp, có thể với mục đích lâu dài hơn để ăn cắp tiền.
 
Bên cạnh đó là sự tồn tại của kỹ thuật lây nhiễm thủ công. Chẳng hạn sự lây nhiễm của Dcrypter được thực hiện hoàn toàn thủ công, với mật khẩu hacker tấn công để truy cập từ xa vào máy tính nạn nhân. Mặc dù không mới, cách tiếp cận này đã trở nên nổi bật hơn đáng kể vào năm 2016, thường là một cách để nhắm mục tiêu các máy chủ và giành được quyền vào hệ thống công ty. Nếu cuộc tấn công thành công, Trojan sẽ cài đặt và mã hóa các tập tin trên máy chủ và có thể ngay cả trên tất cả các mạng chia sẻ có thể truy cập từ nó. Ví dụ: TeamXRat thực hiện cách tiếp cận này để phát tán chu trình trộm cắp của mình trên máy chủ của Brazil.
 
Lỗi kỹ thuật và lỗi nhân sự vẫn là những yếu tố chính trong việc các công ty bị tấn công. 20% trường hợp liên quan đến mất dữ liệu đáng kể là thông qua sự thiếu thận trọng của nhân viên hoặc thiếu nhận thức. Theo nghiên cứu của Kaspersky Lab, vào năm 2016, 20% doanh nghiệp trên toàn thế giới đã phải chịu một sự cố bảo mật về CNTT sau một cuộc tấn công ransomware. 42% doanh nghiệp vừa và nhỏ bị tấn công bởi ransomware trong 12 tháng qua, 32% trong số đó trả tiền chuộc. 20% doanh nghiệp bị mã hóa dữ liệu không bao giờ lấy lại được dữ liệu của họ, ngay cả sau khi trả tiền. 67% số doanh nghiệp bị ảnh hưởng bởi ransomware bị mất một phần hoặc tất cả dữ liệu của công ty, và 25% phải mất thêm vài tuần để khôi phục quyền truy cập. 
 
Các tội phạm mạng thường dùng ví tiền bitcoin để giao dịch tiền chuộc, nên mức độ ẩn danh, khả năng che giấu thân phận tội phạm mạng càng cao, vì không phải liên quan đến ngân hàng hay một tổ chức tài chính nào.
 
 
Mã code của Wannacry Ransomware vẫn còn hoạt động
 
Wannacry là mã độc tống tiền đầu tiên lan rộng và có mức lây nhiễm lớn nhất trong lịch sử. Trong 6 giờ đầu tiên thời điểm chính thức Wannacry bùng phát, hệ thống phân tích của Kaspersky ghi nhận, có hơn 7.000 máy tính bị nhiễm chỉ trong khoảng 1 giờ, và 10.000 máy tính ngừng hoạt động từ máy bị nhiễm và có dữ liệu bị phá huỷ. 74 quốc gia bị lây nhiễm, trong đó có Việt Nam. Kết hợp với MalwareTech và Comae Sinkhole, Kaspersky Lab đã ngăn chặn được 378.075 trường hợp. 
 
Mặc dù tình hình lây lan Wannacry đã giảm mạnh từ ngày 15/5/2017, nhưng theo cảnh báo của ông Stefanus Natahusada vẫn chưa có gì đảm bảo Wannacry sẽ không tiếp tục bùng phát hoặc biến thể qua một dạng khác. Vì theo nghiên cứu của Kaspersky Lab, mã code của Wannacry hiện vẫn còn hoạt động và có liên quan đến Lazarus Group. Vả lại tính đến thời điểm hiện nay vẫn chưa có công cụ chính thức để giải mã những chiếc máy tính bị nhiễm Wannacry cũng như chưa có giải pháp khả thi nào khôi phục các tập tin đã được mã hóa.
 
“Vắc-xin” phòng ngừa cho doanh nghiệp
 
Để giảm thiểu thiệt hại từ ransomware nói chung, điều quan trọng đầu tiên là cần phổ cập rộng rãi đến người dùng, nâng cao ý thức về bảo mật trong môi trường internet. Đối với người dùng doanh nghiệp cần phải thường xuyên kiểm tra và sao lưu dữ liệu. Thiết lập và thực thi nghiêm túc chính sách bảo mật, như quản lý việc sử dụng internet theo vai trò công việc; kiểm soát truy cập vào dữ liệu của công ty theo công việc hoặc phòng ban; quản lý việc khởi động các chương trình - sử dụng công nghệ quản lý ứng dụng giúp chặn hoặc cho phép các chương trình; phân đoạn mạng.
 
Song song đó, cần bảo đảm rằng các máy tính đã được cài đặt bản vá 2 (MS-17-010 và KB4012598 - bản vá lỗi khẩn cấp do Microsoft phát hành cho XP & 2003), và tắt chức năng SMBv1. Về cấp mạng và điểm cuối, cần chặn lưu lượng truy cập tới TCP / 445; triển khai giải pháp chống Malware “Strong Heuristic”; sử dụng công cụ miễn phí Antiransom có sẵn cho doanh nghiệp https://go.kaspersky.com/Anti-ransomwaretool.html; người dùng Kaspersky Lab đảm bảo rằng tính năng System Watcher không bị tắt (mặc định luôn ON).

Dự án No More Ransom

Vào ngày 25/7/2016, Cảnh sát Quốc gia Hà Lan, Europol, Intel Security và Kaspersky Lab đã công bố dự án No More Ransom. Cổng thông tin trực tuyến hiện đang có 8 công cụ giải mã, năm trong số đó được thực hiện bởi Kaspersky Lab. Các công cụ này có thể giúp khôi phục các tập tin bị mã hóa bởi hơn 20 loại mã độc mã hóa. Cho đến nay, hơn 4.400 nạn nhân đã lấy lại được dữ liệu của họ - và tiết kiệm hơn 1.500.000 đô la tiền chuộc

Vào tháng 10/2016, các cơ quan hành pháp từ 13 quốc gia khác tham gia dự án, bao gồm: Bosnia và Herzegovina, Bulgaria, Colombia, Pháp, Hungary, Ireland, Italy, Latvia, Lithuania, Bồ Đào Nha, Tây Ban Nha, Thụy Điển và Anh. Eurojust và Ủy ban châu Âu cũng hỗ trợ các mục tiêu của dự án, và nhiều đối tác tư nhân và cơ quan hành pháp dự kiến sẽ sớm được công bố trong thời gian tới.

Bạch Đông
 
 
 

CÁC TIN KHÁC

Bình luận

Đăng nhập để gửi bình luận cho bài viết. Nếu chưa có tài khoản, bạn có thể đăng ký tại đây.
Trở về đầu trang
QUẢNG CÁO

Cảm nhận mới nhất

  • Công anh Cường nhiều nhất, vừa có Lam, Porc, Ferr, Roy...
    Của sally trong mục Phong Cách


  • Trong đó phải kể công Cường Dolla, bà Diệu Hiền, bà Diệp...
    Của justpost trong mục Phong Cách


  • Roy đã có mặt ở VN, chứng tỏ VN là trọng điểm trong bản đồ oto hạng sang của thế giới ! JL
    Của Tín đồ trong mục Phong Cách


  • Chế tác quá tuyệt vời ! siêu phẩm của đương đại. SL
    Của sally trong mục Phong Cách


  • Đẳng cấp là đây, niềm mơ ước của nhiều người.
    Của phuongmai trong mục Phong Cách


facebook